Nopyfy Ransomware
(шифровальщик-вымогатель, OSR, RaaS) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.E2ABBF01
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Malware.AI.4273129541
Microsoft -> Ransom:MSIL/Ryzerlo.A
Rising -> Ransom.HiddenTear!1.C60C (CLASSIC)
Tencent -> Malware.Win32.Gencirc.1201960d
TrendMicro -> Ransom.MSIL.CRYPTEAR.SM
---
© Генеалогия: HiddenTear + другой код >> Nopyfy
Сайт "ID Ransomware" Nopyfy пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в конце июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .demo
Записка с требованием выкупа написана на экране блокировки или на изображении, заменяющем обои Рабочего стола.
Содержание записки о выкупе:
см. на скриншоте
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
.001, .7-zip, .ace, .apk , .arj, .asp, .aspx, .avi , .bmp , .bz2, .c , .cab, .contact , .core, .cpp , .crproj , .cs, .csv, .dat, .db , .dll , .doc, .docx, .dwg , .exe, .f3d , .gzip, .htm, .html, .ico , .iso, .jar, .jpg, .lnk , .lzh, .mdb, .mkv , .mov , .mp3 , .mp3, .mp4, .mpeg, .mpg, .odt, .pas , .pdb, .pdf , .php, .png, .ppt, .pptx, .psd , .py, .rar , .rtf , .settings, .sln, .sql, .tar, .torrent, .txt, .uue, .xls, .xlsx, .xml, .xz, .z, .zip
Записка с требованием выкупа написана на экране блокировки или на изображении, заменяющем обои Рабочего стола.
Содержание записки о выкупе:
см. на скриншоте
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
.001, .7-zip, .ace, .apk , .arj, .asp, .aspx, .avi , .bmp , .bz2, .c , .cab, .contact , .core, .cpp , .crproj , .cs, .csv, .dat, .db , .dll , .doc, .docx, .dwg , .exe, .f3d , .gzip, .htm, .html, .ico , .iso, .jar, .jpg, .lnk , .lzh, .mdb, .mkv , .mov , .mp3 , .mp3, .mp4, .mpeg, .mpg, .odt, .pas , .pdb, .pdf , .php, .png, .ppt, .pptx, .psd , .py, .rar , .rtf , .settings, .sln, .sql, .tar, .torrent, .txt, .uue, .xls, .xlsx, .xml, .xz, .z, .zip
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ_IT.txt - название файла с требованием выкупа;
Nopyfy-Ransomware.pdb - название файла проекта;
Файлы, связанные с этим Ransomware:
READ_IT.txt - название файла с требованием выкупа;
Nopyfy-Ransomware.pdb - название файла проекта;
Nopyfy-Ransomware.exe - название вредоносного файла;
Virus.exe - название вредоносного файла;
Nopyfy-information-decrypter - дешифровщик.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\eprak\Downloads\Nopyfy Ransomware V5.1 (ZIP)\Nopyfy Ransomware V5.1 (ZIP)\Nopyfy-Ransomware\Nopyfy-Ransomware - Copy\Nopyfy-Ransomware\obj\Debug\Nopyfy-Ransomware.pdb
\Ransomware\Virus.exe
\Ransomware\Background_Dekstop.jpg
\Your_data\Send_it.bat
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: hxxxs://nopyfy-demo.000webhostapp.com/write.php
hxxxs://hackertback.sellix.io/product/6158e42f8792a
hxxxs://hackertback.sellix.io/
GH: hxxxs://github.com/Samdatastellar/Nopyfy-Ransomware
Email: nopyfy-demo@hackertback.com
Email: support@hackertback.com
Telegram: @HackerTBack
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
MD5: e34e51f2849bb35745217d2b3d3a84ca
SHA-1: 26e70dee9d6b5be0fad208c7b4e2d82e30a1b747
SHA-256: 1505864873f9ce5eb449765dcf35f4cf6134956381e38b54abf20bb722f8299c
Vhash: 215036551511908411151020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 20 ноября 2021:
Самоназвание: Nopyfy-Ransomware, Delta
Расширение: .deltapaymentbitcoin@gmail.com
Записка: FILES ENCRYPTED.txt
Email: deltapaymentbitcoin@gmail.com
BTC: bc1q2n23xxx2u8hqsnvezl9rewh2t8myz4rqvmdzh2
Файл: Nopyfy-Ransomware.exe
➤ Обнаружения:
Trojan.Encoder.10598 -> HiddenTear
BitDefender -> Generic.Ransom.Hiddentear.A.8553174A
Malwarebytes -> Ransom.HiddenTear
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom_CRYPTEAR.SM0
---
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: Petrovic, petikvx Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.