Rever Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется >> Rever (Unnamed 'via Tox' Ransomware)
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется >> Rever (Unnamed 'via Tox' Ransomware)
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в середине июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам на Synology NAS-устройстве добавляется расширение: .rever
К зашифрованным файлам на сервере Windows добавляется случайное расширение .<RANDOM{8}>, например, .1BC0E5C2 или .356F345C
Уточняю: к разным файлам добавляется РАЗНОЕ расширение.
Записки с требованием выкупа для Windoows и NAS-устройства называются:
@@@ To Restore Your Files.txt
README_recovery.txt
Содержание записок о выкупе:
How To Restore Your Files
* What happend?
----------------------------------------------
Your computers and servers are encrypted, backups are deleted from your network and copied.
We use strong encryption algorithms, so you cannot decrypt your data without us.
But you can restore everything by purchasing a special program from us - a universal decoder.
This program will restore your entire network. Follow our instructions below and you will recover all your data.
If you continue to ignore this for a long time, we will start reporting the hack to mainstream media and posting your data to the dark web.
* What guarantees?
----------------------------------------------
We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.
All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.
We guarantee to decrypt one file for free. Go to the site and contact us.
You have three days to contact us otherwise your personal decoder will be deleted and we won't be able to help you!
And your personal data will be public.
* How to contact us?
----------------------------------------------
1) Download for TOX CHAT https://tox.chat/download.html
2) Open chat
Add ID Chat: AB4FEBA9CABBD9E98CBF6745592B0E1C34F91492FD8D02AD802F92C893F49B201E**********
Your personal ID: XXX-XXX-XXX-XXX-XXXX
If we did not answer you, leave the chat enabled, the operator will contact you!
=================================!!!!!!!!!!!!!!!!!!!!!!!!!==================================
DO NOT TRY TO RECOVER FILES YOURSELF!
DO NOT MODIFY ENCRYPTED FILES!
OTHERWISE, YOU MAY LOSE ALL YOUR FILES FOREVER!
============================================================================================
Перевод записки на русский язык:
Как Восстановить Ваши Файлы
* Что случилось?
-------------------------------------------------------------
Ваши компьютеры и серверы зашифрованы, резервные копии удалены из вашей сети и скопированы.
Мы используем надежные алгоритмы шифрования, поэтому без нас вы не сможете расшифровать свои данные.
Но вы можете все восстановить, купив у нас специальную программу - универсальный декодер.
Эта программа восстановит всю вашу сеть. Следуйте нашим инструкциям ниже, и вы восстановите все свои данные.
Если вы продолжите игнорировать это долгое время, мы начнем сообщать о взломе в основных СМИ и публиковать ваши данные в даркнет.
* Какие гарантии?
-------------------------------------------------------------
Мы дорожим своей репутацией. Если мы не будем выполнять свою работу и обязательства, нам никто не заплатит. Это не в наших интересах.
Все наше программное обеспечение для расшифровки отлично протестировано и расшифрует ваши данные. Мы также окажем поддержку в случае возникновения проблем.
Мы гарантируем расшифровку одного файла бесплатно. Зайдите на сайт и свяжитесь с нами.
У вас есть три дня, чтобы связаться с нами, иначе ваш личный декодер будет удален, и мы не сможем вам помочь!
И ваши личные данные будут общедоступными.
* Как с нами связаться?
-------------------------------------------------------------
1) Скачать для TOX CHAT https://tox.chat/download.html
2) Открыть чат
Добавить ID в чат: AB4FEBA9CABBD9E98CBF6745592B0E1C34F91492FD8D02AD802F92C893F49B201E************
Ваш личный идентификатор: XXX-XXX-XXX-XXX-XXXX
Если мы вам не ответили, оставьте чат включенным, с вами свяжется оператор!
=================================!!!!!!!!!!!!!!!!!!!! !!!!!!!!===================================
НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ ФАЙЛЫ САМИ!
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!
ИНАЧЕ ВЫ ПОТЕРЯЕТЕ ВСЕ СВОИ ФАЙЛЫ НАВСЕГДА!
===========================================================================================
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы VHD, резервные копии VM и пр.
Файлы, связанные с этим Ransomware:
@@@ To Restore Your Files.txt - название файла с требованием выкупа в Windows-сервере;
README_recovery.txt - название файла с требованием выкупа в устройстве Synology NAS;<random>.exe - случайное название вредоносного файла;
kill_svc.exe - вредоносный файл.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
TOX CHAT
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
TOX CHAT
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***
Thanks: birojano, quietman7, blanko_mab Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
