EnCrypt

EnCrypt Ransomware

EnCrypt Ransomware (2022-2024)

EnCrypt-config Ransomware

Aliases: Milovski, Mawahelper, Devicdata

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные сайтов и серверов компаний с помощью комбинации алгоритмов AES (режим ECB) + RSA, а затем требует связаться с вымогателями по email, чтобы купить инструмент расшифровки, и инструкцию для расшифровки файлов. Оригинальное название: в записке не указано. На файле написано: EnCrypt.exe, Copyright © 2022, 1.0.0.0.
---
Обнаружения:
DrWeb -> Trojan.Encoder.36167
BitDefender -> Trojan.GenericKD.63577359
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ATV
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Generic!8.E315 (CLOUD)
Tencent -> Win32.Trojan-Ransom.Generic.Rgil
TrendMicro -> Trojan.MSIL.TARGETCOMP.YCCLC
---

© Генеалогия: BlackHeart NextGen (modified) >> EnCrypt

Сайт "ID Ransomware" EnCrypt пока отдельно не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в сентябре 2022 г. Пострадавшие были и в 2023-2024 гг. Ориентирован на англоязычных пользователей, но для атак выбираются объекты в Юго-Восточной Азии. Может распространяться по всему миру.

К зашифрованным файлам добавляется составное расширение по шаблону:

.<email-login>-{LETTER}-<random>

.<email-login>-{LETTER}-<random{8}>

Примеры зашифрованных файлов: 

Searching.htm.milovski-G-f1c2d3cd

Searching.htm.mawahelper-V-f0b7b1bc

Searching.htm.Devicdata-C-e9f25a67

Записки с требованием выкупа называются: 

RECOVERY INFORMATION !!!.txt  (в 2022-2023 годах)
Recover files!!!.txt  (в 2024 году)

Содержание записки RECOVERY INFORMATION !!!.txt:

YOUR FILES ARE ENCRYPTED !!!

TO DECRYPT, FOLLOW THE INSTRUCTIONS:

To recover data you need decrypt tool.

To get the decrypt tool you should:

1.In the letter include your personal ID! Send me this ID in your first email to me!

2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!

3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 

4.We can decrypt few files in quality the evidence that we have the decoder.

5.Your key is only kept for seven days beyond which it will never be decrypted!

6.Do not rename, do not use third-party software or the data will be permanently damaged!

7.Do not run any programs after the computer is encrypted. It may cause program damage!

8.If you delete any encrypted files from the current computer, you may not be able to decrypt them!

CONTACT US:

milovski@tutanota.com

If no response is received within 12 hours contact: milovski@onionmail.org

ID:********

Перевод записки на русский язык:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!

ЧТОБЫ РАСШИФРОВАТЬ, СЛЕДУЙТЕ ИНСТРУКЦИЯМ:

Для восстановления данных вам нужен инструмент дешифрования.

Чтобы получить инструмент дешифрования, вам нужно:

1. В письме указать свой личный ID! Отправить мне этот ID в первом письме!

2. Мы можем предоставить вам бесплатный тест для расшифровки нескольких файлов (НЕ ВАЖНЫХ) и назначить цену за расшифровку всех файлов!

3. После того, как мы отправим вам инструкцию по оплате инструмента дешифрования, и после оплаты вы получите инструмент дешифрования!

4. Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.

5. Ваш ключ хранится только семь дней, после чего он никогда не будет расшифрован!

6. Не переименовывайте, не используйте сторонние программы, иначе данные будут навсегда повреждены!

7. Не запускайте никакие программы после шифрования компьютера. Это может привести к повреждению программы!

8. Если вы удалите какие-либо зашифрованные файлы с текущего компьютера, вы не сможете их расшифровать!

СВЯЗЬ С НАМИ:

milovski@tutanota.com

Если в течение 12 часов не будет получен ответ, пишите на: milovski@onionmail.org

ID:********

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Подробности о запуске шифровальщика: 
➤ Полученный файл не запускается корректно без своих дополнительных файлов, ему требуется config-файл, написанный на языке .NET. В этом config-файле хранятся ключи шифрования (AES, RSA), расширение и текст записки о выкупе. Для ключа AES и ID используется сгенерированный GUID. Данные шифруются с помощью AES ECB.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVERY INFORMATION !!!.txt - название файла с требованием выкупа в 2022-2023 гг.;

Recover files!!!.txt  - название файла с требованием выкупа в 2024 году; 

EnCrypt.exe, EnCrypt---000.exe - названия вредоносного файла;

<APP_NAME>.exe.config - файл, содержащий ключи шифрования (удаляется после работы программы-вымогателя). 

EnCrypt.pdb - файл проекта программы-вымогателя;

DeEnCryptDemo.exe, EnCryptDemo.exe - файлы шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\<USER>\AppData\Local\Temp\EnCrypt.exe

C:\Users\<USER>\AppData\Roaming

C:\Users\<USER>\Desktop\DWrite.dll

C:\Users\<USER>\Desktop\program.INI

C:\Users\<USER>\Desktop\program.exe

C:\Users\<USER>\Desktop\program.exe.config

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: milovski@tutanota.com, milovski@onionmail.org
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, AR

MD5: d055658ed50601a747d0970ed1db6242 

SHA-1: c8f6a350c149b6a74622d45a6f9fc1154e0f8493 

SHA-256: 3e2b2f7e72226f935b4672a850a814e23c189830169b86073787bc7522c514bd 

Vhash: 2150466d551511509c2b1b3010 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BlackHeart Ransomware

BlackHeart NextGen ⇒ modified versions

EnCrypt Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== 2023 ===

Вариант от 27 февраля 2023 или раньше:

Сообщение >>

Расширение: .mawahelper-V-********

Записка: RECOVERY INFORMATION !!!.txt

Email: mawahelper@tutanota.com, mawahelper@onionmail.com

Вариант от 15 марта 2023:

Сообщение на форуме >>

Аналогично предыдущему. 

Вариант от 10 апреля 2023:

Расширение: .mawahelper-V-********

Записка: RECOVERY INFORMATION !!!.txt

Email: mawahelper@tutanota.com, mawahelper@onionmail.com

=== 2024 ===

Вариант от 26 ноября 2024:

Сообщение на форуме >>

Расширение: .Devicdata-C-e9f*****

Записка: Recover files!!!.txt

Email: Devicdata@tuta.com, Devicdata@onionmail.org

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.