Uniza Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.66485075
ESET-NOD32 -> A Variant Of Win64/Filecoder.IB
Kaspersky -> Trojan-Ransom.Win32.Encoder.tvn
Malwarebytes -> Ransom.Filecoder
Microsoft -> Ransom:Win64/Uniza.PA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bea062
TrendMicro -> Ransom.Win64.INUZA.THDBEBC
---
DrWeb -> Trojan.Encoder.37510
BitDefender -> Trojan.GenericKD.66539221
ESET-NOD32 -> A Variant Of Win64/Filecoder.IB
Kaspersky -> Trojan-Ransom.Win32.Encoder.twp
Malwarebytes -> Ransom.Filecoder
Microsoft -> Ransom:Win64/Uniza.PA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bea452
TrendMicro -> Ransom.Win64.INUZA.THDBEBC
---
Этимология названия:
BitDefender -> Trojan.GenericKD.66539221
ESET-NOD32 -> A Variant Of Win64/Filecoder.IB
Kaspersky -> Trojan-Ransom.Win32.Encoder.twp
Malwarebytes -> Ransom.Filecoder
Microsoft -> Ransom:Win64/Uniza.PA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bea452
TrendMicro -> Ransom.Win64.INUZA.THDBEBC
---
Этимология названия:
Слово Uniza переводится со словацкого и чешского языков как Университет. Это может выдавать происхождение вымогателя.
© Генеалогия: родство выясняется >> Uniza
© Генеалогия: родство выясняется >> Uniza
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Образец этого крипто-вымогателя была найден в середине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. На момент написания статьи ничего неизвестно о распространении.
Возможно, что первый образец был тестовым вариантом, но если в записке о выкупе указывается сумма выкупа и даётся BTC-кошелек, то это уже не тестовый вариант, а настоящее вымогательство.
К зашифрованным файлам никакое расширение не добавляется.
Возможно, что файлы не шифруются в результате ошибки в программе.
Записка с требованием выкупа написана на экране, похожем на окно для ввода командной строки:
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Rans.exe, test.exe - название вредоносного файла;
Записка с требованием выкупа написана на экране, похожем на окно для ввода командной строки:
|********UNIZA RANSOMWARE********|
All your files were encrypted with the most advanced cryptographic technology.
There is no way of you getting your data back without paying the ransom.
If you want your data back pay the ransom and DM me on TikTok: @UnizaRansomware
Please send 20 EUR worth of BTC here: bc1qnngsgyqr5fqr73n4jjvpperzcugpdsk4gpaxka
Перевод записки на русский язык:
|********UNIZA RANSOMWARE********|
Все ваши файлы зашифрованы с передовыми криптографическими технологиями.
Вы не сможете вернуть свои данные, не заплатив выкуп.
Если вы хотите вернуть свои данные, заплатите выкуп и напишите мне в TikTok: @UnizaRansomware
Пожалуйста, отправьте BTC на сумму 20 евро сюда: bc1qnngsgyqr5fqr73n4jjvpperzcugpdsk4gpaxka
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Rans.exe, test.exe - название вредоносного файла;
Rans.pdb - название файла проекта.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Tranzistor\Desktop\Bakalarka\Rans\x64\Release\Rans.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
TikTok: @UnizaRansomware
BTC: bc1qnngsgyqr5fqr73n4jjvpperzcugpdsk4gpaxka
BTC: bc1qnngsgyqr5fqr73n4jjvpperzcugpdsk4gpaxka
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 3d1c060f9a0bd16fe0275f92a3c151a8
SHA-1: b7418df98b087f975c30a3e58315955beb792694
SHA-256: eefa1271d1a2a937d0baa3f0c7d904941151d6c8f915aed4dd51f10fa5d09b2a
Vhash: 015076655d155515555az56!z
Imphash: 623b9d9202c6fa91002ea9d33961dd37
Rich PE header hash: abfe280d473ff7717d649930c8a3f080
---
MD5: 13b929afb57a36f9c35e15aca70b75a7
SHA-1: 953c8210ec3f12f993f59755ee1f5bb51d41483e
SHA-256: d9a3f2ad7cfc6989cc4da117d5a4f8097362aad6b91391e89746d68d8d7aa29f
Vhash: 015076655d155515555az57!z
Imphash: bbe083507e898063219698b7686f6a5f
Rich PE header hash: abfe280d473ff7717d649930c8a3f080
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support Added later: Write-up by Fortinet (on April 27, 2023)
Thanks: S!Ri Andrew Ivanov (article author) Fortinet to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
