CABP Ransomware
(тест-шифровальщик, не вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Python.Encoder.51
BitDefender -> ***
ESET-NOD32 -> Python/Filecoder.JS
Kaspersky -> Trojan-Ransom.Win32.Crypren.aimw
Malwarebytes -> Ransom.FileLocker
Microsoft -> Ransom:Win32/Zudochka!MSR
Rising -> Trojan.Generic@AI.100 (RDML:psHMwmcvb
Tencent -> Win32.Trojan-Ransom.Crypren.Wmhl
TrendMicro -> Ransom_Zudochka.R002C0DI423
---
© Генеалогия: родство выясняется >> CABP
Активность этого крипто-вымогателя была в начале января 2022 г. Сделана корейским программистом. Ориентирован на англоязычных пользователей, ничего неизвестно о распространении по всему миру.
К зашифрованным файлам добавляется расширение: .CABPRANSOM_ENCRYPTED
Записка с требованием выкупа написана на экране блокировки (или это диалоговое окно):
Содержание записки о выкупе:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
CABPRansom.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
CABP RANSOMWARE
What happened to my computer?
-Your almost all files were encrypted.
Can I decrypt?
-Yes, but you have to get the key...
How can I get the key?
-Go to the linked website, and find the key.
-site: https://blog.naver.com/hayunjung7/222610893130
WARNING!
-If you dose this window, you can't decrypt your files!!
-If it happens, even I CANT help you.
Ransomware key_test:
TKvbePg0OUfPmb8BhOtrA7SLhNGFfKBGs_SNc3U9j_0
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
CABPRansom.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 349e15ac0a603a0198659ad8573e033f
SHA-1: 91c49904770bf51c2d9aa9b22f8edde391e5493f
SHA-256: 42c15f08acda9e26c6745c3d12418280c49a3524846a547e3125a665cb4e5d2b
Vhash: 037056656d1515604013z3005emz11fz
Imphash: 9fe8e00eeba328f6525854af87203005
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: JAMESWT Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.