Если вы не видите здесь изображений, то используйте VPN.

пятница, 22 сентября 2023 г.

Slide

Slide Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Slide Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+ECC (как утверждают вымогатели в записке), а затем требует написать на email или в Telegram вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Slide, 
указано в записке. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
Slide


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце сентября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Slide

Фактически используется составное расширение по шаблону: .[Ex2@onionmail.org].Slide


Записка с требованием выкупа не имеет постоянного названия и называется по шаблону: #<ID{16}>.txt
Например: #B618798A2F0A0DD3.txt

Slide Ransomware note, записка о выкупе


Содержание записки о выкупе:
  ~~~ SLIDE ~~~
>>> What happened?
    We encrypted and stolen all of your files.
    We use AES and ECC algorithms.
    Nobody can recover your files without our decryption service.
>>> How to recover?
    We are not a politically motivated group and we want nothing more than money.
    If you pay, we will provide you with decryption software and destroy the stolen data.
>>> What guarantees?
    You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
    If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
>>> How to contact us?
   Our email address: Ex2@onionmail.org
   Our Telegram ID: @Filesupp
   In case of no answer within 24 hours, contact to this email: Ex2@onionmail.org
   Write your personal ID in the subject of the email.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Your personal ID: B618798A2F0A0DD3 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>> Warnings!
  - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
   They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
  - Do not hesitate for a long time. The faster you pay, the lower the price.
  - Do not delete or modify encrypted files, it will lead to problems with decryption of files.

Перевод записки на русский язык:
~~~ SLIDE ~~~
>>> Что случилось?
     Мы зашифровали и украли все ваши файлы.
     Мы используем алгоритмы AES и ECC.
     Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
>>> Как восстановиться?
     Мы не политически мотивированная группа, и нам не нужно ничего, кроме денег.
     Если вы заплатите, мы предоставим вам программу для расшифровки и уничтожим украденные данные.
>>> Какие гарантии?
     Вы можете отправить нам неценный файл размером менее 1 МГ, мы его расшифруем в качестве гарантии.
     Если мы не отправим вам программу для расшифровки или не удалим украденные данные, никто не будет платить нам в будущем, поэтому мы сдержим свое обещание.
>>> Как с нами связаться?
    Наш адрес email: Ex2@onionmail.org.
    Наш ID в Telegram: @Filesupp
    При отсутствии ответа в течение 24 часов напишите нам на email: Ex2@onionmail.org.
    В теме письма укажите свой личный ID.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Ваш личный ID: B618798A2F0A0DD3 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>> Предупреждения!
   - Не обращайтесь в восстановительные компании, это всего лишь посредники, которые заработают на вас деньги и обманут.
    Они тайно договариваются с нами, покупают программу для дешифрования и продадут ее вам в разы дороже или просто обманут.
   - Не медлите долго. Чем быстрее вы платите, тем ниже цена.
   - Не удаляйте и не изменяйте зашифрованные файлы, это приведет к проблемам с расшифровкой файлов.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:  Ex2@onionmail.org
Telegram ID: @Filesupp
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: Sandor Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *