Frivinho

Frivinho Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 0.1473766 BTC BTC, чтобы вернуть файлы. Оригинальное название: Frivinho. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34437
BitDefender -> Generic.Ransom.HydraCrypt.40149811
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Symantec -> Ransom.Sorry
Tencent -> Trojan-Ransom.Msil.Agent.ga
TrendMicro -> Ransom_FileCoder.R002C0DAM24
---

© Генеалогия: ✂ Chaos + другой код >> Frivinho

Сайт "ID Ransomware" Frivinho пока отдельно не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Frivinho0

По данным исследователей из Symantec Security Center в конце расширения должны быть еще два символа и оно может выглядеть так: .Frivinho0>v

В результате анализа расширение на файлах было .Frivinho0

Так выглядят зашифрованные файлы:

Записка с требованием выкупа называется: PLS_READ_ME.txt

Содержание записки о выкупе:

Oops, what happend?

All of your files have been encrypted

Your computer was infected with Frivinho Ransomware. Your files have been encrypted and you won't be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $1,500. Payment can be made in Bitcoin or Robux.

How do I pay, where do I get Bitcoin?

Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself  to find out how to buy Bitcoin.

Many of our customers have reported these sites to be fast and reliable:

Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.com

Payment informationAmount: 0.1473766 BTC

Check this pastebin to get the my newest Bitcoin Adress: hxxps://pastebin.com/raw/wZnisRDV

And by cheking the pastebin, you can see more information about how you can pay.

Перевод записки на русский язык:

Ой, что случилось?

Все ваши файлы зашифрованы

Ваш компьютер был заражен Frivinho Ransomware. Ваши файлы зашифрованы, и вы не сможете их расшифровать без нашей помощи.

Что я могу сделать, чтобы вернуть свои файлы?

Вы можете купить нашу специальную программу для дешифрования. Эта программа позволит вам восстановить все ваши данные и удалить ransomware с вашего компьютера. Цена программы $1500. Оплата возможна в биткойнах или Robux.

Как мне заплатить, где я могу получить биткойны?

Покупка биткойнов различается по странам, поэтому вам лучше всего самим поискать в Google, чтобы узнать, как купить биткойны.

Многие из наших клиентов отмечают, что эти сайты работают быстро и надежно:

Coinmama — hxxps://www.coinmama.com Bitpanda — hxxps://www.bitpanda.com

Информация о платеже Сумма: 0.1473766 BTC

Проверьте этот pastebin, чтобы получить мой новый биткойн-адрес: hxxps://pastebin.com/raw/wZnisRDV

А проверив pastebin, вы сможете увидеть дополнительную информацию о том, как вы можете оплатить.

---

Адрес, по которому размещается актуальный email вымогателей:

Другим информатором жертвы является изображение, которое заменяет обои Рабочего стола. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:

vssadmin delete shadows /all /quiet & wmic shadowcopy delete

bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PLS_READ_ME.txt - название файла с требованием выкупа;
svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: frivicobaia@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f64a5c6fa180acaee93d4fac406c579b 

SHA-1: bacf88f16fe670ef2d87df154929c51b28b12263 

SHA-256: cb7c19b49efd25a4314129c9024c8e84ad9dd8acb45658ecf43c2d1fab775ca6 

Vhash: 23603615551b00714f0034 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.