Если вы не видите здесь изображений, то используйте VPN.

четверг, 18 января 2024 г.

Wessy

Wessy Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Wessy Ransomware

 Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп $100 в Litecoin или в активах Pet Simulator 99 Roblox, чтобы получить дешифровщик и вернуть файлы. Оригинальное название: Wessy. На файле написано: svchost.exe.
---
 Обнаружения:
DrWeb -> Trojan.Encoder.38495
BitDefender -> Trojan.GenericKD.71263746
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.C
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> MachineLearning/Anomalous.97%
Microsoft -> Ransom:MSIL/Filecoder.PKC!MSR
Rising -> Ransom.Chaos!8.12FB5 (CLOUD)
Tencent -> Msil.Trojan-Ransom.Encoder.Wwhl
TrendMicro -> TROJ_GEN.R002H0AAI24
---
© Генеалогия: родство выясняется >> Wessy


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине января 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wessy

Записка с требованием выкупа называется: READ_ME.txt

Wessy Ransomware note, записка о выкупе

 Содержание записки о выкупе:
Don't worry, you can return all your files!
All your files like documents, photos, databases and other important are encrypted
What guarantees do we give to you?
You can send 3 of your encrypted files and we decrypt it for free.
send everything you have in ps99 to the user : pfftww
send everything you have in ps99 to the user : pfftww
(if you send less than $100 worth of ps99 titanics, huges, or gems please send $100 in litecoin to LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4)
You must follow these steps To decrypt your files :   
1) Write on uTox (hxxps://utox.org/) :E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E (our uTox contact ID)
2) Obtain Litecoin (You may have to pay some of the ransom with Litecoin
You may buy Litecoin from here hxxps://paybis.com/buy-litecoin/ when the ransom is paid in full then the decryptor tool will be placed onto your desktop.)
Dont do anything stupid...
We are watching
uTox contact ID: E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E
Litecoin address: LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4

 Перевод записки на русский язык:
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как документы, фото, базы данных и другие важные файлы, зашифрованы.
Какие гарантии мы вам даем?
Вы можете отправить 3 своих зашифрованных файла, и мы расшифруем их бесплатно.
отправьте пользователю все, что у вас есть в ps99: ***
отправьте пользователю все, что у вас есть в ps99: ***
(если вы отправите ps99 титаны или крипту на $100 в Litecoin на адрес ***)
Чтобы расшифровать файлы, надо выполнить следующие действия:
1) Напишите на uTox (hxxps://utox.org/): *** (наш контакт ID uTox)
2) Получите Litecoin (возможно, вам придется заплатить часть выкупа с помощью Litecoin).
Вы можете купить Litecoin здесь hxxps://paybis.com/buy-litecoin/. Когда выкуп будет выплачен полностью, инструмент расшифровки будет помещен на ваш рабочий стол.)
Не делайте глупостей...
Мы наблюдаем
uTox контакт ID: ***
Litecoin адрес: ***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

 Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.txt - название файла с требованием выкупа;
DonutLite1.2.1.exe - случайное название вредоносного файла;
svchost.exe - название вредоносного файла;
файл изображения, заменяющий обои Рабочего стола. 



 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
uTox: E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E
Litecoin: LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

 Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 57f8fbce24a06fa399c8690a6703a850 
SHA-1: 248bf857d4739f60fbb0f4e9dbd855f3cbf2d09f 
SHA-256: 2f9967e58f4c436c102a7de4c8e5b5aef61db1ddc0c5df601dc70b25b7416b46 
Vhash: 295036751511601a2b121031 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


 Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Tomas Meskauskas (PCrisk), petikvx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *