Wessy

Wessy Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп $100 в Litecoin или в активах Pet Simulator 99 Roblox, чтобы получить дешифровщик и вернуть файлы. Оригинальное название: Wessy. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38495
BitDefender -> Trojan.GenericKD.71263746
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.C
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> MachineLearning/Anomalous.97%
Microsoft -> Ransom:MSIL/Filecoder.PKC!MSR
Rising -> Ransom.Chaos!8.12FB5 (CLOUD)
Tencent -> Msil.Trojan-Ransom.Encoder.Wwhl
TrendMicro -> TROJ_GEN.R002H0AAI24
---

© Генеалогия: родство выясняется >> Wessy

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине января 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wessy

Записка с требованием выкупа называется: READ_ME.txt

Содержание записки о выкупе:

Don't worry, you can return all your files!

All your files like documents, photos, databases and other important are encrypted

What guarantees do we give to you?

You can send 3 of your encrypted files and we decrypt it for free.

send everything you have in ps99 to the user : pfftww

send everything you have in ps99 to the user : pfftww

(if you send less than $100 worth of ps99 titanics, huges, or gems please send $100 in litecoin to LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4)

You must follow these steps To decrypt your files :   

1) Write on uTox (hxxps://utox.org/) :E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E (our uTox contact ID)

2) Obtain Litecoin (You may have to pay some of the ransom with Litecoin

You may buy Litecoin from here hxxps://paybis.com/buy-litecoin/ when the ransom is paid in full then the decryptor tool will be placed onto your desktop.)

Dont do anything stupid...

We are watching

uTox contact ID: E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E

Litecoin address: LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4

Перевод записки на русский язык:

Не волнуйтесь, вы можете вернуть все свои файлы!

Все ваши файлы, такие как документы, фото, базы данных и другие важные файлы, зашифрованы.

Какие гарантии мы вам даем?

Вы можете отправить 3 своих зашифрованных файла, и мы расшифруем их бесплатно.

отправьте пользователю все, что у вас есть в ps99: ***

отправьте пользователю все, что у вас есть в ps99: ***

(если вы отправите ps99 титаны или крипту на $100 в Litecoin на адрес ***)

Чтобы расшифровать файлы, надо выполнить следующие действия:

1) Напишите на uTox (hxxps://utox.org/): *** (наш контакт ID uTox)

2) Получите Litecoin (возможно, вам придется заплатить часть выкупа с помощью Litecoin).

Вы можете купить Litecoin здесь hxxps://paybis.com/buy-litecoin/. Когда выкуп будет выплачен полностью, инструмент расшифровки будет помещен на ваш рабочий стол.)

Не делайте глупостей...

Мы наблюдаем

uTox контакт ID: ***

Litecoin адрес: ***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.txt - название файла с требованием выкупа;
DonutLite1.2.1.exe - случайное название вредоносного файла;

svchost.exe - название вредоносного файла;

файл изображения, заменяющий обои Рабочего стола. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
uTox: E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E

Litecoin: LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 57f8fbce24a06fa399c8690a6703a850 

SHA-1: 248bf857d4739f60fbb0f4e9dbd855f3cbf2d09f 

SHA-256: 2f9967e58f4c436c102a7de4c8e5b5aef61db1ddc0c5df601dc70b25b7416b46 

Vhash: 295036751511601a2b121031 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Tomas Meskauskas (PCrisk), petikvx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.