REDCryptoApp

REDCryptoApp Ransomware

REDCryptoApp Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует заплатить выкуп, чтобы украденные хакерами данные не были опубликованы. Оригинальное название: REDCryptoApp. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> REDCryptoApp

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце февраля - начале марта 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди пострадавших крупные компании в США и Европе. 

К зашифрованным файлам добавляется расширение: .REDCryptoApp

Записка с требованием выкупа называется: HOW_TO_RESTORE_FILES.REDCryptoApp.txt

Содержание записки о выкупе:

Attention!

----------------------------

| What happened?

----------------------------

We hacked your network and safely encrypted all of your files, documents, photos, databases, and other important data with reliable algorithms.

You cannot access your files right now, But do not worry You can get it back! It is easy to recover in a few steps.

We have also downloaded a lot of your private data from your network, so in case of not contacting us these data will be release publicly.

Everyone has a job and we have our jobs too, there is nothing personal issue here so just follow our instruction and you will be ok.

Right now the key of your network is in our hand now and you have to pay for that.

Plus, by paying us, you will get your key and your data will be earse from our storages and if you want you can get advise from us too, in order to make your network more than secure before.

----------------------------

| How to contact us and get my files back?

----------------------------

The only method to decrypt your files and be safe from data leakage is to purchase a unique private key which is securely stored in our servers.

To contact us and purchase the key you have to get to the link below :

Onion Link : 

hxxx://33zo6hifw4usofzdnz74fm2zmhd3zsknog5jboqdgblcbwrmpcqzzbid.onion/99c0d8f3e55abe9594b665/v8GyukYzp3g2n/login

Hash ID : iuemspodbry***

!Important! : This is a unique link and hash for your network so don't share these with anyone and keep it safe.

----------------------------

| How to get access to the Onion link ?

----------------------------

Simple :

1- Download Tor Browser and install it. (Official Tor Website : torproject.org)

2- Open Tor Browser and connect to it.

3- After the Connection, Enter the Onion Link and use your Hash ID to login to your panel.

----------------------------

| What about guarantees?

----------------------------

We understand your stress and worry.

So you have a FREE opportunity to test a service by instantly decrypting for free some small files from your network.

after the payment we will help you until you get your network back to normal and be satesfy.

Dear System Administrators,

Do not think that you can handle it by yourself.

By hiding the fact of the breach you will be eventually fired and sometimes even sued.

Just trust us we've seen that a lot before.

----------------------------

| Follow the guidelines below to avoid losing your data:

----------------------------

!Important!

 -Do not modify or rename encrypted files. You will lose them.

 -Do not report to the Police, FBI, EDR, AV's, etc. They don't care about your business. They simply won't allow you to pay. As a result you will lose everything.

 -Do not hire a recovery company. They can't decrypt without the key. They also don't care about your business. They believe that they are smarter than us and they can trick us, but it is not. They usually fail. So speak for yourself.

 -Do not reject to purchase, Exfiltrated files will be publicly disclosed.

!Important!

-------------------------------------------------------------------------------

Перевод записки на русский язык:

Внимание!

----------------------------

| Что случилось?

----------------------------

Мы взломали вашу сеть и надежно зашифровали все ваши файлы, документы, фотографии, базы данных и другие важные данные с помощью надежных алгоритмов.

Вы не можете получить доступ к своим файлам прямо сейчас, но не волнуйтесь, вы можете получить их обратно! Легко восстановиться за несколько шагов.

Мы также загрузили много ваших личных данных из вашей сети, поэтому, если вы не свяжетесь с нами, эти данные будут опубликованы публично.

У каждого есть работа, и у нас тоже есть работа, здесь нет ничего личного, так что просто следуйте нашим инструкциям, и все будет в порядке.

Прямо сейчас ключ от вашей сети находится в наших руках, и вам придется за это заплатить.

Кроме того, заплатив нам, вы получите свой ключ, и ваши данные будут удалены из наших хранилищ, и, если вы хотите, вы также можете получить от нас консультацию, чтобы заранее сделать вашу сеть более чем безопасной.

----------------------------

| Как связаться с нами и вернуть мои файлы?

----------------------------

Единственный способ расшифровать ваши файлы и обезопасить себя от утечки данных — это приобрести уникальный закрытый ключ, который надежно хранится на наших серверах.

Чтобы связаться с нами и приобрести ключ, вам необходимо перейти по ссылке ниже:

Ссылка на Onion:

hxxx://33zo6hifw4usofzdnz74fm2zmhd3zsknog5jboqdgblcbwrmpcqzzbid.onion/99c0d8f3e55abe9594b665/v8GyukYzp3g2n/login

Hash ID: iuemspodbry***

!Важно! : это уникальная ссылка и хеш для вашей сети, поэтому никому не передавайте их и храните в безопасности.

----------------------------

| Как получить доступ к ссылке Onion?

----------------------------

Простой :

1- Загрузите Tor Browser и установите его. (Официальный сайт Tor: torproject.org)

2- Откройте браузер Tor и подключитесь к нему.

3. После подключения введите луковую ссылку и используйте свой хэш-идентификатор для входа в свою панель.

----------------------------

| А как насчет гарантий?

----------------------------

Мы понимаем ваш стресс и беспокойство.

Таким образом, у вас есть БЕСПЛАТНАЯ возможность протестировать сервис, мгновенно бесплатно расшифровав несколько небольших файлов из вашей сети.

после оплаты мы будем помогать вам, пока вы не вернете свою сеть в нормальное состояние и не будете удовлетворены.

Уважаемые системные администраторы,

Не думайте, что вы сможете справиться с этим самостоятельно.

Если вы скроете факт нарушения, вас в конечном итоге уволят, а иногда даже подадут в суд.

Просто поверьте нам, мы видели это много раз раньше.

----------------------------

| Следуйте приведенным ниже рекомендациям, чтобы не потерять свои данные:

----------------------------

!Важно!

  -Не изменяйте и не переименовывайте зашифрованные файлы. Вы потеряете их.

  - Не сообщайте в полицию, ФБР, EDR, AV и т. д. Им плевать на ваш бизнес. Вам просто не дадут заплатить. В результате вы потеряете все.

  - Не нанимайте компанию по восстановлению. Без ключа они не смогут расшифровать. Им также плевать на ваш бизнес. Они считают, что они умнее нас и могут нас обмануть, но это не так. Обычно они терпят неудачу. Так что говорите за себя.

  - Не отказывайтесь от покупки. Украденные файлы будут опубликованы.

!Важно!

Список жертв на сайте вымогателей:

Пострадавшие сообщают, что это список не менялся с конца февраля. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE_FILES.REDCryptoApp.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://33zo6hifw4usofzdnz74fm2zmhd3zsknog5jboqdgblcbwrmpcqzzbid.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 alex_jvg
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.