Smock

Smock Ransomware

Aliases: Smok, Mehro, Phobos, ciphx

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться с вымогателями, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: в разных записках указаны разные варианты названий. На файле написано: Ransomware.
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/GenKryptik.HCKM
Kaspersky -> ***
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Kryptik!8.8 (CLOUD)
Tencent -> Msil.Trojan.Genkryptik.Etgl
TrendMicro -> TROJ_GEN.R002H09J524
---

© Генеалогия: Koolova modified >> Smock

Сайт "ID Ransomware" это пока отдельно не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в июня-августе 2024 г., но продолжилась до октября. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется одно из следующих расширений: 

.SMOCK 

.SMOK 

.MEHRO 

.PHOBOS 

.ciphx (в октябре)

Фактически используется известный шаблон:

.[ID{8}][<email_ransom>].extension

Здесь ID{8} = pcid (идентификатор компьютера). 

Примеры зашифрованных файлов:

.[614FD522][smocksupport@protonmail.com].SMOCK

.[812EH413][smoksupport@onionmail.com].SMOK

Записки с требованием выкупа называются: ReadMe.txt, info.hta

Содержание записки ReadMe.txt:

Smock Ransomware!!!

ATTENTION!

YOUR PERSONAL DECRYPTION ID : 102AB***

At the moment, your system is not protected.

We can fix it and restore your files.

To get started, send 1-2 small files to decrypt them as proof

You can trust us after opening them

2.Do not use free programs to unlock.

OUR CONTACTS:

 [+] Email 1 : smoksupport@onionmail.com

 [+] Email 2 : smocksupport@protonmail.com

 [+] Write Us To The ID-Telegram :@Recovery_Data_***  (https://t.me/Recovery_Data_*** )    

1) TOX messenger (fast and anonymous)

https://tox.chat/download.html

Install qtox

Press sign up

Create your own name

Press plus

Put there our tox ID:

AD2***

And add me/write message

Перевод записки на русский язык:

Smock Ransomware!!!

ВНИМАНИЕ!

ВАШ ПЕРСОНАЛЬНЫЙ ИД РАСШИФРОВКИ: 102AB***

В данный момент ваша система не защищена.

Мы можем исправить это и вернуть ваши файлы.

Для начала отправьте 1-2 небольших файла для доказательства расшифровки

Вы можете доверять нам после их открытия

2. Не используйте бесплатные программы для разблокировки.

НАШИ КОНТАКТЫ:

[+] Email 1 : smoksupport@onionmail.com

[+] Email 2 : smocksupport@protonmail.com

[+] Напишите нам в ID-Telegram :@Recovery_Data_*** (https://t.me/Recovery_Data_*** )

1) TOX messenger (быстрый и анонимный)

https://tox.chat/download.html

Установите qtox

Нажмите sign up

Создайте свое имя

Нажмите plus

Вставьте туда наш tox ID:

AD2***

И добавьте меня/напишите сообщение

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe.txt - название файла с требованием выкупа;

info.hta - название файла с требованием выкупа;
Ransomware.exe - случайное название вредоносного файла;

Ransomware.pdb -  файл проекта вредоносного файла;

ControlledEncryptionTest.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Administrator\Desktop\rans\Ransomware\Ransomware\Ransomware\Ransomware\Ransomware\Ransomware\obj\Release\Ransomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email-1: smoksupport@onionmail.com

Email-2: smocksupport@protonmail.com

Email-3: Smoksupport@cloudminerapp.com

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Koolova Ransomware — ноябрь-декабрь 2016

Koolova HT Ransomware — ноябрь-декабрь 2016

DUMB (Ramsomeer) Ransomware — февраль 2017

Повторные варианты — 2018 

Модифицированные варианты — 2018-2024

Smock, Smok и другие — июнь-октябрь 2024

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2 октября 2024:

Сообщение на форуме >>
Расширение: .ciphx

Пример зашифрованного файла: document.txt.[508AB610][ciphx@onionmail.com].ciphx

Email-1:ciphx@onionmail.com

Email-2: Ciphx99@protonmail.com

Telegram: @Recovery_Data_ciphx

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.