Starcat Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов RSA и ChaCha20, а затем требует выкуп $5000 в XMR, чтобы вернуть файлы. Оригинальное название: Starcat.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41364
BitDefender -> Dump:Generic.Ransom.Spora.01F280B9
ESET-NOD32 -> A Variant Of Win64/Filecoder.RE
Kaspersky -> Trojan.Win32.Agent.xbuthd
Malwarebytes -> Trojan.Dropper
Microsoft -> Ransom:Win64/Filecoder.SWK!MTB
Rising -> Ransom.Filecoder!8.1BA3F (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c081ef
TrendMicro -> Ransom_Filecoder.R002C0DA325
---
© Генеалогия: родство выясняется >> Starcat
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале декабря 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .starcat
Записка с требованием выкупа называется: recover files,view here.txt
Записка с требованием выкупа называется: recover files,view here.txt
Переводы сделаны с помощью Google-переводчика для 13 языков: English, Russian, Chinese, German, Japanese, French, Korean, Portuguese, Thai, Hebrew, Spanish, Italian, Arabic.
Содержание записки о выкупе:
hello, my friend! we have encrypted all your computer files. please do not use antivirus software, otherwise your files will never be recovered. the encryption algorithm uses CHACHA20+RSA4096, and your key is encrypted using RSA16384. in this world, no one can decrypt your files except us. even if you use a supercomputer, you cannot decrypt the files. how to get the files back? you must pay us $5,000 worth of XMR to decrypt your files. you can search for monero virtual currency on google, and then you can see its price and how to trade virtual currency. you only have 7 chances to send us emails, so don't try to bargain with us, it will be bad for you it doesn't help at all, but will only irritate us. if you don't complete the transaction within 7 days, we will delete your key and make all your files public! of course, you can send us 3 files less than 3mb, and we will decrypt them for free. after the decryption is completed, please send the XMR to the address we provide. when sending an email, send us your key and your transaction record together. after we receive your request, we will complete your request within 24 hours. i wish you a happy life!
our email: cos.luise@gmx.com
our XMR address:
48hDBzD7J8fMVxcy7J6gTy3tJ3gZDgBgigrzr***
your rsa public key:
***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
recover files,view here.txt - название файла с требованием выкупа;
star_cat.txt - специальный файл;
2622375.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
2622375.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\star_cat.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
start_cat_encrypt
Сетевые подключения и связи:
Email: cos.luise@gmx.com
XMR: 48hDBzD7J8fMVxcy7J6gTy3tJ3gZDgBgigrzr***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
start_cat_encrypt
Сетевые подключения и связи:
Email: cos.luise@gmx.com
XMR: 48hDBzD7J8fMVxcy7J6gTy3tJ3gZDgBgigrzr***
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 0df6cb830d2f8f248ebb420e0473e40b
SHA-1: 4f89623b972450fac3b320779672003b06fa5d9f
SHA-256: 9cc7fd79b16ed36fe78d8b6bc9ea5e99bb1fb48a39d6051c3961bf503fd16a24
Vhash: 046066655d5565555173z42zaa7z4035z23zd4z1b7z
Imphash: c5ae3ee6b43d848e2878befd49850f26
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: Hyuna Lee, petik Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
