Nemesis-888

Nemesis-888 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью  алгоритма AES-256 (режим CBC), а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: svchost.dll. В некоторых случаях файлы можно расшифровать. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.41867
BitDefender -> Gen:Variant.Lazy.610044
ESET-NOD32 -> A Variant Of Win64/Filecoder.UG
Kaspersky -> Trojan-Ransom.Win32.Agent.bcdg
Malwarebytes -> Trojan.Crypt.Generic
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan-Ransom.Agent.Jmnw
TrendMicro -> TROJ_GEN.R002H09CL25
---

© Генеалогия: родство выясняется >> Nemesis-888

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале-середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. На момент написания статьи ничего неизвестно о распространении. 

К зашифрованным файлам добавляется расширение: .888

Пример зашифрованного файла и текст в нем: 

 

Записка с требованием выкупа называется: !RESTORE_FILES!.txt

Содержание записки о выкупе:

+----------------------------------------------------------------------------+

|   !!!ALL YOUR FILES ARE ENCRYPTED, AS A RESULT OF A BREACH IN SECURITY!!!  |

+----------------------------------------------------------------------------+

No worries - you can get them back!

It's impossible to decrypt without contacting us.

+----------------------------------------------------------------------------+

|   !!!DON'T TRY TO CHANGE ENCRYPTED FILES!!!                             |

|   !!!DON'T RENAME ENCRYPTED FILES!!!                                         |

|   !!!DON'T USE ADDITIONAL RECOVERY SOFTWARE!!!                      |

|   !!!IT WILL MAKE THEM IMPOSSIBLE TO DECRYPT!!!                       |

+----------------------------------------------------------------------------+

How to return all your data back in safe:

1. Copy and sent us your KEY.

2. We can decrypt 2 small files, no databases (.jpg, .txt, .doc, ets.. (up to 3mb)) as your warranty.

3. After payment, you will receive a special software for decryption.

--------------------------------------------------------------------------------------------

KEY: P/f/VlNzAE255D0071***

--------------------------------------------------------------------------------------------

EMAILS:

nemesis@888recover.4wrd.cc

nemesissupport@firemail.cc

Zero cheats, all integrity.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает, не шифрует файлы в следующих директориях: 

ProgramData

Microsoft

Program Files(x86)

Microsoft.

Roaming\\Microsoft

AppData\\Local\\Temp

\\Windows\\System32

Пропускает, не шифрует следующие файлы: 

svchost.exe, bootmgr, bootmgr.efi, bootmgr.efi.mui, bootmgr.exe, bootmgr.exe.mui, img___XXX.jpg, !RESTORE_FILES!.txt

Файлы, связанные с этим Ransomware:
!RESTORE_FILES!.txt - название файла с требованием выкупа;

svchost.pdb - название файла проекта вредоносного файла;

img___XXX.jpg - некий файл изображения; 
svchost.dll -> svchost.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nemesis@888recover.4wrd.cc, nemesissupport@firemail.cc
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR 

MD5: 5315bdbf85ad2b3bb13ae8ee62489f7f 

SHA-1: 8b0e4650f1a7080b78066a61152e571ca8b6816b 

SHA-256: : dee0fde2d096c79e138890f958b9440e87cce38504b654a97de50bb7969a9c98 

Vhash: 026086666c056d15651550a8z9d7z7uz1 

Imphash: bc942efe47009b1887e57410405ef4d1

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.