CCECrypt

CCECrypt Ransomware

CCE Ransomware

AIEOU Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Описанный вариант предназначен для Windows x64. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32965
BitDefender -> Trojan.GenericKD.44254481
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.terpo
ESET-NOD32 -> A Variant Of Win64/Filecoder.CQ

Kaspersky -> Trojan.Win32.Udochka.ba
Malwarebytes -> Ransom.CCECrypt
Rising ->
Symantec -> Trojan.Gen.2

Tencent -> Win32.Trojan.Udochka.Lkdo
TrendMicro -> TROJ_GEN.R002C0WJV20


© Генеалогия: ??? >> CCECrypt (CCE) 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aieou
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

Your files were infected with ransomware and encrypted. If you wish to recover, please contact the email address below and pay 1 BTC or more.cce_2020_final@cce2020.kr

Перевод записки на русский язык:
Ваши файлы заражены ransomware и зашифрованы. Если хотите вернуть, пишите на email-адрес ниже и платите 1 BTC или more.cce_2020_final@cce2020.kr

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
<random>.exe - название вредоносного файла

n0tepad.exe - название вредоносного файла

20200824_112607.exe - название вредоносного файла

cce_final_ransom.pdb - файл оригинального проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\user\Desktop\n0tepad.exe

C:\Windows\system32\conhost.exe

C:\Users\Administrator\source\repos\cce_final_ransom\x64\Release\cce_final_ransom.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: more.cce_2020_final@cce2020.kr
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ScatterBrain

ScatterBrain Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+ChaCha, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ScatterBrain. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32967
BitDefender -> Trojan.GenericKD.44252380
Avira (no cloud) -> TR/Ransom.qzozq
ESET-NOD32 -> MSIL/Filecoder.ACY
Malwarebytes -> Ransom.FileCryptor
Symantec -> Ransom.Wannacry
TrendMicro -> TROJ_GEN.R069H0DJS20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> ScatterBrain

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: contactUs.txt

Содержание записки о выкупе: 

This is your decryption info-pack. Here you can find information on how to decrypt your files and continue with your business. 

FAQ: 

This decryption pack contains: contactUs.txt (this file), 

encryptedFiles.txt (files that have been encrypted) - do not delete this file if your wish to decrypt your files later on, 

RSA-EncryptedKey.txt - encrypted information containing the decryption password. Quote this key during any communication with us. 

====================================================================================================

Q: Why should I trust you? 

1) We guarantee that your files will be decrypted if you contact us within a reasonable timeframe. Nobody would do business with us if we could not deliver on this promise. 

Q: What is that you can do ? 

2) Our promise is that we WILL provide the decrypter and decryption keys to each of the affected workstations on your network and we WILL provide a proof of our words to you on request. 

Q: How much will it cost me to bring my files back ? 

3) Price for the decryption key and the deletion of your sensitive data from our servers can be negotiated over the contact details provided. We are happy to apply a discounted price if you contact us early. 

Q: How do I contact you ? 

4) Should you wish to proceed with our offer, please contact us at anon4113@protonmail.com. We will respond within reasonable time to set up the meeting and answer all your questions. 

====================================================================================================

Please note that a failure to respond within 7 days will have the consequences of your stakeholder data being released to the public which may damage your company trust and reputation. We hope to hear from you soon.

Перевод записки на русский язык: 

Это ваш информационный пакет для расшифровки. Здесь вы можете найти информацию о том, как расшифровать ваши файлы и продолжить свой бизнес.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:

Этот пакет расшифровки содержит: contactUs.txt (этот файл),

encryptedFiles.txt (файлы, которые были зашифрованы) - не удаляйте этот файл, если вы хотите расшифровать ваши файлы позже,

RSA-EncryptedKey.txt - зашифрованная информация, содержащая пароль для дешифрования. Процитируйте этот ключ при любом общении с нами.

================================================== ==================================================

В: Почему я должен вам доверять?

1) Мы гарантируем, что ваши файлы будут расшифрованы, если вы свяжетесь с нами в разумные сроки. Никто не стал бы вести с нами дела, если бы мы не смогли выполнить это обещание.

В: Что вы можете сделать?

2) Мы обещаем, что мы предоставим дешифратор и ключи дешифрования для каждой из затронутых рабочих станций в вашей сети, и мы предоставим вам подтверждение наших слов по запросу.

В: Сколько мне будет стоить вернуть мои файлы?

3) Стоимость ключа дешифрования и удаления ваших конфиденциальных данных с наших серверов может быть согласована по предоставленным контактным данным. Мы будем рады применить скидку, если вы свяжетесь с нами раньше.

Q: Как с вами связаться?

4) Если вы хотите продолжить работу с нашим предложением, свяжитесь с нами по адресу anon4113@protonmail.com. Мы ответим в разумные сроки, чтобы назначить встречу и ответить на все ваши вопросы.

================================================== ==================================================

Обратите внимание, что отсутствие ответа в течение 7 дней повлечет за собой разглашение данных ваших заинтересованных сторон, что может нанести ущерб доверию и репутации вашей компании. Мы надеемся услышать вас скоро.

---

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.

Содержание текста с этого изображения:

This company network was riddled with vulnerabilities and in consequence has suffered a breach. When you disregard the security of the system in favour of savings that is where bad things happen. We took advantage of that.

As you might have already noticed your important files have been encrypted, they can be recognized as having *.encrypted extension. Any tempering with these files will result in unrecoverable damage. Do not change the extensions if you wish to decrypt those files later on.

Windows restore points have been deleted, reverting to previous state is impossible unless you were keeping regular offline backups of your files from each of the workstations....

Your critical files such as clients information and your stakeholder data was exfiltrated. Ask for the sample if you need a proof.

This sensitive data has not been released to anyone, yet.

We are willing to work with you to maintain your company trust and reputation in the eyes of those who you do business with.

Our contact details and decryption instructions can be found in C:\ProgramData\DecryptionPack\contactUs.txt on each of the affected

workstations.

For us it is business and not personal.

Перевод текст ан арусский язык:

Сеть этой компании была пронизана уязвимостями и, как следствие, пострадала от взлома. Когда вы пренебрегаете безопасностью системы в пользу экономии, тогда случаются плохие вещи. Мы этим воспользовались.

Как вы, возможно, уже заметили, ваши важные файлы были зашифрованы, их можно распознать как имеющие расширение * .encrypted. Любое 

вмешательство в эти файлы приведет к невосстановимому ущербу. Не меняйте расширения, если вы хотите расшифровать эти файлы позже.

Точки восстановления Windows были удалены, возврат к предыдущему состоянию невозможен, если вы не делали регулярные автономные резервные копии ваших файлов с каждой из рабочих станций ....

Ваши важные файлы, такие как информация о клиентах и ​​данные ваших заинтересованных сторон, были украдены. Если вам нужны доказательства, попросите образец.

Эти конфиденциальные данные пока никому не переданы.

Мы готовы работать с вами, чтобы поддерживать доверие и репутацию вашей компании в глазах тех, с кем вы ведете бизнес.

Наши контактные данные и инструкции по расшифровке можно найти в C:\ProgramData\DecryptionPack\contactUs.txt на каждом из затронутых

рабочие станции.

Для нас это бизнес, а не личное.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
contactUs.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

ScatterBrain.pdb - оригинальное название проекта

filesToEncrypt.txt

encryptedFiles.txt

RSA-EncryptedKey.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\Desktop\ScatterBrain-slim\x64\Release\ScatterBrain.pdb

C:\ProgramData\DecryptionPack

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: anon4113@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Mars, MarsDecrypt

Mars Ransomware

MarsDecrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные сайтов, NAS-устройств, серверов и компьютеров бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в $300-$2000 в BTC, чтобы вернуть файлы. Сумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов. Оригинальное название: MARS Virus. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Mars

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .mars


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: !!!MARS_DECRYPT.TXT

Записка с суммой выкупа $300

Записка с суммой выкупа $2000

Содержание записки о выкупе: 

All your files have been encrypted with MARS Virus.

Your unique id: B7D70A6B4C8C41D38305FC492627EFAF

Our virus encrypted 15 of your office files (xls, xlsx, doc, docx, ppt, pptx, odt, ods, pdf, dwg, psd, dbf, fpt, php, cdr, mdb, accdb). 

You can buy decryption for 300$ in Bitcoins.

But before you pay, you can make sure that we can really decrypt any of your files.

The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.

To do this:

1) Send your unique id B7D70A6B4C8C41D38305FC492627EFAF and max 3 files for test decryption to mars_dec@outlook.com or anton_ivan_8989@mail.ru

2) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.

3) Be careful! Fakes are possible in Telegram, never pay until you receive test files after decryption!

4) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 

or do this(If you have not received a reply by email):

1) Download and install Telegram Messanger: https://desktop.telegram.org/ (for Windows, Linux, macOS)

2) Find user mars_dec

3) Send your unique id B7D70A6B4C8C41D38305FC492627EFAF and max 3 files for test decryption.

4) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.

5) Be careful! Fakes are possible in Telegram, never pay until you receive test files after decryption!

6) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 

FAQ:

Can I get a discount?

No. The ransom amount is calculated based on the number of encrypted office files and discounts are not provided. All such messages will be automatically ignored.

What is Bitcoin?

read bitcoin.org

Where to buy bitcoins?

https://bitcoin.org/en/buy

https://buy.moonpay.io

or use google.com

Where is the guarantee that I will receive my files back?

The very fact that we can decrypt your random files is a guarantee. It makes no sense for us to deceive you.

How quickly will I receive the key and decryption program after payment?

As a rule, within a few hours, but very rarely there may be a delay of 1-2 days.

How does the decryption program work?

It's simple. You need to copy the key and select a folder to decrypt. The program will automatically decrypt all encrypted files in this folder and its subfolders.

I will complain about your Telegram account and mailbox's..

God help you. You won't find us anyway. But many people will be deprived of any opportunity to recover their files.

Перевод записки на русский язык: 

Все ваши файлы были зашифрованы MARS Virus.

Ваш уникальный  id: B7D70A6B4C8C41D38305FC492627EFAF

Наш вирус зашифровал 15 ваших офисных файлов (xls, xlsx, doc, docx, ppt, pptx, odt, ods, pdf, dwg, psd, dbf, fpt, ​​php, cdr, mdb, accdb).

Вы можете купить расшифровку за 300$ в биткойнах.

Но перед оплатой убедитесь, что мы действительно сможем расшифровать любой из ваших файлов.

Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.

Сделать это:

1) Отправьте свой уникальный id B7D70A6B4C8C41D38305FC492627EFAF и максимум 3 файла для тестовой расшифровки на mars_dec@outlook.com или anton_ivan_8989@mail.ru

2) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.

3) Будьте осторожны! В Telegram возможны подделки, никогда не платите, пока не получите тестовые файлы после расшифровки!

4) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.

или сделайте это (если вы не получили ответ по электронной почте):

1) Загрузите и установите Telegram Messanger: https://desktop.telegram.org/ (для Windows, Linux, macOS)

2) Найдите пользователя mars_dec

3) Отправьте свой уникальный id B7D70A6B4C8C41D38305FC492627EFAF и максимум 3 файла для тестовой расшифровки.

4) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.

5) Будьте осторожны! В Telegram возможны подделки, никогда не платите, пока не получите тестовые файлы после расшифровки!

6) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:

Могу ли я получить скидку?

Нет. Сумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов, и скидки не предоставляются. Все такие сообщения будут автоматически игнорироваться.

Что такое биткойн?

читайте bitcoin.org

Где купить биткойны?

https://bitcoin.org/en/buy

https://buy.moonpay.io

или используйте google.com

Где гарантия, что я получу свои файлы обратно?

Сам факт, что мы можем расшифровать ваши случайные файлы, является гарантией. Для нас нет смысла обманывать вас.

Как быстро я получу ключ и программу дешифрования после оплаты?

Как правило, в течение нескольких часов, но очень редко может быть задержка на 1-2 дня.

Как работает программа дешифрования?

Это просто. Вам нужно скопировать ключ и выбрать папку для расшифровки. Программа автоматически расшифрует все зашифрованные файлы в этой папке и ее подпапках.

Я пожалуюсь на ваш аккаунт в Telegram и почтовые ящики ..

Бог тебе в помощь. Вы все равно нас не найдете. Но многие люди будут лишены возможности восстановить свои файлы.

Технические детали

Наверняка распространяется путём взлома через незащищенную конфигурацию RDP, т.к. большинство пострадавших сообщили, что об атаках на серверы, которые никогда не подключались к сети и ничего не скачивали.

При перенастройке вектора атаки могут начать распрсотраняться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.xls, .xlsx, .doc, .docx, .ppt, .pptx, .odt, .ods, .pdf, .dwg, .psd, .dbf, .fpt, .php, .cdr, .mdb, .accdb - как минимум. 

Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, видеофайлы, чертежи, веб-файлы и пр.

Файлы, связанные с этим Ransomware:
!!!MARS_DECRYPT.TXT - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

MARSDecryptor.exe - оригинальный дешифровщик

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Index of/

 

Мы нашли зашифрованные файлы на разных сайтах. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mars_dec@outlook.com, anton_ivan_8989@mail.ru

Telegram: mars_dec
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis (MARSDecryptor.exe) >>
🐞 Intezer analysis (MARSDecryptor.exe) >>

ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 30 ноября 2020:

Сообщение >>

Расширение: .vyb

Telegram: mars_dec

Обновление от 2 фераля 2021:

Пост на форуме >>

Расширение: .mars 

Email: anton_ivan_8989@mail.ru

Этот вымогатель всё ещё активен. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage
 ID Ransomware (ID as Mars)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

TechandStrat

TechandStrat Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: TechandStrat. На файле написано: inn.exe
---
Обнаружения:
DrWeb -> Trojan.Siggen10.42959
BitDefender -> Generic.Malware.PfVPk!12.606CCA24
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Agent.dkdaw
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.C

Kaspersky -> HEUR:Trojan.Win32.AntiAV
Malwarebytes -> Trojan.Agent

Microsoft -> Exploit:O97M/CVE-2017-11882.BI!MTB
Rising -> Trojan.Generic@ML.85 (RDML:pCZ*
Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Filecoder.Lpbi
TrendMicro -> TROJ_GEN.R002H09JR20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: DeathRansom > TechandStrat > HelloKitty 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: read_me_lkd.txt

Шаблон может быть таким: read_me_xxx.txt

Содержание записки о выкупе: 

Hello Technology and Strategy!

All your fileservers, HyperV infrastructure and backups have been encrypted!

Trying to decrypt or modify the files with programs other than our decryptor can lead to permanent loss of data!

The only way to recover your files is by cooperating with us.

To prove our seriousness, we can decrypt 1 non - critical file for free as proof.

Contacts:

TECHANDSTRATsupport@secmail.pro

TECHANDSTRATsuport@protonmail.com

Перевод записки на русский язык: 

Привет, Технология и Стратегия!

Все ваши файловые серверы, инфраструктура HyperV и резервные копии зашифрованы!

Попытка расшифровать или изменить файлы программами, отличными от нашего дешифратора, может привести к безвозвратной потере данных!

Единственный способ восстановить ваши файлы - это сотрудничать с нами.

Чтобы доказать свою серьезность, мы можем бесплатно расшифровать 1 некритичный файл как доказательство.

Контакты:

TECHANDSTRATsupport@secmail.pro

TECHANDSTRATsuport@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Завершает ряд процессов, связанных с базами данных и обеспечением безопасности. Подключается к сетевым ресурсам. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me_lkd.txt - название файла с требованием выкупа
inn.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: TECHANDSTRATsupport@secmail.pro

TECHANDSTRATsuport@protonmail.com

BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 января 2021: 

Сообщение >>

Расширение: .crypted

Записка: read_me_lkd.txt

См. отдельную статью HelloKitty Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter +  myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.