Cyber SpLiTTer Vbs Ransomware
Cyber SpLiTTer NextGen
Cyber SpLiTTer Android Ransomware
(фейк-шифровальщик)
(шифровальщик-вымогатель)
Файлы можно расшифровать в некоторых случаях.
© Генеалогия: HiddenTear >> Cyber SpLiTTer Vbs > более новые варианты и проекты > Cyborg Ransomware, Cyborg Builder Ransomware > Ransomware for Android
В версии, найденной в сентябре 2016, на самом деле ничего не шифровалось, вымогатели брали на испуг и демонстрировали следующий экран с биткоин-адресом для уплаты выкупа.
© Генеалогия: HiddenTear >> Cyber SpLiTTer Vbs > более новые варианты и проекты > Cyborg Ransomware, Cyborg Builder Ransomware > Ransomware for Android
В версии, найденной в сентябре 2016, на самом деле ничего не шифровалось, вымогатели брали на испуг и демонстрировали следующий экран с биткоин-адресом для уплаты выкупа.
Записки с требованием выкупа не было. Вымогатель по примеру Cerber произносил следующую фразу: "your pictures, videos, and, documents, are, encrypted".
Перевод на русский язык:
твои изображения, видео и документы зашифрованы.
По мнению специалистов на момент написания этой статьи вымогатель находился в разработке и не распространялся.
Теневые копии файлов удаляются командой:
C:\Users\User_name>vssadmin delete shadows /for={volume} /oldest /all /shadow={ID of the Shadow} /quiet
Файлы, связанные с этим Ransomware:
Cyber SpLiTTer Vbs.exe
<random>.exe
Текстовые записки о выкупе в новых версиях.
Детект на VirusTotal >>
Т.к. файлы всё же не шифруются, то сентябрьскую версию Cyber SpLiTTer Vbs Ransomware я отношу к фейк-шифровальщикам.
Но версия от 3 ноября 2016 уже шифрует данные и показывает текстовую записку о выкупе.
Степень распространённости: низкая.
Подробные сведения собираются.
Смотрите более новые версии и варианты ниже.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 3 ноября 2016:
Файлы: Cyber SpLiTTer Vbs.exe
Записка: READ@My.txt
Результаты анализов: VT, VT
Вариант от 7 ноября 2016:
Версия: 2.0
Имя файла: Ransom.exe
Фальш-имя: Windows Internet Explorer
Результаты анализов: VT, VT
<= Экран блокировки
Thanks: Karsten Hahn
Вариант от 17 января 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: VT
<= Экран блокировки
Код разблокировки: 123456789cybersplittervbs
Thanks: Karsten Hahn
Вариант от 13-14 февраля 2017:
Пост в Твиттере >>
Название: Blue Eagle
Файл: Runsome.exe
Видеообзор от GrujaRS / Video review by GrujaRS
Результаты анализов: HA+VT, HA+VT.
Скриншоты >>
Вариант от 14 февраля 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: HA, VT
<= Экран блокировки
Код разблокировки: 123456789simoxbebsimoxben987654321
Особенности: пытается распространяться с помощью autorun.inf
Вариант от 21 августа 2017:
Пост в Твиттере >>
Файлы: STUB.exe
Расширение: .Isis
Email: mifoudz19@gmail.com
BTC: 31zwsxv9xr2W6mnUdJTDNxhBch2gWUGuSx
Результаты анализов: HA+VT
<< Скриншот экрана блокировки
Вариант от 29 сентября 2017:
Название: Cyborg Builder Ransomware (Cyber SpLiTTer)
Видеообзор крипто-строителя >>
Вариант от 19 марта 2018:
Пост в Твиттере >>
Private Builder Ransomware v2.01
🎥 Видеообзор >>
Расширение: .Isis
Записка: @-Decrypt-@.txt
Файл: Process_Hacker3.exe
Результаты анализов: HA + VT
Скриншоты записок >>
Вариант без указания даты:
Надпись на скриншоте:
This Code Was Successfully Encrypted By 5H311_1NJ3C706
Contact Email : HackerBaloch07@gmail.com
xxxxs://darknet-cyber.blogspot.com/
####### BLACK_PHANTOM_CYBER #######
Вариант от 12 октября 2019:
Сообщение на форуме о выходе Cyborg Builder Ransomware V2
Telegram: xxxxs://t.me/Cyborg_SpUTTer
Email: HackerBaloch07@gmail.com
Вариант от 12 февраля 2020:
➤ Содержание текста с экрана:
!!! YOUR FILES HAVE BEEN ENCRYPTED WITH RANSOMWARE !!!
The Key to Decrypt Your Files Will Be DELETED in 7 Days
Send Me 0.3 Bitcoins (You Have Only 7 Days From Now)
Bitcoin Address: 1BDCsTttBiGM79hBK9svG7nEi47eaMBaQa
Send Proof of Payment Transactions via Email:
HackerBaloch07@gmail.com
I Will Send You the Key to Decrypt Your Files
Вариант от 18 октября 2020:
Самоназвание: TinyEvil
Email: hackerbaloch07@gmail.com
BTC: 1KyTKXNY4WVVDfdWdXaSsm6t59rRyufNyB
➤ Содержание текста с экрана:
*** Military Grade Encryption Algorithm. There Is No WayTo Restore Your Data *** Decrypt Key.
To Purchase Your Key And Restore Your Data, Please Follow These Easy Steps:
1. Send $1000 Worth Of Bitcoin To Following Address:
1KyTKXNY4WVVDfdWdXaSsm6t59rRyufNyB
2. Send Proof of Bitcoin Payment Transactions to My Email: HackerBaloch07@gmail.com
3. And You Will Get the Decryption Key
- - -
- - -
If you already purchased your key, please enter it below.
Key: _
---
Функционал: Задержка исполнения. Обход антивируса. Блокировка экрана. Шифрование: AES 256.
ICQ : Cyber_SpLiTTer
Сайт: xxxxs://darknet-cyber.blogspot.com/2020/03/anonymous-ransomware-new-version-20.html
Сайт: xxxxs://mirror-h.org/zone/2564044/
Вариант от 7 октября 2020:
Расширение: .Crypted
Шифрование: SHA1 + AES-128
Файлы можно расшифровать. Пароль хранится в shared_pref.
URL: xxxx://blockschain.great-site.net/
Файл: free.apk
➤ Обнаружения:
Avira (no cloud) -> ANDROID/Agent.cxwkf
DrWeb -> Android.Encoder.11.origin
ESET-NOD32 -> A Variant Of Android/Agent.BIO
Kaspersky -> HEUR:Trojan.AndroidOS.Boogr.gsh
Microsoft -> Trojan:AndroidOS/Banker.D!MTB
Symantec -> Trojan.Gen.MBT
Symantec Mobile Insight -> Other:Android.Reputation.1
Tencent -> Dos.Trojan.Boogr.Wtdj
---
Содержание текста о выкупе (на индонезийском языке):
Ups, Ponsel Anda Di Bloked Oleh Cyber_SpLiTTer. semua foto dan file Anda dienkripsi (terkunci) dan Anda akan menemukan nama pengguna Anda di bawah. kirim email ke sini Shadows_Brokers@protonmail.com dengan nama pengguna Anda. dan dapatkan kunci pribadi Anda dan dekripsi file Anda dalam waktu kurang dari 2 menit. Jadi, Anda memiliki waktu 24 jam untuk mendapatkan kuncinya. Kunci Anda akan secara otomatis dihapus dari server kami dan file juga akan otomatis dihapus dan tidak akan dipulihkan selamanya ... Semoga hari Anda menyenangkan!!!
---
Перевод текста на русский язык:
Увы, Ваш телефон заблокирован Cyber_SpLiTTer. Все Ваши фотографии и файлы зашифрованы (блокированы), и Вы найдете свое имя пользователя ниже. Отправьте email на Shadows_Brokers@protonmail.com с Вашим именем пользователя. И получите ваш закрытый ключ и расшифруете файлы за менее 2 минуты. Итак, у Вас 24 часа, чтобы получить ключи. Ваши ключи будут автоматически удалены с наших серверов, и файлы тоже будут автоматически удалены и их не вернуть никогда... Хорошего Вам дня!!!
---
➤ Скриншоты от исследователей:
Обновление от 11 февраля 2021:
Записка: ReadMe.txt
➤ Содержание записки:
Congratulations, All Your Android Data Is Infected With Ransomware.
To get the Decryption Tool, you only need to pay me $ 100 to the Bitcoin address: 1ESP1rhVNhskqWY8633k7qvaWWUFNjmogr
Or you can contact me with ICQ: https://icq.im/Cyber_SpLiTTer
---
➤ Текст на сайте:
Greetings, This Website Has Been Encrypted Ransomware.
HOW TO UNLOCK MY FILE AND DATABASE?
Oops, All Your Files, Documents, Photos, Databases And Other Important Files Are Encrypted. To Restore The Encrypted File, Please Send $300 To My Bitcoin Address.
Copy The Bitcoin Address Below:
1ESP1rhVNhskqWY8633k7qvaWWUFNjmogr
Or You Can Contact Me Through the Links Below:
https://icq.im/Cyber_SpLiTTer
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter Write-up on BC ***
Thanks: Karsten Hahn, Lawrence Abrams Michael Gillespie, GrujaRS Andrew Ivanov (article author)
© Amigo-A (Andrew Ivanov): All blog articles.