Fake WannaCry Ransomware
Fake WanaCryptor Ransomware
(группа шифровальщиков, подражателей и фейк-шифровальщиков)
Translation into English
Успех, который пришёлся на долю крипто-вымогателя WanaCrypt0r 2.0 семейства WannaCry, использовавшего NBA Exploit и бэкдор DoublePulsar, вызвал приступы зависти у других вымогателей и толкнул их на создание фейков-подражателей, полностью или отчасти имитирующих внешний вид WanaCrypt0r 2.0. Это им нужно для того, чтобы вынудить напуганную жертву поскорее перевести выкуп. Некоторые из них вообще не доведены до ума и даже не пытаются шифровать файлы.
Такое поведение мы уже наблюдали раньше для других нашумевших крипто-вымогателей (CryptoWall, CryptoLocker, TeslaCrypt, Locky, Cerber, Globe пр.), но в этом году это первый масштабный поток подражателей. Обо всех рассказать невозможно, потому расскажем лишь о тех, про которых удалось собрать сведения, позволяющие идентифицировать вымогателя как подражателя.
DarkoderCryptor Ransomware
Другие названия: Darkoder Encript0r, Darkoder Encryptor, DarkoderCrypt0r, DaKryEncryptor.Реально шифрует данные с помощью AES и требует в качестве выкупа $300 в биткоинах.
К зашифрованным файлам добавляет расширение .DARKCRY
Читайте отдельное описание этого вымогателя на отдельной странице по ссылке.
Aron WanaCrypt0r 2.0 Generator v1.0
Разработан как настраиваемый генератор WannaCry Ransomware. Позволяет создать свой собственный экран блокировки WannaCry, где новый разработчик сможет настроить текст, изображения и цвета экрана блокировки, которые будут использоваться в новом исполняемом файле WanaCrypt0r. Распространяется под именем Wanacrypt0r 2.0.exe
Результаты анализов: VT
Wana Decrypt0r 2.0
Ничего пока не шифрует, а только показывает экран блокировки. Использует оригинальное имя вымогателя.
Распространяется под именем MS17-010.exe.
Результаты анализов: VT
Wana Decrypt0r 2.0 (другой)
Ничего пока не шифрует, а только показывает экран блокировки. Использует оригинальное имя вымогателя.
Если приглядеться, то видно, что отличается от предыдущего подражателя шрифтами на экране блокировки и другим BTC-кошельком.
Распространяется под именем R6Tools.exe.
Результаты анализов: VT
Wanna Crypt v.2.5
Ничего пока не шифрует, а только показывает экран блокировки. Среда разработки: Visual Studio 2017
Результаты анализов: HA+VT
WannaCrypt 4.0
Ничего пока не шифрует, а только показывает экран блокировки. В экране блокировки языком по умолчанию установлен тайский. Оригинальный WanaCrypt0r 2.0 не поддерживает тайский язык, значит разработчик этого фейка видимо из Таиланда.
Распространяется под именем WannaCrypt 4.0.exe.
Результаты анализов: VT
Wanna Subscribe 1.0
Ничего пока не шифрует, а только показывает экран блокировки. Среда разработки: Java
Распространяется под именем Wanna Subscribe Decrypt0r v1.0.exe
На файле указано название продукта: Java Executive by Jar2Exe
Результаты анализов: VT
Активность этих вымогателей выявлена сразу после атаки WanaCrypt0r 2.0, т.е. после 12 мая 2017 г. и далее продолжилась. Тексты в основном на английском, но немало и региональных: на китайском, испанском, португальском, тайском. Впрочем, новые вымогатели-подражатели без труда могут заимствовать текст из ресурсов WanaCrypt0r.
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Было довольно много разных подделок и имитаций. Некоторые шифровали файлы. другие не шифровали. Вы можете ознакомиться с внушительным сисков Ransomware, собранных на этом сайте и просмотреть среди них тех, что начинаются на "Wanna...".
Я не стремился собрать все подделки и имитации, потому многие просто пропустил.
Но спустя несколько лет после нашумевшего реального "WannaCry", который на самом деле назывался WanaCrypt0r 2.0 Ransomware, появляются крипто-вымогателей с похожим окном. Наверное, иногда всё-таки стоит их добавлять хотя бы в эту статью в качестве обновлений.
=== 2020 ===
Обновление от 2 февраля 2020:
Пост в Твиттере >>
Название в заголовке окна: Wana_Decrypt0r 2.0
Название проекта: RaNsOmCrYpT
Путь: C:\Users\RaNsOmCrYpT\source\repos\WindowsFormsApp3\WindowsFormsApp3\obj\Debug\WindowsFormsApp3.pdb
Функционал: не шифрует файлы.
Email: REDxVENOM@protonmail.ch
Файлы: WindowsFormsApp3.exe
RaNsOmCrYpTVIRUSMALWARETROJAN.exe
Результаты анализов: VT + AR + IA + HA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.10598
ALYac -> Misc.Hoax
Avira (no cloud) -> HEUR/AGEN.1016243
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Z
Kaspersky -> HEUR:Hoax.MSIL.FakeRansom.gen
McAfee -> Ransomware-FTD!4FC9933FCF4F
Rising -> Ransom.Ryzerlo!8.782 (CLOUD)
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan-psw.Fakeransom.Piar
TrendMicro -> Ransom_Ryzerlo.R002C0CB320
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + Tweet + Tweet ID Ransomware Write-up, Topic *
Thanks: BleepingComputer, Michael Gillespie Marcelo Rivero Andrew Ivanov (author)
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private