OPdailyallowance Ransomware
OPdailyaallowance Ransomware
Jester Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: Documents. На файле написано: Documents.exe и Adobe Player.
© Генеалогия: HiddenTear >> FSociety > OPdailyallowance
Изображение, использованное вымогателями
К зашифрованным файлам добавляется расширение: .CRYPTR
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
INTRUCTION.html
PAYMENT !!!.txt
ATTANTION!!!.txt
WHAT HAPPEND ?
Can't find the files that you need
Is the content of your files that you need, unreadable?
This is normal because the data within your files has been encrypted.
***далее плохо читаемый текст***
Перевод записки на русский язык:
ЧТО ПРОИСХОДИТ ?
Не удается найти файлы, которые вам нужны
Является ли содержимое ваших нужных файлов нечитаемым?
Это нормально, потому что данные в ваших файлах были зашифрованы.
***далее плохо читаемый текст***
GET THE KEY DECRYPT FILE, YOU HAVE TO PAY 0,3 BTC TO ADDRESS : 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu
##### ATTANTION!!!.txt
##### YOUR PRIVATE KEY EXPIRED 3 DAYS IF IT EXCEEDS 3 DAYS WE CAN NOT HELP YOU TO DECRYPT YOUR FILE
##### PLEASE DON'T TURN OFF YOUR PC AND DON'T RENAME EXTENSION, IT WILL FILE YOUR CORRUPTION
##### GET THE KEY TO DECRYPT FILE, YOU HAVE PAY 0,3 BTC TO ADDRESS 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu
##### IF YOU SEND EMAIL AND NO REPLY FROM US MORE THAN 2 DAYS PLEASE RESEND YOUR EMAIL
#####
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.
#OPdailyaallowance
Oops.. Your Important files are encrypted
Please do not panic, the file will be back to normal if you buy a private key to us
To get the key decrypt files, you have to paid Us 0,3 BTC
Contact Us by email : BM-2cVQmNzy6ZLBWCD4fVYWsccBSAik2jEUuy@bitmessage.ch
Перевод на русский язык:
#OPdailyaallowance
Упс.. Ваши важные файлы зашифрованы
Пожалуйста, не паникуйте, файл вернется в норму, если вы купите у нас закрытый ключ
Чтобы получить ключ дешифровки, вы должны заплатить нам 0,3 BTC
Контакт с нами по email : BM-2cVQmNzy6ZLBWCD4fVYWsccBSAik2jEUuy@bitmessage.ch
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений (Adobe Player и др.), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
INTRUCTION.html - файл записки с требованием выкупа;
PAYMENT !!!.txt - файл записки с требованием выкупа;
ATTANTION!!!.txt - файл записки с требованием выкупа;
Documents.exe - название вредоносного файла;
<random>.exe - случайное название вредоносного файла;
<random>.exe - случайное название вредоносного файла;
Documents.pdb - файл проекта.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\00001200000001010111\111111111111111100000000000\010101010101010\605e0r2feefej003433\504c45415345444f4e4f5452454d4f56454954\0111011\obj\Release\Documents.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Временный сайт: hxxxs://fuxcrypt0r.000webhostapp.com/access/access.php
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Временный сайт: hxxxs://fuxcrypt0r.000webhostapp.com/access/access.php
Картинка: hxxxs://i.imgur.com/0i1ZFth.jpg
Email: BM-2cVQmNzy6ZLBWCD4fVYWSCCBSAik2jEUuy@bitmessage.ch
BTC: 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Обновление от 5 августа 2019:
Пост в Твиттере >>
Называет себя OPdailyaallowance и Jester.
Пытается скрестить CryptoWall и FSociety, но в итоге даже не шифрует файлы.
Указанная в записке сумма выкупе: 5,9 миллионов долларов.
Записки: HELP_YOUR_FILES.TXT, Cryptowall.htm
BTC: 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 5 августа 2019:
Пост в Твиттере >>
Называет себя OPdailyaallowance и Jester.
Пытается скрестить CryptoWall и FSociety, но в итоге даже не шифрует файлы.
Указанная в записке сумма выкупе: 5,9 миллионов долларов.
Записки: HELP_YOUR_FILES.TXT, Cryptowall.htm
Другие файлы:
flag.png
jester.png
styles.css
getip.bat
fullscreen.vbs
CryptoWall.bmp
Результаты анализов: VT
© Amigo-A (Andrew Ivanov): All blog articles.
flag.png
jester.png
styles.css
getip.bat
fullscreen.vbs
CryptoWall.bmp
Результаты анализов: VT
Вариант от 5 августа 2021:
Записка: jester.html
Также использует экран блокировки (на скриншоте).
Результаты анализов: VT
Обнаружения:
DrWeb -> Trojan.Encoder.34225
BitDefender -> Gen:Heur.MSIL.Krypt.43
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AHF
Kaspersky -> HEUR:Trojan.MSIL.Shelpak.gen
Rising -> Trojan.AntiVM!1.CF63 (CLASSIC)
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + myTweet + myTweet ID Ransomware (ID as HiddenTear) Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Michael Gillespie Andrew Ivanov (article athor) * *
© Amigo-A (Andrew Ivanov): All blog articles.