Если вы не видите здесь изображений, то используйте VPN.

пятница, 7 декабря 2018 г.

Outsider

Outsider Ransomware

Outsider Hand-Ransomware

Outsider "NextGen" Ransomware

1st stage variants: Secure-Server, Protected, Crypt, Popotic1, Popoticus

2nd stage variants: Sguard, Guarded, Mapo, Sivo, Dante, Mbit, Gomer, Edab, Assist

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные серверов и пользователей с помощью AES, а затем требует выкуп в $900 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
---
Обнаружения: 
DrWeb -> DrWebTrojan.Encoder.26800, Trojan.Encoder.27263, Trojan.Encoder.30405, Trojan.Encoder.30888
ALYac -> Trojan.Ransom.GarrantyDecrypt, Trojan.Ransom.Filecoder, Trojan.Ransom.Mapo, Gen:Variant.Fugrafa.14822
BitDefender -> DeepScan:Generic.Ransom.GarrantDecrypt.B.*, Trojan.GenericKD.42138566, Gen:Variant.Fugrafa.14822
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.D, A Variant Of Win32/Filecoder.Outsider.H
Malwarebytes -> Ransom.XARCryptor, Ransom.Outsider
TrendMicro -> Ransom.Win32.OUTSIDER.THBBOAIN, Ransom_Mapo.R023C0DLN19
Kaspersky -> Exploit.Win32.UAC.jv, Trojan-Ransom.Win32.Cryptor.ceu
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence
---

© Генеалогия: GarrantyDecrypt  ⇒ Outsider (Secure-Server, Protected, Crypt, Popotic1, Popoticus) 
 Mapo (Sguard, Guarded, Mapo, Sivo, Dante, Mbit, Gomer, Edab, Pump, Assist) 


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .protected


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Некоторые варианты по ряду признаков я выделил в данную отдельную статью Outsider (GarrantyDecrypt-Outsider). Но все они теперь идентифицируются в IDR под GarrantyDecrypt. Сначала было две идентификации: GarrantyDecrypt и Outsider, а потом они были объединены. Но всё-таки между ними есть визуальные различия, поэтому мы будем поддерживать две статьи.

Активность этого крипто-вымогателя пришлась на начало декабря 2018 г. Штамп времени: 26 ноября 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_RESTORE_FILES.txt


Содержание записки о выкупе:
! SYSTEM SECURITY ALERT !
—————————————————————————–
Your SERVER was tried to be attacked by an outsider.
Immediatly change your password, use a minimum of 8 characters in length.
—————————————————————————–
All your personal files was encrypted with RSA public key (1024 bit) to SAVE them from a third party persons. 
Now they are ENCRYPTED and SAFE!
To RESTORE all your files back immediatly, follow this few simple steps:
1) Our SECURE-SERVER service charge a payment for file decryption and preventing damage of your SERVER by 3th party persons;
2) After your SUCCESSFUL payment, write us an E-MAIL with your unique SERVER-ID and Payment ID;
3) Receive an DECRYPTION TOOL from us back to your E-MAIL;
4) Run the tool on your SERVER and safe-decrypt all your files back to NORMAL state.
We STRONGLY RECOMMEND you NOT to use any other decryption tool, files will be LOST! Only our DECRYPTION TOOL can turn back your files.
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Safe and secure service
As a proof, you can send us 1 file and we will DECRYPT it for free and send it back to you.
——————————————————————————
Our E-MAIL: secureserver@memeware.net
Payment type: Bitcoin
Summ: $900
Our wallet: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm
Your SERVER-ID: *****
——————————————————————————
For any questions, write us: secureserver@memeware.net
MEMEWARE SECURE-SERVER SYSTEMS © 2018

Перевод записки на русский язык:
! ТРЕВОГА СИСТЕМЫ БЕЗОПАСНОСТИ!
--------------------------
Ваш СЕРВЕР был атакован посторонним.
Немедленно измените свой пароль, используйте не менее 8 символов.
--------------------------
Все ваши личные файлы зашифрованы открытым ключом RSA (1024 бит), чтобы СОХРАНИТЬ их от посторонних лиц.
Теперь они зашифрованы и безопасны!
Чтобы немедленно восстановить все ваши файлы, выполните следующие несколько простых шагов:
1) Наша служба SECURE-SERVER взимает плату за расшифровку файлов и предотвращение повреждения вашего СЕРВЕРА посторонними лицами;
2) После УСПЕШНОГО платежа напишите нам E-MAIL с вашим уникальным SERVER-ID и идентификатором платежа;
3) Получите от нас ИНСТРУМЕНТ РАСШИФРОВКИ на свой email;
4) Запустите инструмент на вашем СЕРВЕРЕ и безопасно расшифруйте все ваши файлы обратно в НОРМАЛЬНОЕ состояние.
Мы НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ вам НЕ использовать какой-либо другой инструмент для расшифровки, файлы будут потеряны! Только наш инструмент расшифровки может вернуть ваши файлы.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
В качестве доказательства вы можете отправить нам 1 файл, и мы БЕСПЛАТНО расшифруем его и отправим вам обратно.
--------------------------
Наш email: secureserver@memeware.net
Тип оплаты: Биткоин
Сумма: $900
Наш кошелек: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm
Ваш SERVER-ID: *****
--------------------------
По любым вопросам пишите нам: secureserver@memeware.net
MEMEWARE SECURE-SERVER SYSTEMS © 2018



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE_FILES.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: secureserver@memeware.net
BTC: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Outsider (Secure-Server, Protected, Crypt, Popotic1, Popoticus) - начиная с ноября-декабря 2018. 
Mapo (Sguard, Guarded, Mapo, Sivo, Dante, Mbit, Gomer, Edab, Pump, Assist) - начиная с августа 2019. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 19 февраля 2019:
Пост в Твиттере >>
Расширение: .protected
Email: secureserver-eu@protonmail.com
BTC: 18LCfKRDDVmQeWK5Pvqy3HgrEQqBrDtGvG
Записка: SECURITY-ISSUE-INFO.txt
Записка оформлена как бы от службы безопасности почтового сервиса Proton, но, разумеется, это умышленная подделка. 
Результаты анализов: VT + VMR
➤ Содержание записки:
! SYSTEM SECURITY ALERT !
-----------------------------------------------------------------------------
Your SERVER was tried to be attacked by an outsider.
Immediatly change your password, use a minimum of 8 characters in length.
-----------------------------------------------------------------------------
All your personal files was encrypted with RSA public key (1024 bit) to SAVE them from a third party persons.
Now they are ENCRYPTED and SAFE!
To RESTORE all your files back immediatly, follow this few simple steps:
1) Our SECURE-SERVER service charge a payment for file decryption and preventing damage of your SERVER by 3th party persons;
2) After your SUCCESSFUL payment, write us an E-MAIL with your unique SERVER-ID and Payment ID;
3) Receive an DECRYPTION TOOL from us back to your E-MAIL;
4) Run the tool on your SERVER and safe-decrypt all your files back to NORMAL state.
We STRONGLY RECOMMEND you NOT to use any other decryption tool, files will be LOST! Only our DECRYPTION TOOL can turn back your files.
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Safe and secure service
As a proof, you can send us 1 file and we will DECRYPT it for free and send it back to you.
------------------------------------------------------------------------------
Our E-MAIL: secureserver-eu@protonmail.com
Payment type: Bitcoin
Summ: $780
Our wallet: 18LCfKRDDVmQeWK5Pvqy3HgrEQqBrDtGvG
Your SERVER-ID:
[redacted 0x200 bytes in base64]
------------------------------------------------------------------------------
For any questions, write us: secureserver-eu@protonmail.com
PROTON SECURE-SERVER SYSTEMS (c) 2019
---
Позже, 2 марта 2019, этот вариант был описан в статье Лоуренса Адамса (Bleeping Computer). 


Вариант от 31 мая 2019:
URL пострадавшего сайта: xxxx://31.14.138.107/
Вымогатели теперь называют себя: Proton SecureSystems (c) 2019.
Расширение: .crypt
Записка: HOW-TO-RESTORE-FILES.txt
Email: ss-eu@pm.me
BTC: 14GrcyK1T8XkHj4Zahcwgv1dkDrniBj2pp
Сумма выкупа: 2000 EUR

Сравнение содержания со следующим вариантом. 


Вариант от 26 июня 2019:
Пост в Твиттере >>
URL пострадавшего сайта тот же: xxxx://31.14.138.107/
Вымогатели теперь скрыли свое фейк-название: Proton SecureSystems (c) 2019.
Расширение: .popotic1
Записка: HOW-TO-RESTORE-FILES.txt и HOW-TO-RESTORE-FILES.1.txt, если в директории обнаружен файл с таким же названием.
Email: ss-eu@pm.me
BTC: 13hpJ5hkqKqB8KYG1YXfXXyasM9UZe3bju
Сумма выкупа: 900 EUR


Вариант от 28 июня 2019:
Пост в Твиттере >>
Расширение: .popoticus
Записка: HOW-TO-RESTORE-FILES.txt
BTC: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm


Переход на другую разработку

Вероятно, в этот промежуток времени вымогатели перешли на другую разработку. В начале статьи это указано с помощью "⇒" значка. 

 
Слева код раннего Outsider. 
Справа код варианта с расширением .sivo


Слева подробности варианта с расширением .mapo
Справа подробности варианта с расширением .sivo

Названные варианты можно найти ниже, в обновлениях. 
К сожалению, образцы есть только на некоторые варианты. 


Вариант от 22 августа 2019:
Топик на форуме >>
Расширение: .sguard
Записка: SGUARD-README.TXT
Email: support-ssp@pm.me
BTC: 15Z7vDXHCtWdfVKZkD3sJWJEK6jeBznzT9
➤ Содержание записки:
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Your server have been attacked by an Unathorized user.
All your files have been encrypted with RSA private key to safe them from unathorized 3rd party access.
To RESTORE all your files back, please follow this few steps:
1. SecureServer service charges a payment for file decryption;
2. After payment being processed, provide us your server id-key;
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all your files back to normal state.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Safe and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
  ! ONLY OUR  DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contact us: support-ssp@pm.me
Payment type: Bitcoin
Our wallet: 15Z7vDXHCtWdfVKZkD3sJWJEK6jeBznzT9
Sum: 600 EUR
Your server ID-KEY:
CeIOT9CWAaieFA41H78EuIHHxAvviX5suVXXOpdEH03lqUzLRmEniU+fP/WtyJVm
lRd1lLKb8DGtoKNHIqcoeF5qE7Fk65Zw0saUR+sHuvdeY0AHmD4KCPP7cKCBjtRM
Y+tO5KPOwTo82iocw3mPFTtHh7Q3VFNecdlPBdsiwL0=
-------------------------------------------------------------------------------------------
For any questions: support-ssp@pm.me
SecureServer Systems (c) 2019 / ProtonProject EU
===Key verify text===
gC56f06b/MKYH40EzTvlyQ==


Вариант от 11 сентября 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .guarded
Email: support-eus@pm.me
BTC: 19k8MNYRjVvkcozePZLnBhftrvGPfeugmN
Записка: GUARDED-README.txt
 Содержание записки: 
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Your server have been attacked by an Unathorized user.
All your files have been encrypted with RSA Private Key to safe them from unathorized 3rd party access.
To RESTORE all your files back, please follow this few steps:
1. PP-EUS service charges a payment for file decryption;
2. After payment being processed, provide us your server id-key
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all your files back to normal state.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Safe and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
  ! ONLY OUR  DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contact us: support-eus@pm.me
Payment type: Bitcoin
Our wallet: 19k8MNYRjVvkcozePZLnBhftrvGPfeugmN
Your server ID-KEY:
***
For any questions: support-eus@pm.me
ProtonProject EUS © 2019


Вариант от 8 октября 2019: 
Файлы можно расшифровать >>
Пост на форуме >>
Пост на форуме >>
Расширение: .mapo
Записка: MAPO-README.txt
Email: support-mapo@pm.me
➤ Содержание записки: 
-------------------------------------------------------------------------------------------
  ! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST ! 
-------------------------------------------------------------------------------------------
Due vulnerability in your system all of the files have been protected with RSA Private Key to safe them from unathorized 3rd party access.
To RESTORE all of your files back, please follow this few steps:
1. MAPO service charges a payment for file decryption;
2. After payment being processed, contact us and provide your PC id-key;
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all your files back to normal state.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Safe and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
  ! ONLY MAPO DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Our email: support-mapo@pm.me
Payment type: Bitcoin
Your PC ID-KEY:
[redacted 0x80 bytes base64]
--------------------------------------------------------------------------------------------
support-mapo@pm.me / MAPO (c) 2019
===Key verify text===
[redacted 0x10 bytes base64]


Вариант от 28 октября 2019: 
Файлы можно расшифровать >>
Топик на форуме >>
Расширение: .mapo
Записка: MAPO-Readme.txt
Email: support.mbox@pm.me
➤ Содержание записки: 
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST ! 
-------------------------------------------------------------------------------------------
Due vulnerability in local system all of the files has been protected with MAPO RSA.Private.Key to safe them from unathorized 3rd party access.
To RESTORE all of your files, please follow this simple steps:
1. MAPO service charges a payment for file decryption;
2. Contact us with attached (MAPO-Readme.txt) file to the message;
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all files.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Fast and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
  ! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
  ! DO NOT DELETE THIS FILE !
  ! DO NOT MODIFY, FILE CONTAINS SENSITIVE DATA !
-------------------------------------------------------------------------------------------
E-mail: support.mbox@pm.me
Payment type: Bitcoin (BTC)
Our wallet: 1F5ogQU16km1zcuQDunWf3EAPYReJaEGSZ
ID-KEY:
pvN7Go0adojcsgfUOV8k***
-------------------------------------------------------------------------------------------
 support.mbox@pm.me / MAPO (c) 2019
= Key verify =
vHa5n4KiX0iWXuNlm*****==


Вариант от 20 декабря 2019: 
Файлы можно расшифровать >>
Пост в Твиттере >>
Расширение: .mapo
Записка: MAPO-Readme.txt
Email: support.mbox@pm.me
Результаты анализов: VT + AR


Вариант от 15 января 2020:
Пост в Твиттере >>
Расширение: .sivo
Записка: Sivo-README.txt
Email: sivo.support@pm.me
Файл: Sivo.exe
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30405
BitDefender -> Gen:Variant.Fugrafa.14822, 
Gen:Variant.Johnnie.211638
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.H
Malwarebytes -> Ransom.Outsider
TrendMicro -> TROJ_GEN.R011C0PAH20

Скриншоты сравнений раннего варианта Outsider с вариантом Sivo указывают на различие в программном коде. Это подтверждает, что та же группа вымогателей перешла на другую разработку. Сообщение >> 


Вариант от 28 января 2020:
Топик на форуме >>

Расширение: .dante
Записка: DANTE-INFO.txt
➤ Содержание записки: 
! ATTENTION ! 
-------------------------------------------------------------------------------------------
STRICTLY FORBIDDEN TO USE THIRD-PARTY DECRYPTION SOFTWARE - FILES WILL BE LOST 
-------------------------------------------------------------------------------------------
DUBOIS-dws@pm.me
ID KEY:
[redacted 128 bytes base64]
~ L2 Protection ~
[redacted 16 bytes base64]


Вариант от 11 апреля 2020:
Топик на форуме >>
Расширение: .mbit
Записка: MBIT-INFO.txt 
Email: mbit.support@pm.me
➤ Содержание записки: 
                                !! ATTENTION !! 
-------------------------------------------------------------------------------------------
STRICTLY FORBIDDEN TO USE THIRD-PARTY DECRYPTION SOFTWARE - FILES WILL BE LOST! 
-------------------------------------------------------------------------------------------
Due vulnerability in your system all files have been protected with RSA private key to safe them from unathorized access.
To RESTORE your files, follow this instructions:
1. MBIT service charges a payment for file decryption tool
2. Contact us with attached Mbit-info.txt
3. Receive MBIT file decryption tool
4. Run the tool and successfully RESTORE all your files!
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Fast and secure service
As a proof of our trusted service, you can send us 1 file and get it decrypted for free!
-------------------------------------------------------------------------------------------
! ATTENTION - ONLY MBIT DECRYPTION TOOL CAN RESTORE YOUR FILES ! 
-------------------------------------------------------------------------------------------
Contact us: mbit.support@pm.me
Payments accepted: Bitcoin (BTC)
ID KEY:
AXdUGAUl9IcwLTN9VJVznfxULvSouscPRkDW5fVRGH***
-------------------------------------------------------------------------------------------
mbit.support@pm.me / MBIT (c) 2020
~ L2 Protection ~
N1gM7joCl+GxM499bEnbmw==


Вариант от 20 июня 2020:
Пост в Твиттере >>
Расширение: .gomer
Записка: GOMER-README.txt
Email: support-gomer@pm.me
D:\output\test\GUARDO\output\encryptFiles.pdb
Результаты анализов: VT + TG
➤ Содержание записки: 
       !   ATTENTION   ! 
--------------------------------------------------------------------------------------------
       ! STRICTLY FORBIDDEN TO USE THIRD-PARTY DECRYPTION SOFTWARE - FILES WILL BE LOST ! 
--------------------------------------------------------------------------------------------
Due vulnerability in your system all files have been protected with strong private key to safe them from unathorized access.
To RESTORE your files, follow this instructions:
1. Gomer service charges a payment for file decryption tool
2. Contact us with attached Gomer-readme.txt
3. Receive Gomer file decryption tool
4. Run the tool and successfully RESTORE all your files!
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Fast and secure service
As a proof of our trusted service, you can send us 1 file and get it decrypted for free!
-------------------------------------------------------------------------------------------
              ! ONLY ORIGINAL GOMER DECRYPTION TOOL CAN RESTORE YOUR FILES !  
-------------------------------------------------------------------------------------------
Contacts: support-gomer@pm.me
Payments accepted: Bitcoin (BTC)
ID KEY:
gMWCXd52gagzYTakkupc2dqCy0xNvLiodz+1yw*** [всего 172 знака]


Вариант от 20 июня 2020:
Пост в Твиттере >>
Расширение: .edab
Записка: EDAB-README.txt
Аналогично варианту с расширением .gomer
Результаты анализов: VT + TG


Обновление декабря 2020:
См. отдельную статью Pump Ransomware >>
Варианты: Pump, Hub


Вариант от 24 февраля 2021:
Расширение: .assist
Похож на вариант от 15 января 2020 с расширением .sivo
Записка: ASSIST-README.txt
Email: team-assist002@pm.me
Файл: assist.exe
Самоназвание: ASSIST Service
Штамп даты: 28 октября 2020. 
Результаты анализов: VT + IA
 Обнаружения: 
DrWeb -> Trojan.Encoder.30888
Avira (no cloud) -> HEUR/AGEN.1116537
BitDefender -> Gen:Variant.Fugrafa.14822
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.H
Fortinet -> W32/Outsider.J!tr.ransom
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Dxxa
TrendMicro -> TROJ_GEN.R002C0PBO21
➤ Содержание записки: 
! GREETING !
! YOUR NETWORK HAS BEEN HACKED AND ALL DATA IS ENCRYPTED !
Also a lot of sensitive data has been downloaded from your network strictly forbidden to use third-party decryption software - FILES WILL BE LOST!
To RESTORE your files, follow this instructions:
1. Contact us with attached assist-readme.txt
2. Receive assist file decryption tool
3. Run the tool and successfully restore all your files!
! ONLY ORIGINAL DECRYPTION TOOL CAN RESTORE YOUR FILES !
Contacts: team-assist002@pm.me
Payments accepted: Bitcoin (btc), monero (xmr)
ID KEY: ***
# ASSIST #
***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы с расширением .mapo можно расшифровать!
Скачайте дешифровщик по ссылке >>
Инструкция прилагается. Сообщение в Твиттере >>
Для расшифровки других вариантов пишите в CERT Polska на email: cert@cert.pl
Приложите записку с требованием выкупа и несколько зашифрованных файлов.
Сообщение в Твиттере >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as GarrantyDecrypt, Mapo)
 Write-up, Topic of Support
 * 
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 MalwareHunterTeam, S!Ri
 dnwls0719
 

© Amigo-A (Andrew Ivanov): All blog articles.

Gerber

Gerber Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателя, чтобы узнать, как вернуть файлы. Оригинальное название: Gerber. На файле написано: Gerber1.exe. Написан на Delphi. 

Обнаружения:
DrWeb -> Trojan.Encoder.26877
BitDefender -> Trojan.GenericKD.31399828
ALYac -> Trojan.Ransom.Gerber
Avira (no cloud) -> DR/Delphi.Gen
ESET-NOD32 -> A Variant Of Win32/Filecoder.Gerber.A
Malwarebytes -> Ransom.Cerber
McAfee -> Ransom-Gerber!AB914E1DF490
Qihoo-360 -> Win32/Trojan.Ransom.b44
Rising -> Ransom.Agent!8.6B7 (TFE:5:***
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom.Win32.GERBER.THABAOAH
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Gerber
Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.X76LR
.<random>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образцы этого крипто-вымогателя были обнаружены в марте 2019 г. Нет данных о распространении и пострадавших, возможно, это всего лишь тестовые, экспериментальные образцы. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT.txt



Содержание записки о выкупе:
Sorry, your computer was blocked by Gerber Ransomware 1.0.
If you wants to restore, follow the steps:
(You can have a mail and file Decrypt.TXT)
1. Send to the mail: sobachka_thaabah@india.com file: Decrypt.TXT
2. Follow the message-instruction
3. Get guarantees
4. Decrypt files
Personal id:61 64 6D 69 6E 00 7C 61 63 5D 6F 75 58 78 6C 42 46 67 4A 66 5B 65 76 2E 42 35 79 5A 5B 31 77 6D 79 49 73 39 75 4A 6C 7B 76 35 2B 4B 7D 39 62 6B 6B 4C 62 52 61 35 57 35 30 50 70 59 52 3A 56 23 73 59 76 67 35 4B 7D 4C 51 3A 59 7A 61 30 23 35 33 6F 6B 2E 36 52 5D 5A 76 67 55 75 7B 6C 75 4F 2D 6D 6C 74 6E 51 4B 76 6C 54 32 33 66 66 65 68 36 37 43 54 47 32 4B 7A 38 38 6B 67 65 65 6F 58 71 51 73 42 39 78 78 7C 58 59 36 4C 52 

Перевод записки на русский язык:
К сожалению, ваш компьютер блокирован Gerber Ransomware 1.0.
Если вы хотите восстановить, выполните следующие действия:
(Вы можете почту и файл Decrypt.TXT)
1. Отправьте на почту: sobachka_thaabah@india.com файл: Decrypt.TXT
2. Следуйте сообщению-инструкции
3. Получите гарантии
4. Расшифровать файлы.
Персональный id: 61 64 6D 69 6E 00 7C 61 63 5D 6F 75 58 78 6C 42 46 67 4A 66 5B 65 76 2E 42 35 79 5A 5B 31 77 6D 79 49 73 39 75 4A 6C 7B 76 35 2B 4B 7D 39 62 6B 6B 4C 62 52 61 35 57 35 30 50 70 59 52 3A 56 23 73 59 76 67 35 4B 7D 4C 51 3A 59 7A 61 30 23 35 33 6F 6B 2E 36 52 5D 5A 76 67 55 75 7B 6C 75 4F 2D 6D 6C 74 6E 51 4B 76 6C 54 32 33 66 66 65 68 36 37 43 54 47 32 4B 7A 38 38 6B 67 65 65 6F 58 71 51 73 42 39 78 78 7C 58 59 36 4C 52

Есть еще сообщение с текстом:
Your files have been encrypted with IDEA and RC5.

Также используется изображение, заменяющее обои Рабочего стола и экран блокировки с тем же текстом. В работе имеются ошибки. Кроме того зачем-то шифруется файл записки. 


 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1




Вредоносные действия: 
Записывает файл в папку автозагрузки Word
Записывает в файл начального меню
Изменяет файлы в папке расширения Google Chrome и читает куки-файлы в этом браузере
Читает куки Mozilla Firefox
Действия похожи на кражу личных данных
Создает файлы в каталоге пользователя
Записывает в файл desktop.ini (может использоваться для маскировки папок)

Список файловых расширений, подвергающихся шифрованию:
Шифрует файлы только на диске "D". 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Gerber1.exe 
Gerber.exe
EXEFactory3.77.exe
DECRYPT.txt - название файла с требованием выкупа
DECRYPT.txt.XY6LR - зашифрованная записка
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sobachka_thaabah@india.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>  HA>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Версия 3.0
Email: gerasiy.kerasinov@yandex.com
 

Версия 5.0
Email: hoster@420blaze.it





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 🎥 Video review >>
 - 
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

StupidJapan

StupidJapan Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: StupidJapan Ransomware. На файле написано: StupidJapan Ransomware.exe

© Генеалогия: выясняется, явное родство с кем-то не доказано.

На момент написания статьи ничего не шифруется. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало декабря 2018 г. Ориентирован на англоязычных, корейских и японских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:
 


Содержание записки:
Are You Stupid Japan?
Let's have yours.
The facts are being heard.
Do not regret it later and apologize quickly!
What to do.
Your personality will be known to the world as garbage.
I apologize to the Republic of Korea officially sorry!

Перевод записки на русский язык:
*** Нет смысла переводить это на русский язык. ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
StupidJapan Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sealocker@daum.net
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 5 декабря 2018 г.

UNNAMED1989, WeChat

UNNAMED1989 Ransomware 

WeChat Ransomware 

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в 110 китайских юаней в течение трёх дней, чтобы вернуть файлы. Для оплата выкупа предлагается система WeChat. Оригинальное название: UNNAMED1989. На файле написано: что-то на китайском. Разработчик: Luo Moumou (Китай). 

© Генеалогия: явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало декабря 2018 г. Ориентирован на китайскоязычных пользователей, потому распространялся только в Китае. При этом за несколько дней было заражено более 100 тысяч компьютеров. 

👮 Благодаря китайским антивирусным компаниям Tencent, Qihoo 360 Security, Velvet Security Team разработчик-распространитель UNNAMED1989 был вскоре арестован. 
Tencent 1 декабря запретил QR-код WeChat для совершения платежей и закрыл связанную с ним учетную запись. Платформа Douban удалила страницу, используемую вредоносной программой в качестве сервера для отправки команд и управления.

Запиской с требованием выкупа выступает экран блокировки и зелёный экран, содержащий QR-код для оплаты через WeChat:


Содержание записки о выкупе:
***текст на китайском***

Перевод записки на русский язык (кратко):
Ваш компьютер зашифрован, пожалуйста, выполните следующие действия, сканируйте QR-код, вам нужно заплатить 110 юаней для дешифрования...
Рекомендуется использовать WeChat для оплаты...
Для вашей собственности безопасности в следующий раз покупайте подлинную Windows...
Сервер может быть закрыт в любое время. Сделав оплату вы первым получите ключ дешифрования...
Уплатить выкуп нужно до 3 декабря. После 3 декабря сервер автоматически удалит ключ дешифрования.  



Технические детали

Распространялся с помощью перепакованных и заражённых инсталляторов в Китае. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Вредонос изначально был сделан как программный модуль, который рекламировался как инфостилер, позволяющий желающим воровать счета Taobao, Alipay и связанные с ними средства, в том числе с других популярных китайских сайтов (Tmall, Aliwangwang, Alipay, 163 Mailbox, Baidu Cloud, Jingdong, Netease 163, Tencent QQ, Jingdong и других). Любые другие программы, которые использовали этот модуль, помогли бы распространить программу-вымогатель. Этим модулем было начинено не менее 50 приложений. Позже разработчик модифицировал свой первоначальный модуль, переделав его в "чит" (cheat). Он использовал китайскую социальную сеть Douban для отправки команд. Вредоносный модуль может использоваться также для одновременного ввода и управления несколькими учетными записями QQ. 

Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, кроме системных и файлов самого Ransomware.
Это, конечно же, будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
%User%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать его можно бесплатно, но он на китайском >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Huorong, BleepingComputer
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 4 декабря 2018 г.

Dablio

Dablio Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Dablio. На файле написано: Cmd.Exe. Фальш-копирайт: Microsoft. написан на Python. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется приставка: (encrypted)

Пример зашифрованного файла: (encrypted) MyDocuments.doc
 
Так выглядят зашифрованные файлы в разных версиях Windows


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Запиской с требованием выкупа выступает экран блокировки:

Содержание текста с экрана:
#DABLIO
Good Morning. Good afternoon. Good evening.
I'm sorry to inform you that your computer was ENCRYPTED.
ALL YOUR FILES WERE COMMITTED.
PAY TO HAVE YOUR FILES IN NORMAL CONDITION.
DO NOT WORRY! EVERYTHING WILL BE BACK.
ACCESS THE WEBSITE WWW.LOCALBITCOIN.COM AND MAKE THE PURCHASE OF
THE BITCOINAND TRANSFER OF THE BITCOIN TO MY WALLET.
AFTER WE SEND UNLOCK CODE OF YOUR FILES.
THANKS;
Email: dablio@tuta.io
Cry Now. Laugh Later.
[Enter Key for Unloked your Computer and Files!]
[Check!]

Перевод текста на русский язык:
Доброе утро. Добрый день. Добрый вечер.
Мне жаль сообщить, что ваш компьютер ЗАШИФРОВАН.
ВСЕ ВАШИ ФАЙЛЫ ЗАХВАЧЕНЫ.
ПЛАТИТЕ ЗА ВОЗВРАТ ВАШИХ ФАЙЛОВ В НОРМАЛЬНОЕ СОСТОЯНИЕ.
НЕ ВОЛНУЙТЕСЬ! ВСЕ МОЖНО ВЕРНУТЬ.
ИДИТЕ НА ВЕБ-САЙТ WWW.LOCALBITCOIN.COM И СДЕЛАЙТЕ ПОКУПКУ
ПЕРЕДАЙТЕ БИТКОИНЫ В МОЙ КОШЕЛЬК.
ПОТОМ МЫ ПРИШЛЕМ КОДА РАЗБЛОКИРВОКИ ВАШИХ ФАЙЛОВ.
СПАСИБО;
Email: dablio@tuta.io
Плачь сейчас. Смейся позже.
[Введите ключ для разблокировки компьютера и файлов!]
[Проверка!]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

 Отключает диспетчер задач, командную строку, редактор реестра. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
Cmd.Exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dablio@tuta.io
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Файлы могут быть дешифрованы без уплаты выкупа. 
*
*
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Dablio)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov, CyberSecurity GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *