TrumpHead Ransomware
(шифровальщик-вымогатель, фейк-шифровальщик)
Translation into English
Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.8 BTC, чтобы вернуть файлы. Оригинальное название: TrumpHead. На файле написано: TrumpHead.exe. Написан на разработанном компанией Google языке программирования Go.
© Генеалогия: другие "Go" Ransomware >> TrumpHead
К незашифрованным файлам никакое расширение не добавляется.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину января 2019 г. Штамп времени: 7 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Уплата выкупа бесполезна! Файлы не зашифрованы.
Записка с требованием выкупа называется: READ_THIS.txt
Содержание записки о выкупе:
Hey there,
We're sorry to tell you that we've encrypted ALL your data and there is no other way to get it back without paying us:
0.8 in BITCOINS to this address: 1E3zLEiB9iy7SY75jpx636HLVWiV3G6TPx
Pay up before it's too late!
You've got 48 hours to pay. If you have any questions, just contact us on this email address: wegotyoudata@protonmail.com
To speed up the process: just send us the following computer id: XXXXXXXXXXXXXXXXXXXXXXXXXXXXX send us your btc
payment, transaction ID and we will send you all instruction how to get your data back.
We are serious people and will always deliver after payment. Be sure NOT to rename
or delete your files, shutdown your computer or contact the law, otherwise it's gone forever!
We're the best. No one has ever seen such a hacker group as we are.
Перевод записки на русский язык:
Привет всем,
Мы приносим извинения за то, что зашифровали ВСЕ ваши данные, и нет другого способа вернуть их, не заплатив нам:
0.8 в биткоинах по этому адресу: 1E3zLEiB9iy7SY75jpx636HLVWiV3G6TPx
Оплатите пока не поздно!
У вас есть 48 часов, чтобы заплатить. Если у вас есть какие-то вопросы, просто свяжитесь с нами по этому адресу email: wegotyoudata@protonmail.com
Чтобы ускорить процесс: просто отправьте нам следующий ID компьютера: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX отправьте нам свой btc платеж, ID транзакции, и мы вышлем вам все инструкции, как вернуть ваши данные.
Мы серьезные люди и всегда доставим после оплаты. Не переименовывайте
или не удаляйте свои файлы, не выключите компьютер или не связывайтесь с законом, иначе это навсегда!
Мы лучшие. Никто никогда не видел такой хакерской группы, как мы.
Другим информатором жертвы выступает изображение, встающее обоями Рабочего стола.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ_THIS.txt
TrumpHead.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: wegotyoudata@protonmail.com
BTC: 1E3zLEiB9iy7SY75jpx6JGHLVWiV3G6TPx
URL: xxxxs://6bbsjnrzv2uvp7bp.onion
URL: xxxx://icanhazip.com - определение IP-адреса
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
- видеообзор от CyberSecurity GrujaRS
Thanks: CyberSecurity GrujaRS, Michael Gillespie Andrew Ivanov * to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.