Spiteful Doubletake Ransomware
(шифровальщик-вымогатель, тест-шифровальщик)
Этот крипто-вымогатель шифрует данные пользователей с помощью Blowfish + CBC+ hardcoded key "SOC Ransomware Test", а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: Spiteful Doubletake. На файле написано: Spiteful Doubletake (LIVE).exe. Написан в Perl. Целевая система: x64 Windows. Прямо сообщает пострадавшим, что он возьмёт деньги, но не вернёт файлы.
© Генеалогия: выясняется, явное родство с кем-то не доказано.
К зашифрованным файлам добавляется расширение: .enc
Этимология названия:
Оригинальное название "Spiteful Doubletake" переводится как "Злобный дубль". Смысл заключается в двух диалоговых окнах, в котором описывается вся суть этого "злобного дубля".
Мораль: Не плати вымогателям, они уйдут с твоими деньгами.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Образец этого крипто-вымогателя был найден в конце января 2019 г. Штамп времени создания: 13 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает диалоговые окна. Текст написан на корявом английском, но смысл понять можно.
При клике на кнопку [Pay Now!] появляется второе окно.
Можно предположить, что по замыслу разработчика это должно научить пострадавших НЕ платить вымогателям.
Содержание текста о выкупе:
All your files are belong to me!!!
You persn foolish, all youre files have i encrypted and you must pay NOW!
If you dont you fle be gone forever
You must pay now my bitcoin address $500 dollars usd cash.
You will neuer euer see your files again if you do not pay.
Pay bitcoins address: 1FfmbHfnpaZjKFuyilokTjJJusN455paPH
[Pay Now!]
----------
You fool! I'm not going to actually give you your files back!
But I will take your money though.
[Okay...]
Перевод текста на русский язык:
Все твои файлы принадлежат мне !!!
Ты глупый человек, все твои файлы зашифрованы, и ТЕПЕРЬ ты должен платить!
Если ты этого не делаешь, файлы исчезнут навсегда
Ты должен заплатить мой биткоин-адрес $500 долларов США.
Ты никогда не увидишь свои файлы, если не будешь платить.
Плати на биткоин-адрес: 1FfmbHfnpaZjKFuyilokTjJJusN455paPH
[Платить сейчас!]
----------
Ты дурак! Я не буду возвращать тебе твои файлы!
Хотя я и заберу твои деньги.
[Окей...]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ UAC не обходит. Требуется разрешение на запуск.
➤ Разработчик прямым текстом сообщает, что уплата выкупа бесполезна.
➤ Шифрование реально присутствует. Картинка в подтверждение.
Скриншоты из кода шифровальщика.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Spiteful Doubletake (LIVE).exe
CSPITEFUL DOUBLETAKESpiteful Doubletake (LIVE).exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: ***
BTC: 1FfmbHfnpaZjKFuyilokTjJJusN455paPH
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (n/a) Write-up, Topic of Support *
Thanks: Jakub Kroustek Andrew Ivanov (author) * *
© Amigo-A (Andrew Ivanov): All blog articles.