Если вы не видите здесь изображений, то используйте VPN.

пятница, 1 марта 2019 г.

Alco

Alco Ransomware

Maoloa-Alco Ransomware

Aliases: China.Helper, X_Mister, 4444, 666, 865 

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью SHA+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: GlobeImposter.exe, но это фальшивое название. Некоторые варианты совпадают с Maoloa Ransomware
---
Обнаружения: 
DrWeb -> Trojan.Encoder.27191, Trojan.Encoder.28101, Trojan.Encoder.28773, Trojan.Encoder.29658, 
Trojan.Encoder.30146, Trojan.Encoder.30214
ESET-NOD32 -> Win32/Filecoder.Maoloa.A, Win32/Filecoder.Maoloa.E
Ikarus -> Trojan-Ransom.Maoloa
BitDefender -> Trojan.Ransom.Maoloa.A
Avira -> TR/Maoloa.*
Другие обнаружения, определенные как GlobeImposter, ошибочные и их можно не учитывать!
---
© Генеалогия: ✂️ GlobeImposter > предыдущие варианты > Maoloa, Alco

Почему это не GlobeImposter?
Майкл Джиллеспи подтвердил, что это не GlobeImposter. Идентификатор жертвы и маркеры файлов вообще другие. Анализ текста показывает совпадение знаков и текста в некоторых вариантах GlobeImposter 2.0 прошлого года и одной версии декабря 2017 года. Текст записки также похож на тот, что использовался в Eq Ransomware, но это лишь подтверждает выводы Майкла. Таким образом, это фальшивый GlobeImposter и обнаружения на VT ошибочные. 


Изображение — логотип статьи
Это звери из китайского гороскопа: Бык, Собака, Кабан, Тигр, Конь, Кролик, Дракон...

К зашифрованным файлам добавляется расширение: .Alco4444 или другое в других вариантах.
Слово Alco в расширении вовсе не связано с алкоголем. Alco (лат. Canis Alco) — собака мексиканских индейцев. 
Далее появились расширения в соответствии с животными из китайского  гороскопа: Бык, Свинья, Тигр, Дракон, Лошадь, Кролик, Обезьяна, Петух. Позже пошли варианты с именами из мифологии. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале марта 2019 г. Штамп времени: 27 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Также могут встречаться варианты на китайском языке или совместно с английским тестом. 

Записка с требованием выкупа называется: HOW TO BACK YOUR FILES.txt


Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder. 
DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Ñhina.helper@aol.com
Ñhina.helper@india.com
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
S/oR50rtft/2yT81cpZXZEdzhmaktbMclM2wJuksSsP3DVNL4
Aw3Phn0HKSZbSrxgAGxGkjhNKECxdyXlyEhULK7owgZbpxpOd
XYsQ2hhgpjo5p/xh7jsrnmFzdwHcNSC+nrbxOejKY7e+Oiswg
***

Перевод записки на русский язык:
Ваши файлы зашифрованы !!!
Чтобы расшифровать, следуйте инструкциям:
Для восстановления данных вам нужен декриптор.
Чтобы получить декриптор, вы должны:
1.В письме указать свой персональный ID! Отправьте мне этот ID в своем первом письме!
2.Мы можем дать вам бесплатный тест для расшифровки нескольких файлов (НЕЦЕННЫХ) и назначить цену для расшифровки всех файлов!
3.После того, как мы вышлем вам инструкцию как оплатить декриптор, после оплаты вы получите декриптор!
4.Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.
НЕ ПЫТАЙТЕСЬ ЧТО-ТО ДЕЛАТЬ СО СВОИМИ ФАЙЛАМИ САМОСТОЯТЕЛЬНО, ВЫ СЛОМАЕТЕ СВОИ ДАННЫЕ !!! ТОЛЬКО МЫ МОЖЕМ ПОМОЧЬ ВАМ! СВЯЗЬ С НАМИ:Ñhina.helper@aol.com
Ñhina.helper@india.com
ВНИМАНИЕ !!! ЭТО ВАШ ЛИЧНЫЙ ID, КОТОРЫЙ ВЫ ДОЛЖНЫ ОТПРАВИТЬ В ПЕРВОМ ПИСЬМЕ:
S/oR50rtft/2yT81cpZXZEdzhmaktbMclM2wJuksSsP3DVNL4
Aw3Phn0HKSZbSrxgAGxGkjhNKECxdyXlyEhULK7owgZbpxpOd
XYsQ2hhgpjo5p/xh7jsrnmFzdwHcNSC+nrbxOejKY7e+Oiswg
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Может использовать бестелесный JS-файл для запуска вредоносного файла.
➤ Использует программу Process Hacker для успешной атаки и завершения некоторых процессов на компьютере.


 Запускает команды оболочки: 
"/c @echo off
sc config browser
sc config browser start=enabled
vssadmin delete shadows /all /quiet
sc stop vss
sc config vss start=disabled
sc stop MongoDB
sc config MongoDB start=disabled
sc stop SQLWriter
sc config SQLWriter start=disabled
sc stop MSSQLServerOLAPService
sc config MSSQLServerOLAPService start=disabled
sc stop MSSQLSERVER

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO BACK YOUR FILES.txt - текстовый файл
HOW TO BACK YOUR FILES.exe - позже стал использоваться такой файл для показа сообщения о выкупе
GlobeImposter.exe
ids.txt
killer.bat - командный файл
<random>.exe - случайное название исполяемого файла
<random>.vbs - случайное название файла скрипта
Jsotgyzofbr.vbs - пример файла скрипта для запуска вредоноса

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\Jsotgyzofbr.vbs
C:\Users\User\AppData\Local\Temp\killer.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: *hina.helper@aol.com, *hina.helper@india.com
Email: Ñhina.helper@aol.com, Ñhina.helper@india.com
Email: China.helper@aol.com, China.helper@india.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 6 ноября 2018 и даже раньше (в сентябре 2018):
Пост  в Твиттере >>
Новая идентификация: Maola Ransomware
Расширение: .Ox4444
Этимология названия расширения: ox - по-английски: вол, бык.
Записка: HOW_TO_BACK_FILES.txt
China.Helper@aol.com
China.Helper@india.com
Файл: svhost.exe


Результаты анализов: VT + VMRay

Вариант от 20 марта 2019:
Сообщение >>
Сообщение >>
Расширение: .Mr-X666
Здесь и далее встречаются расширения с цифрами 666, которые в китайском сленге означают "крутой". В данном варианте "Мистер X-крутой". 
Записка: HOW TO BACK YOUR FILES.txt
Email: x_mister@aol.com
x_mister@india.com
Результаты анализов: VT 



Другие обновления:
См. также варианты, где в расширении есть 4444, в отдельной статье Maoloa Ransomware
Это варианты с расширениями: .Ox4444, .Pig4444, .Tiger4444.Dragon4444, .Horse4444, Rabbit4444
Я поместил их краткие описания сюда, т.к. они схожи по некоторым признакам. 

Вариант от 10 апреля 2019: 
Новая идентификация: Maola Ransomware
Расширение: .Tiger4444
Этимология названия расширения: tiger - по-английски: тигр. 
Email: bivisfiles@protonmail.com
Файл EXE: Tiger4444.exe
Результаты анализов: см. ниже


Вариант от 27 апреля 2019:
Сообщение >>
Новая идентификация: Maola Ransomware
Расширение: .Pig4444
Этимология названия расширения: pig - по-английски: свинья, поросенок. 
Записка: HOW TO BACK YOUR FILES.txt
Email: China.Helper@aol.com
China.Helper@india.com
Результаты анализов: VT + VMR


Вариант от 3-5 мая 2019:
Новая идентификация: Maola Ransomware
Расширение: .Tiger4444
Записка: HOW TO BACK YOUR FILES.txt
Специальный текстовый файл: ids.txt
Email: China.helper@aol.com 
Файл EXE: Tiger4444.exe
Результаты анализов: VT + VMR

Вариант от 15 июня 2019:
Топик на форуме >>
Расширение: .Dragon4444
Записка: HOW TO BACK YOUR FILES.txt
Email: China.helper@aol.com 
➤ Содержание записки:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder.
 DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
China.helper@aol.com 
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
QY 5P 3f /+ iC qr bq AU SA VT XU Q5 Xf SH 7F ac
tv SM WB qk gm bU +K /2 0X o4 Zy S9 JW Zx 5s NH
ZI Sj sZ sQ /B Cf J1 fd pU oi aZ j5 gb gf 3h oG
***

Вариант от 18 июня 2019:
Сообщение >>
Расширение: .pig4444
Записка: HOW TO BACK YOUR FILES.TXT
Email: China.helper@aol.com


Вариант от 21 июня 2019:
Топик на форуме >>
Расширение: .Horse4444
Email: China.Helper@aol.com, China.Helper@india.com
Записка: HOW_TO_BACK_FILES.txt


Вариант от 24 июня 2019:
Сообщение >>
Расширение: .TROLL
Записка: HOW TO BACK YOUR FILES.txt
Email: Zoye1596@msgden.net

➤ Содержание записки:

YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
 DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Zoye1596@msgden.net
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
V9 qD yr Jy KR Ye Db 8b bL k6 tW UU w9 hY v0 Qy
{{ID}}

Вариант от 8 июля 2019:
Топик на форуме >>
Расширение: .Ares666
Здесь и далее встречаются расширения с цифрами 666, которые в китайском сленге означают "крутой". 
Записка: HOW TO BACK YOUR FILES.txt
Email: Sin_Eater.666@aol.com
В каждой папке присутствует специальный файл .DF7ADA61E0284DDD4F1E


➤ Содержание записки:

YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder.
 DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Sin_Eater.666@aol.com
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
{{ID}}

Вариант от 19 июля 2019:
Расширение: .Persephone666
В каждой папке присутствует специальный файл: .DF7ADA61E0284DDD4F1E


Текстовый файл с ID: ids.txt

Его расположения: C:\Users\User\AppData\Local\Temp\ids.txt
C:\Users\User\Desktop\ids.txt
Записка: HOW TO BACK YOUR FILES.txt
Email: Sin_Eater.666@aol.com
Результаты анализов: VT + HA + AR + IA


➤ Содержание записки:

YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder. 
DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Sin_Eater.666@aol.com 
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
{{ID}}


Вариант от 20 июля 2019:
Сообщение >>  (может быть двойное шифрование и путаница): 
Расширение: .haka 
Записка: HOW TO BACK YOUR FILES.txt
Email: Sin_Eater.666@aol.com

Вариант от 22 июля 2019:
Сообщение >>
Расширение: .Rabbit4444
В каждой папке присутствует специальный файл: .BFC0E91B00AE8A0620D3
Текстовый файл с ID: ids.txt
Его расположения: C:\Users\User\AppData\Local\Temp\ids.txt
Результаты анализов: VT + HA + AR + IA + VMR

Вариант от 22 июля 2019:
Сообщение >>
Расширение: .Hades666
Записка: HOW TO BACK YOUR FILES.txt
В каждой папке присутствует специальный файл: .DF7ADA61E0284DDD4F1E
Текстовый файл с ID: ids.txt
Его расположения: C:\Users\User\AppData\Local\Temp\ids.txt
C:\Users\User\Desktop\ids.txt
Email: Sin_Eater.666@aol.com
Файл: Hades666.exe
Результаты анализов: VT + VMR + HA


Запускает команды:



Вариант от 7 августа 2019: 
Сообщение >>
Расширение: .Hermes666
Записка: HOW TO BACK YOUR FILES.txt
Email: eladovin1975@protonmail.com


➤ Содержание записки: 

YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
 DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
eladovin1975@protonmail.com
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
{{ID}}


Вариант от 1 сентября 2019: 
Сообщение >>
Сообщение >>
Расширение: .Apollon865
Здесь и далее встречаются расширения с цифрами 865, которые в китайском сленге означают "Не надоедай мне" или "Отстань". 
Записка: HOW TO BACK YOUR FILES.exe
Email: Sin_Eater.666@aol.com
Файл: Apollon865.exe
Результаты анализов: VT + VMR + IA

  



Вариант от 10 сентября 2019: 
Сообщение >>
Расширение: .Ares865 и .ares865
Записка: HOW TO BACK YOUR FILES.exe
Email: Sin_Eater.666@aol.com
Результаты анализов: VT + VMR 
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.29493
Microsoft -> Ransom:Win32/Maoloa.KA
Avira (no cloud) -> TR/Maoloa.pxvju
ESET-NOD32 -> A Variant Of Win32/Filecoder.Maoloa.C
TrendMicro -> Ransom_Maoloa.R002C0DIA19


Вариант от 18 сентября 2019: 
Сообщение >>
Расширение: .Artemis865-20 и .Artemis865
Записка: HOW TO BACK YOUR FILES.exe
Email: Sin_Eater.666@aol.com
Результаты анализов: VT 



Вариант от 27 сентября 2019:
Сообщение >>
Сообщение >>
Топик на форуме >>
Расширение: .Athena865
Записка: HOW TO BACK YOUR FILES.exe
Файл: Athena865.exe
Результаты анализов: VT + VMR + AR
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.29658
Malwarebytes -> Ransom.Maoloa
Microsoft -> Ransom:Win32/Maoloa.KA
Avira (no cloud) -> TR/Maoloa.pgzbl
ESET-NOD32 -> A Variant Of Win32/Filecoder.Maoloa.C
TrendMicro -> Ransom_Maoloa.R002C0DIR19


Вариант от 31 октября 2019: 
Расширение: .Pig865qq
Pig - свинья по английски. Опять китайский гороскоп. Буквы "QQ" - название китайского мессенджера QQ. 
Записка: HOW TO BACK YOUR FILES.exe
Результаты анализов: VT
➤ Обнаружение: 
DrWeb -> Trojan.Ransom.675
ESET-NOD32 -> A Variant Of Win32/Filecoder.FV
TrendMicro -> Ransom.Win32.MAOLOA.SMJK

Вариант от 7 ноября 2019: 
Сообщение >>
Расширение: .Rooster865qq и .Rooster865
Rooster - петух по-английски. Опять китайский гороскоп. 
Записка: HOW TO BACK YOUR FILES.exe
Email: China.Helper@aol.com
Специальный файл с ID: ids.txt
Файл: winlogon.exe
Результаты анализов: VT + AR 
Результаты анализов файла HOW TO BACK YOUR FILES.exe: VT + AR
➤ Обнаружение: 
DrWeb -> Trojan.Ransom.675
Microsoft -> Ransom:Win32/Maoloa.KA
ESET-NOD32 -> A Variant Of Win32/Filecoder.Maoloa.C
TrendMicro -> Ransom.Win32.MAOLOA.SMJK


Вариант от 25-26 ноября 2019: 
Сообщение >>
Расширение: .Rooster865qq и .Rooster865
Записка: HOW TO BACK YOUR FILES.exe
Email: China.Helper@aol.com
Специальный файл с ID: ids.txt
Файл: winlogon_protected.exe
Результаты анализов: VT + AR 
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.30214
Microsoft -> Ransom:Win32/Maoloa.KA
TrendMicro -> Ransom_Maoloa.R004C0DKS19
BitDefender -> Trojan.GenericKD.42057850


Вариант от 9 декабря 2019: 
Сообщение >>
Расширение: .Rooster865qqZ
Записка: HOW TO BACK YOUR FILES.exe
Email: China.Helper@aol.com
Специальный файл с ID: ids.txt
Файл: winlogon.exe
Результаты анализов: VT + AR 
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.30146
Malwarebytes -> Ransom.Maoloa
Microsoft -> Ransom:Win32/Maoloa.KA
TrendMicro -> Ransom.Win32.MAOLOA.SMJK
ESET-NOD32 -> A Variant Of Win32/Filecoder.Maoloa.C


Вариант от 29 декабря 2019:
Топик на форуме >>
Расширение: .Monkey865qqZ или .Monkey865
Email: China.Helper@aol.com
Записка: HOW TO BACK YOUR FILES.exe



=== 2020 ===

Вариант от 11 апреля 2020:
Расширение: .Globeimposter-Alpha865qqz
Email: China.helper@aol.com
Записка: HOW TO BACK YOUR FILES.exe



Вариант от 26 ноября 2020:
Расширение: .Globeimposter-Alpha865qqz
Записка: C:\HOW TO BACK YOUR FILES.txt
Автозагрузка: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO BACK YOUR FILES.txt
Файл: cia.exe
Результаты анализов: VT + IA + VMR / VT + IA
Команда для выполнения: 
%ComSpec% /c @echo off sc config browser sc config browser start=enabled vssadmin delete shadows /all /quiet sc stop vss sc config vss start=disabled sc stop MongoDB sc config MongoDB start=disabled sc stop SQLWriter sc config SQLWriter start=disabled sc stop MSSQLServerOLAPService sc config MSSQLServerOLAPService start=disabled sc stop MSSQLSERVER sc config MSSQLSERVER start=disabled sc stop MSSQL$SQLEXPRESS sc config MSSQL$SQLEXPRESS start=disabled sc stop ReportServer sc config ReportServer start=disabled sc stop OracleServiceORCL sc config OracleServiceORCL start=disabled sc stop OracleDBConsoleorcl sc config OracleDBConsoleorcl start=disabled sc stop OracleMTSRecoveryService sc config OracleMTSRecoveryService start=disabled sc stop OracleVssWriterORCL sc config OracleVssWriterORCL start=disabled sc stop MySQL sc config MySQL start=disabled


=== 2021 ===

Вариант от 2 января 2021: 
Расширение: .Globeimposter-Alpha865qqz
Записка: HOW TO BACK YOUR FILES.txt
Email: China.Helper@aol.com
Специальный файл: .C4D1664EF40CE18F8D41
Файл с ID: ids.txt

Вариант от 20 января 2021: 
Расширение: .Encrypted
Email: opticodbestbad@aol.com, opticodbestbad@mail.ee
Результаты анализов: VT + TG


Вариант от 26 февраля 2021: 
Расширение: .Globeimposter-Alpha666qqz
Записка: HOW TO BACK YOUR FILES.txt
Email: China.Helper@aol.com
Специальный файл: .A8D68E42E88BFDF0D21E
Связанный файл: 16LHT5W3.exe
Результаты анализов: VT + IA



Adding new variants has stopped.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Maoloa)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 S!Ri
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

SEND.ID.TO

SEND.ID.TO Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES-256 (из текста записки), а затем требует выкуп $400-$700 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

SEND.ID.TO Ransomware
Изображение — логотип статьи

К незашифрованным файлам добавляется расширение: .CRYPTED

Фактически используется составное расширение: 
.SEND.<ID>.TO.losamedicas@protonmail.com.CRYPTED

Шаблон незашифрованного файла:
<number_code>.SEND.<ID>.TO.losamedicas@protonmail.com.CRYPTED

Примеры незашифрованных файлов:
-123456789.SEND.CV36OKPH7Q.TO.losamedicas@protonmail.com.CRYPTED
1526999590.SEND.7p0oXEOLZI.TO.losamedicas@protonmail.com.CRYPTED

Здесь: -123456789 и 1526999590 - нумерация зашифрованного файла
CV36OKPH7Q и 7p0oXEOLZI - ID скомпрометированного компьютера

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на март и начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
HOW-TO-DECRYPT-FILES.txt
или
HOW TO DECRYPT FILES.txt
SEND.ID.TO Ransomware note записка
Вариант от 27 марта 2019 с суммой выкупа $700

SEND.ID.TO Ransomware note записка
Вариант от 4 апреля 2019 с суммой выкупа $400

Содержание записки о выкупе:
The important files on your computer have been encrypted
with military grade AES-256 bit encryption.
The only way to get access to your files - enter the decryption key.
We garantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the private key.
 1. Send $400 worth of Bitcoin to following adress:
3D4NDtSP6teXJLqvU3WUjopUvZQ4SLYAu2
If you don't know about Bitcoin you can buy it from here:
www.coinbase.com   or  www.localbitcoins.com  or try google.com
 2. After payment send your ID and contact email to:
losamedicas@protonmail.com or minipod@protonmail.com
YOUR ID: ********** 
and we will send INSTRUCTIONS and KEY for recovery.
PLEASE DON'T EVEN TRY TO RECOVER FILES BY YOURSELF
IN CASE IF YOU WILL TRY TO DO SOMETHING WITHOUT KEY
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!
DON'T EVEN TOUCH ANYTHING! OR
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!

Перевод записки на русский язык:
Важные файлы на вашем компьютере были зашифрованы с военного класса AES-256 бит шифрованием.
Единственный способ получить доступ к вашим файлам - ввести ключ дешифрования.
Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы.
Все, что вам нужно сделать, это отправить платеж и купить закрытый ключ.
  1. Отправьте биткоины на $400 на следующий адрес:
3D4NDtSP6teXJLqvU3WUjopUvZQ4SLYAu2
Если вы не знаете о Биткоbне, вы можете купить его здесь:
www.coinbase.com или www.localbitcoins.com или попробуйте google.com
  2. После оплаты отправьте свой ID и контактный email-адрес на:
losamedicas@protonmail.com или minipod@protonmail.com
ВАШ ID: 7p0oZIOLZI
и мы вышлем ИНСТРУКЦИИ и КЛЮЧ для восстановления.
ПОЖАЛУЙСТА, ДАЖЕ НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ ФАЙЛЫ
В СЛУЧАЕ, ЕСЛИ ВЫ ПОПРОБУЕТЕ СДЕЛАТЬ ЧТО-ТО БЕЗ КЛЮЧА
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!
НЕ ДОТРАГИВАЙСЯ НИ ДО ЧЕГО! ИЛИ ЖЕ
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются, но они переименовываются и получают расширение .CRYPTED, из-за этого пользователи не могут их использовать. 
Целевыми файлами могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы. 

Файлы, связанные с этим Ransomware:
HOW-TO-DECRYPT-FILES.txt
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: boleronez@gmail.com, losamedicas@protonmail.com
Email: losamedicas@protonmail.com, minipod@protonmail.com
BTC: 3A8pDa9nGTaEZssNnDn1MxbdAQv5fkrezH
BTC: 3D4NDtSP6teXJLqvU3WUjopUvZQ4SLYAu2
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis на файл, загруженный пострадавшим >>
𝚺  VirusTotal analysis на файл, загруженный пострадавшим >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 to the victims who sent the samples
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *