Если вы не видите здесь изображений, то используйте VPN.

среда, 20 марта 2019 г.

RobbinHood

RobbinHood Ransomware

Enc_RobbinHood Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.8 BTC за один ПК или 13 BTC за все ПК скомпрометированной системы, чтобы вернуть файлы. В другом примере было 3 BTC за один ПК и 13 BTC за все. Оригинальное название: в записке не указано. Написан на языке GO (Golang).

Обнаружения: 
DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.29715, Trojan.Encoder.32994
BitDefender -> Trojan.GenericKD.31919436, Trojan.GenericKD.44347786
Emsisoft -> Trojan-Ransom.RobbinHood (A)
ESET-NOD32 -> Win32/Filecoder.RobbinHood.A, A Variant Of Win32/Filecoder.RobbinHood.D
Kaspersky -> Trojan-Ransom.Win32.Robin.a, 
Trojan-Ransom.Win32.Robin.ab
Malwarebytes -> Ransom.RobbinHood.GO, Ransom.RobinHood
Microsoft -> Ransom:Win32/Robin
TrendMicro -> Ransom.Win32.ROBBINHOOD.A, Ransom.Win32.ROBBINHOOD.SMTH

© Генеалогия: HiddenTear + изменения >> RobbinHood

Изображение - это только логотип статьи

К зашифрованным файлам добавляется составное расширение по шаблону: Encrypted_<random{16}>.enc_robbinhood

Пример: Encrypted_2e3b4cea89S49adl.enc_robbinhood


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _Decryption_ReadMe.html
Но могут быть еще файлы 
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html


Enc_RobinHood Ransomware
Enc_RobinHood Ransomware
Оригинальная HTML-записка
Enc_RobinHood Ransomware
HTML-код записки

Содержание записки о выкупе:
What happened to your files?
All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:
1 - We encrypted your files with our "Public key" 
2 - You can decrypt, the encrypted files with specific "Private key" and your private key is in our hands ( It's not possible to recover your files without our private key )
---
Is it possible to get back your data?
Yes, We have a decrypter with all your private keys. We have two options to get all your data back.
Follow the instructions to get all your data back:
OPTION 1
Step 1 : You must send us 0.8 Bitcoin(s) for each affected system
Step 2 : Inform us in panel with hostname(s) of the system you want, wait for confirmation and get your decrypter
OPTION 2
Step 1 : You must send us 13 Bitcoin(s) for all affected system
Step 2 : Inform us in panel, wait for confirmation and get all your decrypters
Our Bitcoin address is: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE 
BE CAREFUL, THE COST OF YOUR PAYMENT INCREASES $10,000 EACH DAY AFTER THE FOURTH DAY
---
Access to the panel ( Contact us )
The panel address: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Alternative addresses
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Access to the panel using Tor Browser
If non of our links are accessible you can try tor browser to get in touch with us:
Step 1: Download Tor Browser from here: https://www.torproject.org/download/download.html.en
Step 2: Run Tor Browser and wait to connect
Step 3: Visit our website at: panel address
If you're having a problem with using Tor Browser, Ask Google: how to use tor browser
---
Wants to make sure we have your decrypter?
To make sure we have your decrypter you can upload at most 3 files (maximum size allowance is 10 MB in total) and get your data back as a demo.
---
Where to buy Bitcoin?
The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online
---

Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы зашифрованы с RSA-4096, подробнее на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA - это алгоритм, используемый современными компьютерами для шифрования и дешифрования данных. RSA - это асимметричный криптографический алгоритм. Асимметричный означает, что есть два разных ключа. Это также называется криптографией с открытым ключом, потому что один из ключей может быть предоставлен любому:
1 - Мы зашифровали ваши файлы с помощью нашего "Открытого ключа"
2 - Вы можете расшифровать, зашифрованные файлы с определенным "Закрытым ключом", а ваш закрытый ключ у нас в руках (восстановить наши файлы без нашего закрытого ключа невозможно)
---
Можно ли вернуть ваши данные?
Да, у нас есть дешифратор со всеми вашими личными ключами. У нас есть два варианта вернуть все ваши данные.
Следуйте инструкциям, чтобы вернуть все ваши данные:
ВАРИАНТ 1
Шаг 1: Вы должны отправить нам 0.8 Биткоина для каждой уязвимой системы
Шаг 2: Сообщите нам на панели с именами хостов желаемой системы, дождитесь подтверждения и получите дешифратор
ВАРИАНТ 2
Шаг 1: Вы должны отправить нам 13 биткоинов на всю затронутую систему
Шаг 2: Сообщите нам в панели, дождитесь подтверждения и получите все ваши дешифраторы
Наш биткоин-адрес: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
БУДЬТЕ ОСТОРОЖНЫ, СТОИМОСТЬ ВАШЕЙ ОПЛАТЫ РАСТЕТ НА 10 000 ДОЛЛАРОВ КАЖДЫЙ ДЕНЬ ПОСЛЕ ЧЕТВЕРТОГО ДНЯ
---
Доступ к панели (свяжитесь с нами)
Адрес панели: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Альтернативные адреса
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Доступ к панели с помощью Tor браузер
Если ни одна из наших ссылок недоступна, вы можете пробовать браузер, чтобы связаться с нами:
Шаг 1: Загрузите Tor браузер отсюда: https://www.torproject.org/download/download.html.en
Шаг 2: Запустите Tor браузер и дождитесь подключения
Шаг 3: Посетите наш сайт по адресу: адрес панели
Если у вас возникли проблемы с использованием Tor браузер, спросите Google: как использовать Tor браузер
---
Хотите убедиться, что у нас есть ваш дешифратор?
Чтобы убедиться, что у нас есть ваш дешифратор, вы можете загрузить максимум 3 файла (максимально допустимый размер составляет 10 МБ) и вернуть свои данные в виде демонстрации.
---
Где купить биткоин?
Самый простой способ - LocalBitcoins, но вы можете найти больше сайтов, где можно купить биткоины, используя Поиск Google: купить биткоины онлайн
---


Скриншот страницы вымогателей в сети Tor
Enc_RobinHood Ransomware site сайт
Содержание текста со страницы:
Important points
You can upload only 3 files (maximum size allowance is 10 MB in total) for free recovery to make sure we are honest. Afterwards you need to pay 0.8 Bitcoin for each affected system or 13 Bitcoin for all affected systems.
Bitcoin Address: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
I want to mention that your privacy is important for us, all of your records including IP address and Encryption keys will be wiped out after your payment. Also the bitcoin address you should pay to, is generated specifically for you and nobody knows about it.
There is no need to mention that our servers have no event a bit of your network data and information.
Choose your encrypted file
[Upload]

Перевод текст на русский язык:
Важные моменты
Вы можете загрузить только 3 файла (максимально допустимый размер составляет 10 МБ) для бесплатного восстановления, чтобы быть честными. После этого вам нужно заплатить 0.8 биткойна за каждую уязвимую систему или 13 биткоинов за все затронутые системы.
Адрес биткойна: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
Хочу отметить, что ваша конфиденциальность важна для нас, все ваши записи, включая IP-адрес и ключи шифрования, будут стерты после вашей оплаты. Кроме того, биткоин-адрес, на который вы должны платить, сгенерирован специально для вас, и никто не знает об этом.
Нет необходимости упоминать, что на наших серверах нет событий о вашей сети, данных и информации.
Выберите зашифрованный файл
[Загрузить]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ RobbinHood останавливает 181 работающую службу Windows, из тех, что могут быть связанные с работой антивирусов, базой данных, почтовым сервером и другими программами, которые могут использовать открытые файлы и помещать их шифрованию.
Это делается с помощью команды cmd.exe /c sc.exe stop AVP /y

Полный список служб, который останавливает RobbinHood: 
AVP, MMS, ARSM, SNAC, ekrn, KAVFS, RESvc, SamSs, W3Svc, WRSVC, bedbg, masvc, SDRSVC, TmCCSF, mfemms, mfevtp, sacsvr, DCAgent, ESHASRV, KAVFSGT, MySQL80, POP3Svc, SMTPSvc, Smcinst, SstpSvc, TrueKey, mfefire, EhttpSrv, IISAdmin, IMAP4Svc, McShield, MySQL57, kavfsslp, klnagent, macmnsvc, ntrtscan, tmlisten, wbengine, Antivirus, MSSQL$TPS, SQLWriter, ShMonitor, UI0Detect, sophossps, MSOLAP$TPS, MSSQL$PROD, SAVService, SQLBrowser, SmcService, swi_filter, swi_update, AcrSch2Svc, EsgShKernel, MBAMService, MSSQLSERVER, MsDtsServer, SntpService, VeeamNFSSvc, swi_service, AcronisAgent, FA_Scheduler, MSExchangeES, MSExchangeIS, MSExchangeSA, MSSQL$ECWDB2, MSSQL$SOPHOS, MSSQL$TPSAMA, PDVFSService, ReportServer, SQLAgent$TPS, SQLTELEMETRY, VeeamRESTSvc, MSExchangeMTA, MSExchangeSRS, MSOLAP$TPSAMA, McTaskManager, SQLAgent$CXDB, SQLAgent$PROD, VeeamCloudSvc, VeeamMountSvc, SQL Backups, mozyprobackup, msftesql$PROD, swi_update_64, EraserSvc11710, MSExchangeMGMT, MSSQL$BKUPEXEC, MSSQL$SQL_2008, MsDtsServer100, MsDtsServer110, SQLSERVERAGENT, VeeamBackupSvc, VeeamBrokerSvc, VeeamDeploySvc, Sophos Agent, svcGenericHost, EPUpdateService, MBEndpointAgent, MSOLAP$SQL_2008, MSSQLFDLauncher, McAfeeFramework, SAVAdminService, SQLAgent$ECWDB2, SQLAgent$SOPHOS, SQLAgent$TPSAMA, VeeamCatalogSvc, MSSQL$SHAREPOINT, MSSQL$SQLEXPRESS, MSSQL$SYSTEM_BGC, NetMsmqActivator, ReportServer$TPS, SepMasterService, TrueKeyScheduler, EPSecurityService, MSOLAP$SYSTEM_BGC, MSSQL$PRACTICEMGT, SQLAgent$BKUPEXEC, SQLAgent$SQL_2008, SQLSafeOLRService, VeeamTransportSvc, Zoolz 2 Service, MSSQL$PRACTTICEBGC, MSSQL$VEEAMSQL2012, Sophos MCS Agent, BackupExecJobEngine, MSSQL$SBSMONITORING, MSSQLFDLauncher$TPS, MSSQLServerADHelper, McAfeeEngineService, OracleClientCache80, ReportServer$TPSAMA, SQLAgent$SHAREPOINT, SQLAgent$SQLEXPRESS, SQLAgent$SYSTEM_BGC, SQLTELEMETRY$ECWDB2, Sophos MCS Client, BackupExecRPCService, MSSQL$VEEAMSQL2008R2, TrueKeyServiceHelper, BackupExecVSSProvider, MSSQL$PROFXENGAGEMENT, ReportServer$SQL_2008, SQLAgent$PRACTTICEBGC, SQLAgent$PRACTTICEMGT, SQLAgent$VEEAMSQL2012, BackupExecAgentBrowser, MSSQLFDLauncher$TPSAMA, MSSQLServerADHelper100, MSSQLServerOLAPService, SQLAgent$SBSMONITORING, VeeamDeploymentService, VeeamHvIntegrationSvc, Acronis VSS Provider, Sophos Clean Service, ReportServer$SYSTEM_BGC, SQLAgent$VEEAMSQL2008R2, Sophos Health Service, Sophos Message Router, MSSQLFDLauncher$SQL_2008, SQLAgent$PROFXENGAGEMENT, SQLsafe Backup Service, SQLsafe Filter Service, SQLAgent$CITRIX_METAFRAME, VeeamEnterpriseManagerSvc, BackupExecAgentAccelerator, MSSQLFDLauncher$SHAREPOINT, MSSQLFDLauncher$SYSTEM_BGC, Sophos Safestore Service, Symantec System Recovery, BackupExecManagementService, Enterprise Client Service, Sophos AutoUpdate Service, BackupExecDeviceMediaService, Sophos Web Control Service, MSSQLFDLauncher$SBSMONITORING, Sophos File Scanner Service, McAfeeFrameworkMcAfeeFramework, MSSQLFDLauncher$PROFXENGAGEMENT, Sophos Device Control Service, Sophos System Protection Service, Veeam Backup Catalog Data Service.

➤ RobbinHood также отключает все сетевые ресурсы с компьютера с помощью следующей команды: cmd.exe /c net use * /DELETE /Y

➤ Может использовать Empire PowerShell и PSExec для удаленного управлениями компьютерами и их администрирования. 

➤ RobbinHood попытается прочитать открытый ключ шифрования RSA из C:\Windows\Temp\pub.key. Если этого ключа нет, то появится следующее сообщение.

Если ключ есть, то RobbinHood начнет шифрование файлов. При шифровании файлов для каждого файла создается ключ AES. Затем RobbinHood шифрует этот AES-ключ и исходное имя файла с помощью открытого ключа шифрования RSA, и добавляет его в зашифрованный файл. 

 Каждый зашифрованный файл затем будет переименован по шаблону Encrypted_<random{16}>.enc_robbinhood, как показано ниже.



Во время работы RobbinHood также создает log-файлы в папке C:\Windows \ Temp. Эти файлы называются rf_, ro_l, ro_s
В настоящее время неизвестно назначение каждого log-файла, кроме файла rf_s, который используется для регистрации создания записок о выкупе в каждой папке. После завершения шифрования эти log-файлы удаляются.

Если консольный вывод включен в программе-вымогателе, после завершения шифрования компьютера будет отображаться финальное сообщение с текстом "Enjoy buddy :)))" (Наслаждайся, приятель :)))), как показано ниже. 

Удаляет теневые копии файлов командами:
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=389MB
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=389MB
cmd.exe /c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_Decryption_ReadMe.html
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html
<random>.exe - случайное название
pub.key
rf_s 
ro_l
ro_s

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\Temp\pub.key
C:\Windows\Temp\rf_s 
C:\Windows\Temp\ro_l
C:\Windows\Temp\ro_s

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE 
Tor-URL: xxxx://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 26 апреля 2019:
Дополнения в раздел "Технические детали" из статьи Лоуренса Абрамса


Обновление от 4 октября 2019:
Пост в Твиттере >>
Статья на сайте BleepingComputer >>
Tor-URL: xxxx://bmucuto4ipcqupp2.onion
Результаты анализов: VT + IA / VT + IA / VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.29715
ALYac -> Trojan.Ransom.RobinHood
Avira (no cloud) -> TR/Ransom.Robinhood.rcdix
BitDefender -> Trojan.GenericKD.41842925
Microsoft -> Trojan:Win32/Casdet!rfn
Symantec -> ML.Attribute.HighConfidence, Trojan Horse
TrendMicro -> TROJ_FRS.VSNW07J19

Обновление от 4 декабря 2019:
Пост в Твиттере >>


Обновление от 26 января 2020:
Расширение: .enc_robbin_hood
Записки: _Readme_Decrypt__Files.html
_Readme_Help_Help_Help.html
_Readme_Help_Important.html
_Readme_Recovery_ReadMe.html
Tor-URL: xxxx://dmnelmz5o4i2ttne.onion/XcD6kOS3JbSD/
➤ Содержание записки: 
How to recovery your files
Your network targeted by RobbinHood ransomware.
We've been watching you for days and we've worked on your systems to gain full access to your company and bypass all of your protections.
You must pay us in 4 days, if you don't pay in the speficied duration, the price increases $10,000 each day after the period. After 10 days your keys and your panel will be removed automatically and you won't be able to get your data back. We're watching you, if you want to know who we are, just ask google, don't upload your files to virustotal or services like that, don't call FBI or other security organizations. For security reasons don't shutdown your systems, don't recover your computer, don't rename your files, it will damage your files. All procedures are automated so don't ask for more times or somthings like that we won't talk more, all we know is MONEY. If you don't care about yourself we won't too. So do not waste your time and hurry up! Tik Tak, Tik Tak, Tik Tak!
What happened to your files?
All of your files locked and protected by a strong encryption with RSA-4096 ciphers.
More information about the RSA can be found here:
  https://en.wikipedia.org/wiki/RSA_(cryptosystem)
In summery you can't read or work with your files, But with our help you can recover them.
It's impossible to recover your files without private key and our unlocking software ( You can google: Baltimore city, Greenville city and RobbinHood ransomware )
Just pay the ransomware and end the suffering then get better cybersecurity
How to get private key or unlocking software?
The only way is to contact us: Click here
How much you must pay ?
The only way is to contact us: Click here
How To Access To Our Website?
For accessing to our website you must install Tor browser:
  1 - Open your internet browser (If you don't know run internet explorer or firefox or chrome)
  2 - Go to this address: https://www.torproject.org/download/download.html.en
  3 - Click on the windows logo and Download Tor Browser
  4 - Follow the instruction and install it
  5 - Run Tor-Browser with clicking on connect
  6 - After initializing a normal internet browser will be opened (similar internet explorer window)
  7 - Enter our web site address: http://dmnelmz5o4i2ttne.onion/XcD6kOS3JbSD/
  8 - Now you are in our website and we are accessible there!
If you have any problem yet to accessing our web site, Ask Google: " how to use tor browser "
---
Результаты анализов: AR (VT, VT + IA, VT + IA

Дополнение к обновлению от 26 января 2020:
Выдержка из статьи на сайте BleepingComputer >>
Злоумышленники, запускающие RobbinHood Ransomware, используют уязвимый драйвер GIGABYTE, который был подписан Microsoft, для установки второго вредоносного и неподписанного драйвера в Windows, который используется для прекращения работы антивирусного и защитного программного обеспечения. 
Исполняемый файл-вымогатель распространяется по всей скомпрометированной сети, чтобы инфицировать как можно большее количество компьютерных систем, пока его не обнаружили.
Антивирусное программное обеспечение, работающее на рабочей станции, может удалить исполняемый файл вымогателя до его выполнения. Чтобы преодолеть это препятствие, операторы RobbinHood Ransomware используют специальный анти-антивирусный пакет для удаления антивирусного ПО, который передается на рабочие станции для подготовки их к шифрованию файлов.

Обновление от 18 апреля 2020:
Пост в Твиттере >>
Расширение: .rbhd
Версия: "Robbinhood6.1"

Обновление от 23 мая 2020:
Пост в Твиттере >>


Сообщение от 4 ноября 2020 >>
Файл проекта: C:/Users/User/go/src/Robbinhood7
Анализы: VT + IA




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as RobbinHood)
 Write-up, Topic of Support
 * 
Added layer:
Write-up by BleepingComputer (on April 26, 2019)
*
*
 Thanks: 
 Michael Gillespie, Lawrence Abrams, Vitali Kremez
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

RabbitFox

RabbitFox Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.PWS.Banker1.31757
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.TF
Malwarebytes -> Ransom.Fox
Symantec -> ML.Attribute.HighConfidence

© Генеалогия: выясняется, явное родство с кем-то не доказано.
RabbitFox Ransomware
Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .fox

Фактически используется составное расширение: id 1720406111 [Rabbit2002@pm.me].fox

Шаблон зашифрованного файла можно представить так: <original_filename> id <numbers>[Rabbit2002@pm.me].fox

Пример зашифрованного файла: Important.doc id 1720406111 [Rabbit2002@pm.me].fox


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первый образец был загружен из Литвы. 

Записка с требованием выкупа называется: Decrypt.txt
RabbitFox Ransomware note записка

Содержание записки о выкупе:
All your files have been encrypted due to a security problem 
with your PC. If you want to restore them, write us to the e-mail Rabbit2002@pm.me 
You have to pay for decryption in Bitcoins. The price depends 
on how fast you write to us. After payment we will send you 
the decryption tool that will decrypt all your files. 
Free decryption as guarantee 
Before paying you can send us up to 2 files for free 
decryption. The total size of files must be less than 1Mb (non archived), 
and files should not contain valuable information. 
Attention! 
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it 
may cause permanent data loss.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК. Если вы хотите восстановить их, напишите нам на email Rabbit2002@pm.me
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы напишите нам. После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 2 файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 1 Мб (не в архиве), и файлы не должны содержать ценной информации.
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ RabbitFox шифрует 10 первых байтов файла ➤ Возможно, это может быть маркер файлов. 
RabbitFox marker


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Rabbit2002@pm.me
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


RabbitFox с расширением .fox - март 2019
RabbitFox с расширением .vendetta - июнь 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 3 июня 2019:
Пост в Твиттере >>
Расширение: .vendetta
Составное расширение (пример):  id 7162402.[Foxdecrypt@protonmail.com].vendetta
Записка: Decrypt.txt
Email: foxdecrypt@protonmail.com, Rabbit2002@pm.me
Текстовый файл: passwordd!.txt
Файл EXE: ConsoleApp1.exe
Результаты анализов: VT + VMR






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Возможно, что файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
***
Файлы можно расшифровать:
ссылка на Github >>
ссылка на видеоролик >>
*
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as RabbitFox)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie,
 Andrew Ivanov (author)
 Kestukas (decrypt)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 17 марта 2019 г.

Golden Axe

Golden Axe Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Golden Axe, указано в записке. На файле написано: Flash_Player.exe

© Генеалогия: результаты сервиса IntezerAnalyze >>

К зашифрованным файлам добавляется расширение: .<ID{5}>

Например: 
.7EGFW
.UIK1J
.WQPEB


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
# instructions-<ID{5}> #.txt
# instructions-<ID{5}> #.jpg
# instructions-<ID{5}> #.vbs

В данном примере это были файлы: 
# instructions-7EGFW #.txt
# instructions-7EGFW #.jpg
# instructions-7EGFW #.vbs

Пример записки: # instructions-7EGFW #.txt
Golden Axe Ransomware
Golden Axe Ransomware note записка
Содержание текстовой записки о выкупе:
   _____       _     _                                 
  / ____|     | |   | |                /\              
 | |  __  ___ | | __| | ___ _ __      /  \   __  _____ 
 | | |_ |/ _ \| |/ _` |/ _ \ '_ \    / /\ \  \ \/ / _ \
 | |__| | (_) | | (_| |  __/ | | |  / ____ \  >  <  __/
  \_____|\___/|_|\__,_|\___|_| |_| /_/    \_\/_/\_\___|

 *** UNDER ANY CIRCUMSTANCES UNTIL DECRYPT YOUR FILES DO NOT DELETE THIS INSTRUCTIONS FILE ***
 # What Happened? 
   All your files, documents, photos, databases, and other important files are encrypted by 'Golden Axe' ransomware!
   It means you will not be able to access them anymore until they are decrypted.
   Recovery process impossible without purchasing your special decryption package from us!
 # Free Decryption Guarantee!
   We will decrypt one of your files before you making payment to show our honesty.
   Pick up and attach one of your random encrypted files less than ~1 megabytes in the first contact with us.
   * Make sure you will send the file as clear. Not archived, compressed or etc...
 # How to contact with you?
   Send your message with your 'DATA' block on the blow of this file to our email address - xxback@keemail.me
   and wait for our response.
   Write in email message what you think necessary.
   Do not forget, write to us in English or get help for a professional translator.
   Also do not forget!
   When we does not reply your email after 24 hour, send your message to our backup email - darkusmbackup@protonmail.com
 # How to Purchase Decryption Package?
   We will send you next step instructions about payment and decryption in the email.
   The decryption price base on how fast you contact with us!
   We accept only cryptocurrency named Bitcoin (BTC) as a payment method.
 # How to Purchase Bitcoin?
   Use the global and trusted Bitcoin exchange website - https://localbitcoins.com for fast and easy Bitcoin purchase.
   For more information search about 'How to buy Bitcoin' on the internet.
 # Attention!
   * DO NOT MODIFY, MOVE OR RENAME ENCRYPTED FILES. THIS CAUSES A CORRUPT YOUR FILES!
-----BEGIN DATA-----
wcBMA8CJegnNGw2kA*****rezh6p0A=l9dZ
-----END DATA-----

Перевод текстовой записки на русский язык:
*** НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ ДО РАСШИФРОВКИ ВАШИХ ФАЙЛОВ НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ ИНСТРУКЦИЙ ***
 # Что случилось?
   Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы  'Golden Axe' Ransomware!
   Это означает, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.
   Процесс восстановления невозможен без покупки у нас вашего специального пакета расшифровки!
 # Бесплатная гарантия расшифровки!
   Мы расшифруем один из ваших файлов, прежде чем вы сделаете платеж, чтобы показать нашу честность.
   Возьмите и прикрепите один из ваших случайных зашифрованных файлов размером менее ~1 мегабайта при первом обращении к нам.
   * Убедитесь, что вы отправите файл как ясно. Не в архиве, сжатый или т.д.
 # Как с вами связаться?
   Отправьте свое сообщение со своим блоком 'DATA' на удар этого файла на наш email - xxback@keemail.me
   и ждать нашего ответа.
   Напишите в email-сообщении, что вы считаете необходимым.
   Не забудьте написать нам на английском или получите помощь профессионального переводчика.
   И не забудь!
   Если мы не ответим на ваше письмо по истечении 24 часов, отправьте ваше сообщение на наш резервный email - darkusmbackup@protonmail.com
 # Как купить пакет расшифровки?
   Мы вышлем вам дальнейшие инструкции по оплате и расшифровке в письме.
   Цена расшифровки зависит от того, как быстро вы свяжетесь с нами!
   В качестве способа оплаты мы принимаем только криптовалюту Биткоин (BTC).
 # Как купить биткоин?
   Используйте всемирный и надежный сайт обмена биткоинов - https://localbitcoins.com для быстрой и простой покупки биткойнов.
   Для получения информации поищите 'How to buy Bitcoin' в Интернете.
 # Внимание!
   * НЕ ИЗМЕНЯЙТЕ, НЕ ПЕРЕМЕЩАЙТЕ И НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ. ЭТО ПРИВЕДЕТ К ПОВРЕЖДЕНИЮ ВАШИХ ФАЙЛОВ!
-----BEGIN DATA-----
wcBMA8CJegnNGw2kA ***** rezh6p0A = l9dZ

-----END DATA-----

Другим информатором жертвы выступает изображение # instructions-<ID{5}> #.jpg, заменяющее обои Рабочего стола. 
Golden Axe Ransomware wallpaper обои


Содержание текста с изображения:
-=-=-=-= YOU ARE BECOME VICTIM OF THE GOLDEN AXE RANSOMWARE -=-=-=-=
Dear User
All your files, documents, photos, databases and other important files are encrypted.
Read instructions help file named "instructions-%s.txt" for more information.
Contact with us be e-mail for decryption (recovery) information.
xxback@keemail.me
darkusmbackup@protonmail.com
*** DO NOT MODIFY, MOVE OR RENAME ENCRYPTED FILES ***
*** USING THE THIRTY PARTY RECOVERY SOFTWARE DOES FATAL YOUR FILES ***

Перевод текста с изображения на русский язык:
-=-=-=-= ВЫ СТАЛИ ЖЕРТВОЙ GOLDEN AXE RANSOMWARE -=-=-=-=
Дорогой пользователь
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы.
Прочитайте файл справки с инструкциями "Инструкции-% s.txt" для получения информации.
Свяжитесь с нами по email для расшифровки (восстановления) информации.
xxback@keemail.me
darkusmbackup@protonmail.com
*** НЕ ИЗМЕНЯЙТЕ, НЕ ПЕРЕМЕЩАЙТЕ И НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ ***
*** ИСПОЛЬЗОВАНИЕ СТОРОННИХ ПРОГРАММ ДЛЯ ВОССТАНОВЛЕНИЯ БУДЕТ ДЛЯ ВАШИХ ФАЙЛОВ ФАТАЛЬНЫМ***

Также есть звуковое сообщение, прописанное в файле 
# instructions-.<ID{5}> #.vbs
Golden Axe note

Содержание vbs-файла:
Dim Message, Speak, val
Set Speak=CreateObject("sapi.spvoice")
Message= "All your files are encrypted. Read the Help file for solution."
For val = 1 to 3
 Speak.Speak Message 
Next


Также используется файл session.json
Содержание файла session.json
{"public_Key":"LS0tLS1CRUdJTiBQVUJMSUMgS0VZLS0tLS0KTUlHak1BMEdDU3FHU0liM0RRRUJBUVVBQTRHUkFEQ0JqUUtCaFFGS2FNSmR3Ukt6NTRFeWFkMzNwRitZUFgvcgovVVFGK2Y1WVp2ME1LK2NaV3VrUGVGVzR0YzZOZDBUVDR5aXFiNnRrOFNiK3VWYjQzK0ZBZWxycUFYakg2VWwvClFINWpnQ2kvUGxxNUlobWl5bDlSbWFDTTdqL3Nha1FROTB6R0RoZXRmY0VaWWZZdVdNMEhsa2FZUzllSmtkWDMKZllDTjFvZ0tpTmRCYlZMdzM4R003L01DQXdFQUFRPT0KLS0tLS1FTkQgUFVCTElDIEtFWS0tLS0tCg==","data":"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","extension":"7EGFW"}


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений (Flash Player), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, завершает некоторые системные процессы с помощью команд:
%WINDIR%\system32\cmd.exe /C taskkill.exe /f /im anti*
%WINDIR%\system32\cmd.exe /C taskkill.exe /f /im backup*
%WINDIR%\system32\cmd.exe /C taskkill.exe /f /im malware*
%WINDIR%\system32\cmd.exe /C taskkill.exe /f /im sql*
%WINDIR%\system32\cmd.exe /C vssadmin delete shadows /all /quiet 

➤ Делает запросы на сайты:
ipapi.co - проверка IP И других данных
iplogger.org - проверка IP И других данных
www.kremlin.ru 
cacerts.digicert.com
crl3.digicert.com
crl4.digicert.com
http://crl.thawte.com
ocsp.digicert.com
ocsp.thawte.com
ts-aia.ws.symantec.com
ts-crl.ws.symantec.com
ts-ocsp.ws.symantec.com
www.digicert.com/
www.digicert.com

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# instructions-<ID{5}> #.txt
# instructions-<ID{5}> #.jpg
# instructions-<ID{5}> #.vbs
Flash_Player.exe
 session.json
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xxback@keemail.me, darkusmbackup@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Golden Axe)
 Write-up, Topic of Support
 🎥 Video review >>
  - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *