SadComputer Ransomware
(шифровальщик-вымогатель, деструктор)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC или Paypal, чтобы вернуть файлы. Оригинальное название: SadComputer. На файле написано: SadComputer.exe. Для CyberSecurity GrujaRS подготовили видеодемонстрацию.
© Генеалогия: HiddenTear + разный код >> SadComputer
Изображение — логотип статьи (грустный ПК - по-англ. "sad computer")
К зашифрованным файлам добавляется расширение: .sad
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Образец этого крипто-вымогателя был найден в первой половине апреля 2019 г. Штамп времени: 6 апреля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: sadcomputer_note.txt
Содержание записки о выкупе:
Q: What Happend to my computer?
A: Your Files Have Been Encrypted.
Q: How Do i restore the files?
A: You need to use bitcoin to restore the files.
Q: Can i use other methods?
A: Yes. You can use Paypal.
Q: How can i trust?
A: We dont cheat users. We restore the files.
Перевод записки на русский язык:
Q: Что происходит с моим компьютером?
A: Ваши файлы были зашифрованы.
В: Как мне вернуть файлы?
A: Вам нужны биткоины для возврата файлов.
Q: Могу ли я использовать другие методы?
A: Да. Вы можете использовать Paypal.
Q: Как я могу доверять?
A: Мы не обманываем пользователей. Мы возвращаем файлы.
Другим информатором выступает экран блокировки:
Содержание текста с экрана:
Your Files are Encrypted
---
Your Files Will Be Deleted on
4:35
---
Q: What Happend to my computer?
A: Your Files Have Been Encrypted.
Q: How Do i restore the files?
A: You need to use bitcoin to restore the files.
Q: Can i use other methods?
A: Yes. You can use Paypal.
Q: How can i trust?
A: We dont cheat users. We restore the files.
---
Bitcoin Address: [1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2] [Enter Code]
[Check]
Перевод текста на русский язык:
Ваши файлы зашифрованы
---
Ваши файлы будут удалены
4:35
---
Q: Что происходит с моим компьютером?
A: Ваши файлы были зашифрованы.
В: Как мне вернуть файлы?
A: Вам нужны биткоины для возврата файлов.
Q: Могу ли я использовать другие методы?
A: Да. Вы можете использовать Paypal.
Q: Как я могу доверять?
A: Мы не обманываем пользователей. Мы возвращаем файлы.
---
Биткоин-адрес: [1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2] [Ввод кода]
[Провека]
---
Красным цветом выделены слова с ошибками.
Как сообщается, этот вымогатель просит перечислить выкуп на Bitcoin-адрес проекта Tails_live (xxxxs://tails.boum.org/donate/?r=sidebar), который и так собрал и использовал 218 BTC.
И куда им столько биткоинов? Смотрим, что это за хрень в Википедии.
Понятно. Ещё один источник анонимности, находящийся на тонкой границе с безнаказанным вымогательством.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ UAC не обходит. Требуется разрешение на запуск.
Выводит кучу бессмысленных сообщений вплоть до загрузки экрана блокировки.
Есть ещё один маленький экран, который перекрывается большим.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
sadcomputer_note.txt
SadComputer.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxxs://tails.boum.org/donate/?r=sidebar
Email: -
BTC: 1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Рекомендую обратиться по этой ссылке к Michael Gillespie >>
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as SadComputer) Write-up, Topic of Support 🎥 Video review >>
- Видеообзор подготовлен CyberSecurity GrujaRS
Thanks: Michael Gillespie, MalwareHunterTeam Andrew Ivanov (author) CyberSecurity GrujaRS to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.