GermanWiper

GermanWiper Ransomware

Unnamed German Ransomware

(шифровальщик-вымогатель, деструктор, стиратель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей, а затем требует выкуп в ~0.15 BTC (1500$), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Обнаружения:
DrWeb -> Trojan.Encoder.29156
BitDefender -> Trojan.GenericKD.32208067
Avira (no cloud) -> TR/AD.MalwareCrypter.sbepq

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К фейк-зашифрованным файлам добавляется расширение: .<random{5}>
Примеры расширений:
.ctNfy

.eRq7E

.RadEW

.08kJA
.AVco3

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется с использование добавленного расширения по шаблону: 
<random{5}>_Entschluesselungs_Anleitung.html

Примеры таких записок:
ctNfy_Entschluesselungs_Anleitung.html
eRq7E_Entschluesselungs_Anleitung.html
RadEW_Entschluesselungs_Anleitung.html

Примечательно, что в тексте записки отсутствуют традиционные специальные немецкие буквы (умляуты и эсцет). Они заменены по следующему правилу:
- ü = ue
- ö = oe
- ä = ae
- ß = ss

 

Содержание записки о выкупе:
Alle Ihre Dateien wurden verschluesselt!
Was ist passiert?
Alle Ihre Dateien wurden verschluesselt und sind fuer Sie nicht mehr zugaenglich bis wir diese wieder entschluesseln. Alle verschluesselten Dateien wurden mit der Dateiendung .ctNfy versehen.
Bitte folgen Sie unseren Anweisungen, wenn Sie Ihre Dateien zeitnah wieder entschluesseln wollen! Es besteht keine andere Moeglichkeit Ihre Daten wieder zu entschluesseln ausser unseren Anweisungen zu folgen!
Ich moechte meine Dateien entschluesseln!
Kein Problem! Um Ihre Dateien zu entschluesseln, benoetigen Sie unsere Entschluesselungssoftware, diese steht zum Kauf fuer umgerechnet ca. $1,500 bereit. 
Der Betrag ist ausschliesslich in Bitcoin an die untenstehende Adresse zu zahlen. 
Welche Garantien habe ich?
Uns interessiert nicht wer Sie sind oder was fuer Dateien Sie auf Ihrem Computer haben, wir sind ausschliesslich daran interessiert Ihnen die Entschluesselungssoftware zu verkaufen. Schlechtes Business spricht sich herum, sollten wir Ihre Dateien nicht entschluesseln, wuerde in Zukunft niemand unsere Entschluesselungssoftware kaufen - Was nicht in unserem Interesse liegt.
Wo bekomme ich Bitcoins?
Bitcoin koennen Sie schnell und einfach kaufen, z.B mit Kreditkarte, GiroPay oder (SOFORT) Ueberweisung. Es folgt eine Auflistung populaerer Tauschboersen und Bitcoin Marktplaetzen:
Coinmama - https://coinmama.com/
Bitpanda - https://www.bitpanda.com/
AnyCoinDirect - https://anycoindirect.eu/
Bitcoin.de - https://www.bitcoin.de/
BTC Direct - https://btcdirect.eu/de-at
Es gibt noch weitere moeglichkeiten Bitcoin zu erwerben, sollte keine der gelisteten fuer Sie funktionieren, hilft Ihnen eine kurze Google Suche.
Ich habe die Bitcoins gekauft
Senden Sie den folgenden Betrag an die fuer Sie generierte Bitcoin Adresse:
Betrag
0.15038835 Bitcoin
Bitcoin Adresse
1D8TE2LRDjRU3b6143LR4GXWJbvhnzoiKu
Ich habe bezahlt - Was jetzt?
Nachdem die Zahlung auf der angegebenen Wallet eingegangen ist und diese 1 Bestaetigung im Bitcoin Netzwerk erhalten hat (30-60 Minuten) aktualisiert sich diese Seite automatisch mit dem Download Link fuer die Entschluesselungssoftware.
Bitte folgen Sie den Anweisungen in der Entschluesselungssoftware um sicherzustellen, dass alle Ihre Dateien korrekt entschluesselt werden.
Bitte beachten Sie, dass die Entschluesselungssoftware nur speziell fuer Ihren PC und die Dateiendung .ctNfy funktioniert, es ist also sinnlos nach der Entschluesselungssoftware von anderen zu suchen. 
Weitere Informationen
Bitte beachten Sie, dass wir Ihnen eine Frist von 7 Tagen setzen, diese laueft ab am: 08/08/2019.
Sollten wir bis dahin keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie nicht an der Entschluesselung Ihrer Daten interessiert sind und Loeschen den Private-Key fuer Ihren Computer unwiderruflich, in diesem Falle gehen Ihre Daten fuer immer verloren. 
Beachten Sie, dass nur wir in der Lage sind Ihre Dateien wiederherzustellen, versuchen Sie nicht Ihre Dateien selber zu entschluesseln / wiederherzustellen, im besten Falle verschwenden Sie nur Ihre Zeit, im schlimmsten Falle beschaedigen Sie die verschluesselten Dateien und wir koennen Ihnen beim entschluesseln nicht mehr helfen!

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Что случилось?
Все ваши файлы были зашифрованы и больше не доступны для вас, пока мы не расшифруем их снова. Все зашифрованные файлы получили расширение .ctNfy.
Пожалуйста, следуйте нашим инструкциям, если вы хотите своевременно расшифровать ваши файлы! Нет другого способа расшифровать ваши данные, кроме как следовать нашим инструкциям!
Я хотел бы расшифровать мои файлы!
Нет проблем! Для расшифровки ваших файлов вам понадобится наша программа для дешифрования, которую можно приобрести за сумму, эквивалентную 1500 долл. США.
Сумма выплачивается исключительно в биткойнах по указанному ниже адресу.
Какие гарантии у меня есть?
Мы не заинтересованы в том, кто вы или какие файлы хранятся на вашем компьютере, мы исключительно заинтересованы в продаже вам программны для расшифровки. Будет хуже нашему бизнесу, если мы не расшифруем ваши файлы, никто не купит нашу программу для расшифровки в будущем, что не в наших интересах.
Где я могу получить биткойны?
Вы можете быстро и легко купить биткойны, например, с помощью кредитной карты, GiroPay или (НЕМЕДЛЕННО) перевода. Ниже приведен список популярных торговых площадок по бартеру и биткойнам:
Коинмама - https://coinmama.com/
Битпанда - https://www.bitpanda.com/
AnyCoinDirect - https://anycoindirect.eu/
Bitcoin.de - https://www.bitcoin.de/
BTC Direct - https://btcdirect.eu/de-at
Есть и другие способы купить Биткойн, если ни один из перечисленных не подойдет вам, вам поможет краткий поиск в Google.
Я купил биткойны
Отправьте следующую сумму на сгенерированный для вас биткойн-адрес:
сумма
0.15038835 Биткойн
Биткойн-адрес
1D8TE2LRDjRU3b6143LR4GXWJbvhnzoiKu
Я заплатил - что теперь?
После того, как платеж поступит на указанный кошелек и получит 1 подтверждение в сети Биткойн (30-60 минут), эта страница автоматически обновляет себя ссылкой для загрузки программы для дешифрования.
Пожалуйста, следуйте инструкциям в программе для расшифровки, чтобы убедиться, что все ваши файлы расшифрованы правильно.
Обратите внимание, что программа для расшифровки работает только для вашего ПК и расширения .ctNfy, поэтому бесполезно искать другие программы для расшифровки.
Дальнейшая информация
Обратите внимание, что мы установили период в 7 дней, это произойдет: 08.08.2009.
Если мы не получим никакой оплаты до этих пор, мы предположим, что вы не заинтересованы в расшифровке ваших данных, и безвозвратно удалим закрытый ключ для вашего компьютера, и в этом случае ваши данные будут потеряны навсегда.
Обратите внимание, что только мы можем восстановить ваши файлы, не пытайтесь расшифровывать / восстанавливать самостоятельно ваши файлы, в лучшем случае вы только потратите свое время, в худшем случае вы повредите зашифрованные файлы, и мы не сможем помочь их расшифровать!

Другим информатором жертвы выступает изображение sasi.bmp, заменяющее обои рабочего стола. 

Текст указывает на необходимость прочитать файл записки с требованиями выкупа. 

Технические детали

Вредоносный файл распространяется с помощью email-спама как вложение, под видом резюме кандидата на работу. 

Пример такого письма:

Subject: Bewerbung auf die Stelle bei der Arbeitsagentur
From: Doris Sammer <doris.sammer@rasendmail.com>
Time received: 30.07.2019 10:28 (UTC+2)
Sehr geehrte Damen und Herren, mit großem Interesse bin auf der Internetseite der Arbeitsagentur auf Ihre ausgeschriebene Position aufmerksam geworden. Gerne möchte ich mich Ihnen als qualifizierte Bewerberin vorstellen.
In eine neue Aufgabe bei Ihnen kann ich verschiedene Stärken einbringen. So gehe ich meine Aufgaben sehr zuverlässig, verantwortungsbewusst und präzise an. Mit mir gewinnt Ihr Unternehmen einen Mitarbeiter, der flexibel, motiviert und teamorientiert ist. Außerdem habe ich in früheren Projekten insbesondere ausgeprägte Kommunikationsstärke, hohe Lernbereitschaft und viel Kreativität unter Beweis stellen können.
Konnte ich Sie mit dieser Bewerbung überzeugen? Ich bin für einen Einstieg zum nächstmöglichen Zeitpunkt verfügbar. Einen vertiefenden Eindruck gebe ich Ihnen gerne in einem persönlichen Gespräch. Ich freue mich über Ihre Einladung!
Mit freundlichen Grüßen,
Doris Sammer
Anlagen: Lebenslauf, Arbeitszeugnisse, Bewerbungsfoto

Вложением является архив Unterlagen_Lena_Kretschmer.zip, или любой другой. Тема письма может быть, как указана выше, или Ihr Stellenangebot - Bewerbung [Your job offer - Application] - Lena Kretschmer, как на скриншоте ниже, или какая-то другая. 

Вложение содержит два файла, которые представляются отправителем как резюме в формате PDF. 

Эти файлы псевдоPDF-файлы: 
Arbeitszeugnisse_Lena_Kretschmer.pdf.lnk
Lebenslauf_Lena_Kretschmer.pdf.lnk

На самом деле эти PDF-файлы являются ярлыками (LNK-файлы), которые выполняют команду PowerShell (см. на скриншоте ниже) для загрузки файла HTA с сайта злоумышленников и запуская его на затронутом компьютере. При выполнении HTA-файл загружает exe-файл вымогателя и сохраняет его в папке C:\Users\Public и в виде исполняемого файла с именем из трех букв. Затем запускается вайпер (стиратель файлов).

Выполняемая команда PowerShell

 

Свойства LNK-файла

При своём первом запуске GermanWiper завершает процессы, связанные с базой данных и другими программами, чтобы получить доступ к файлам и начать стирание файлов. Ниже приведен список завершаемых процессов:
notepad.exe
dbeng50.exe
sqbcoreservice.exe
encsvc.exe
mydesktopservice.exe
isqlplussvc.exe
agntsvc.exe
sql.exe
sqld.exe
mysql.exe
mysqld.exe
oracle.exe

Вполне возможно, что также может распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Перезаписывает файлы нулями (0x00 байт). Данные не подлежат восстановлению. Уплата выкупа бесполезна! 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командой:
cmd.exe /k vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся фейк-шифрованию:
Все популярные форматы файлов или все файлы подряд, кроме тех, что находятся в белых списках файлов, папок и расширений.  

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений: 
.adv, .ADV, .ani, .ANI, .bat, .BAT, .bin, .BIN, .cab, .CAB, .cmd, .CMD, .com, .COM, .cpl, .CPL, .cur, .CUR, .deskthemepack, .DESKTHEMEPACK, .diagcab, .DIAGCAB, .diagcfg, .DIAGCFG, .diagpkg, .DIAGPKG, .dll, .DLL, .drv, .DRV, .exe, .EXE, .hlp, .HLP, .hta, .HTA, .icl, .ICL, .icns, .ICNS, .ico, .ICO, .ics, .ICS, .idx, .IDX, .ldf, .lnk, .LNK, .lock, .LOCK, .mod, .MOD, .mpa, .MPA, .msc, .MSC, .msi, .MSI, .msp, .MSP, .msstyles, .MSSTYLES, .msu, .MSU, .nls, .NLS, .nomedia, .NOMEDIA, .ocx, .OCX, .prf, .PRF, .psl, .PSL, .rom, .ROM, .rtp, .RTP, .scr, .SCR, .shs, .SHS, .spl, .SPL, .sys, .SYS, .theme, .THEME, .themepack, .THEMEPACK, .wpx, .WPX (93 расширения). 

Скриншот с частью файлов и расширений из белого списка: 

Белый список файлов и папок (директорий):
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
bootmgr
bootnxt
thumbs.db
Windows
Recycle.bin
Mozilla
Google
boot
Application Data
AppData
Program files
Program files (x86)
Programme
Programme (x86)
Programdata
perflogs
intel
msocache
System Volume Information

Причина их пропуска в том, что они нужны для правильной загрузки системы и для просмотра веб-страниц.

Файлы, связанные с этим Ransomware:
Bewerbung-Lena-Kretschmer.exe
<random>.exe - случайное название вредоносного файла
sasi.bmp
ctNfy_Entschluesselungs_Anleitung.html
eRq7E_Entschluesselungs_Anleitung.html
RadEW_Entschluesselungs_Anleitung.html

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\sasi.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC: 1CQjaKJd8YKuvzjhjtCKy8QGP9CY4X6Xyc
1Ft45aW8b3HeoJGe9NmJz8H3Hu7NpwdHzY
1KjBUvN4Gfipi3bGmuAPDcJEqx48Nx5m4i
17BJR98G3bpycgoicVVWHLmt1n7jwC3HTk
14XhwV3iBMcLE8qURtk4q2TR53oMSNgZHZ
17zGcqKji84sYg6XxefLFvkZouHMKQfSrb
1LRMFKpSKhrobVJa1uo5V7pnYnEV7S8hZE
135ug1diEkaGmTaHh4vP1kLLgswRVmZbKw
1NXZg59BzWSextDuvspbCJ6NRqHT4T7jbM
19sd86duTh7vkYUwMDJirP1F513Tvwo7fv
1JjkbfjDsi1UqqBgcGtsMdZefFMcVukwVa
1PyZ6yQdnMpVn5o9SfdaPEzAH137Ys9KHn
1CQjaKJd8YKuvzjhjtCKy8QGP9CY4X6Xyc
1J1MBbgNoB9pJXhzZs6DtnpgHPzaeqCx2x
1MRvr9bDBKb8LcctebM7RqXi8Xiiv35fUt
1DbAXfFY1sCqea4We28td8e3FUGh1MvKbT
16Cq2MpX1LDMXEa3eGuQ3FGWC3kNoowzjg
1JKN1uz6BaWUwftoPSah5RnvD9aTjimkZe
1FkCZkm74zEQ3UNCScBwUzuxYbbWH15h5z
1HugNNr72MHAd53S3ygHwJWAxi655tpBqa
17vH1YT63jRTavNQRGGsP49xjzZtZsxNRF
1FZhTBLZMRQms5q8h4iHZAYdEpgr6dhpw2
1EJnYFmNmVeozrFjByzQmWBMbCb6sj8KNh
13iv6aUc8oEBg9R9MFREwvTRTjecy2TBXY
1E3s6S3YUfadZP27ZtwtPENbSzV4Mr3kv6
18tnmDSvLb5sxyVaid3K9YdEVfT9THTMfo
1Eh4C1RodoiFEM3G7ZozLojNSNGPLh8Xo1
19PEKTCo1J2Qh1jCHxnsXj4rAAvvnoyrDB
1Ft45aW8b3HeoJGe9NmJz8H3Hu7NpwdHzY
1DAkV3n3QZZtYZAmGDFCQyah7YTCRDNmH1
19cwrjV2FM3fw4BqBwnsBi9hDwMwUbJyy8
13AsdXkb7LG2aJzroZtZpCsqbhyhZgrpwc
167kVP1ctnw48eEM97ZHbwTTLEUaEoHtfN
1A8Rx1PHyYq4xJNSoDnkua9rsQaVuL7KSU
1D8TE2LRDjRU3b6143LR4GXWJbvhnzoiKu
1GJfdiu2AEQA9NsFyKypx7YMfoHFZi7KzR
1Hk2uAwoW6z5QdrtssKXBQ9d6VTvn8nPD8
19D4iUqYYd1y3Hn295yfsacXUykWwqZaov

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as GermanWiper)
 Write-up, Topic of Support
 Added later: Write-up by BleepingComputer (on August 4, 2019)

 Thanks: 
 Michael Gillespie, James, quietman7
 Andrew Ivanov (author), CyberSecurity GrujaRS
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xorist-Mcrypt2019

Xorist-Mcrypt2019 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью TEA, а затем требует выкуп в $600 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.94
Avira (no cloud) -> HEUR/AGEN.1021572
ESET-NOD32 ->  - A Variant Of Win32/Filecoder.Q
Kaspersky -> Trojan-Ransom.Win32.Xorist.lk
Symantec -> Ransom.CryptoTorLocker
Tencent -> Win32.Trojan.Xorist.Ecjs
VBA32 -> Trojan.Nymaim

© Генеалогия: Xorist >> Xorist Family > Xorist-Mcrypt2019

К зашифрованным файлам добавляется расширение: .exe

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-DECRYPT-FILES.HTM

Содержание записки о выкупе:
Ooops, your important files are encrypted!
If you see this text, your files are no longer accessible, because they have been encrypted. perhaps you looking for a way to decrypt your files, but DON'T waste your time. No one can recover your files without our decryption key.
Please follow the instructions:
1. Send $600 worth of Bitcoins to the following address:
1LS32VsvWhWU6ud9h3xEJuJzgEbRtBnymE
2. Send your Bitcoin wallet ID and your ID to E-mail mcrypt2019@yandex.com.
Your personal ID:
N8B4XRqE6LZb3WYDLBTuP8moMgJCAKN9mZ4sq3JD2eyFGeP8JgDLLJ5XN6bw

Перевод записки на русский язык:
Упс, ваши важные файлы зашифрованы!
Если вы видите этот текст, ваши файлы не доступны, потому что они зашифрованы. возможно, вы ищете способ расшифровки ваших файлов, но не тратьте свое время. Никто не восстановит ваши файлы без нашего ключа расшифровки.
Пожалуйста, следуйте инструкциям:
1. Отправьте биткойны на сумму $600 по следующему адресу:
1LS32VsvWhWU6ud9h3xEJuJzgEbRtBnymE
2. Отправьте свой ID биткойн-кошелька и свой ID на email mcrypt2019@yandex.com.
Ваш личный ID:
N8B4XRqE6LZb3WYDLBTuP8moMgJCAKN9mZ4sq3JD2eyFGeP8JgDLLJ5XN6bw


Другим информатором является изображение LOLALOUD123.bmp, встающее обоями Рабочего стола. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Прописывается в Автозагрузку системы. Самоудаляется после завершения шифрования. Комментарий от Alex Svirid:
Судя по OYVKGNYIKFTUGXY\shell\open\command и %TEMP%\Bho61CXU8if3yfw.exe это Xorist на основе стандартного билдера, только ещё защищён с Aspack 2.2.

Список файловых расширений, подвергающихся шифрованию:
.3gp, .7z, .aes, .ahk, .au3, .avi, .bas, .bat, .blob, .bmp, .btc, .c, .c++, .cc, .cmd, .cpp, .cs, .csproj, .cxx, .db, .doc, .docx, .eml, .flac, .flv, .gif, .gzip, .hta, .htm, .html, .jpeg, .jpg, .js, .jscript, .key, .lnk, .manifest, .md, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .nfo, .part, .pdf, .pfx, .php, .php7, .png, .ppt, .pptx, .rar, .rsa, .swf, .tar, .torrent, .txt, .vb, .vba, .vbe, .vbproj, .vbs, .vcxproj, .wallet, .wav, .wma, .wmv, .xls, .xlsx, .zip (73 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
a.exe
HOW-TO-DECRYPT-FILES.HTM
LOLALOUD123.bmp
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\Bho61CXU8if3yfw.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mcrypt2019@yandex.com
BTC: 1LS32VsvWhWU6ud9h3xEJuJzgEbRtBnymE
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist-Vandev Ransomware - февраль 2012
другие ранние варианты - 2012-2015
Xorist (2016-2019) Ransomware  - март 2016
Xorist-EnCiPhErEd Ransomware  - май 2016
Xorist-FakeRSA Ransomware  - февраль 2017
Xorist-Zixer2 Ransomware  - апрель 2017
Xorist-TraNs Ransomware  июнь 2017
Xorist-RuSVon Ransomware  - июль 2017
Xorist-Hello Ransomware  - август 2017
Xorist-CerBerSysLock Ransomware  - декабрь 2017
Xorist-Frozen Ransomware  - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware  - июль 2018
Xorist-Mcafee Ransomware  - январь 2019
Xorist-Mcrypt2019 Ransomware  - июль 2019
Xorist 2020 Ransomware  - весь 2020 год

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author), Alex Svirid
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Craftul

Craftul Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Вымогатели из Украины. 

Обнаружения:
DrWeb ->
BitDefender ->

© Генеалогия: Incanto >> Craftul

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .craftul


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: FilesInfo.txt

Содержание записки о выкупе:
All your important files were encrypted on this PC.
All files with .craftul extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet.
To retrieve the private key, you need to contact us by email helpmegetfiles@protonmail.ch send us an email your FilesInfo.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-2 not very big encrypted files and we will send you back it in a decrypted form free.
To send files you can use hxxx://dropmefiles.com/ 
Do not waste your time! After 72 hours the main server will double your price!
Your personal id:
asdasdgfGFGGgsdfsdjfbnbnfbnxzbvdysfuysus
E-mail adress to contact us:
helpmegetfiles@protonmail.ch
Reserve e-mail:
GFgfsdfsf4545sd@bigmir.net

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы на этом ПК.
Все файлы с расширением .craftul зашифрованы.
Шифрование сделано с уникальным закрытым ключом RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам нужно получить закрытый ключ + программу расшифровки.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится на секретном сервере в Интернете.
Чтобы получить закрытый ключ, вам надо связаться с нами по email helpmegetfiles@protonmail.ch, отправить нам на email свой файл FilesInfo.txt и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете отправить нам 1-2 не очень больших зашифрованных файла, и мы отправим вам их обратно в расшифрованном виде бесплатно.
Для отправки файлов вы можете использовать hxxx://dropmefiles.com/
Не тратьте время! Через 72 часа основной сервер удвоит вашу цену!
Ваш личный id:
asdasdgfGFGGgsdfsdjfbnbnfbnxzbvdysfuysus
Адрес email для связи с нами:
helpmegetfiles@protonmail.ch
Резервный email:
GFgfsdfsf4545sd@bigmir.net

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FilesInfo.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helpmegetfiles@protonmail.ch
GFgfsdfsf4545sd@bigmir.net
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

DecryptIomega

Decryptiomega Ransomware

DecryptIomega Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или только сообщает, что шифрует файлы на сетевых устройствах (NAS), а затем требует выкуп в 0.01 - 0.03 - 0.05 BTC, чтобы вернуть файлы. На самом деле никто пока не видел файлы в зашифрованном виде, возможно, что файлы просто удалены, а вместо них оставлена записка о выкупе. В таком случае уплата выкупа бесполезна! 
Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.
Сами зашифрованные файлы скрыты или перемещены на сервер вымогателей. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: YOUR FILES ARE SAFE!!!.txt

Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED AND MOVED TO A SAFE LOCATION. IF YOU NEED THEM BACK PLEASE SEND 0.03 BITCOIN TO THIS ADDRESS:
1GMwS2BgKbfHxZBGk4n3uy5GGevS4DtB1M
YOU HAVE UNTIL THE 1st OF AUGUST 2019 TO MAKE THE PAYMENT OR YOUR FILES WILL BE GONE FOR GOOD.
YOUR UNIQE ID IS: "JSUTV38C9W".
BE SURE TO INCLUDE IT IN THE PAYMENT COMMENTS, OR EMAIL ME THE CODE AND PAYMENT CONFIRMATION TO: decryptiomega@protonmail.com
AFTER THE PAYMENT YOU WILL RECEIVE A NEW FILE ON YOUR NAS DEVICE WITH THE LINK TO YOUR DECRYPTED FILES.
THANK YOU FOR YOUR COOPERATION.

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ И ПЕРЕМЕЩЕНЫ В БЕЗОПАСНОЕ МЕСТО. ЕСЛИ ОНИ ВАМ НУЖНЫ, ОТПРАВЬТЕ 0.03 БИТКОИНА НА ЭТОТ АДРЕС:
1GMWS2BGKBFHXZBGK4N3UY5GGEVS4DTB1M
ВЫ ДОЛЖНЫ ВНЕСТИ ПЛАТЕЖ ДО 1 АВГУСТА 2019 ГОДА, ИНАЧЕ ВАШИ ФАЙЛЫ ИСЧЕЗНУТ НАВСЕГДА.
ВАШ УНИКАЛЬНЫЙ ID: "JSUTV38C9W".
ОБЯЗАТЕЛЬНО УКАЖИТЕ ЭТО В КОММЕНТАРИЯХ К ПЛАТЕЖУ ИЛИ ОТПРАВЬТЕ МНЕ КОД И ПОДТВЕРЖДЕНИЕ ПЛАТЕЖА НА: decryptiomega@protonmail.com
ПОСЛЕ ОПЛАТЫ ВЫ ПОЛУЧИТЕ НОВЫЙ ФАЙЛ НА NAS УСТРОЙСТВЕ СО ССЫЛКОЙ НА ВАШИ РАСШИФРОВАННЫЕ ФАЙЛЫ.
СПАСИБО ЗА ВАШЕ СОТРУДНИЧЕСТВО.

Другой вариант записки:
YOUR FILES HAVE BEEN ENCRYPTED AND MOVED TO A SAFE LOCATION. IF YOU NEED THEM BACK PLEASE SEND 0.01 BITCOIN TO THIS ADDRESS:
172bnrSX351TEEVrFJTPAA9ktBxfjnweLm
YOU HAVE UNTIL THE 15th OF AUGUST 2019 TO MAKE THE PAYMENT OR YOUR FILES WILL BE SOLD ON THE DARK WEB.
YOUR UNIQE ID IS: "xxx".
BE SURE TO INCLUDE IT IN THE PAYMENT COMMENTS, OR EMAIL ME THE CODE AND PAYMENT CONFIRMATION TO: decryptiomega@protonmail.com
AFTER THE PAYMENT YOU WILL RECEIVE A NEW FILE ON YOUR FTP DEVICE WITH THE LINK TO YOUR DECRYPTED FILES.
THANK YOU FOR YOUR COOPERATION.

Перевод на русский язык:
Примерно всё тоже самое, только вымогатели угрожают продать данные в темной сети, если не получат выкуп. 

Технические детали

Целевые устройства: 
Сетевые хранилища Lenovo Iomega IX4-300d, Lenovo Iomega IX2 и другие. 

Вполне вероятно, что как и StorageCrypter Ransomware, Cr1ptT0r Ransomware и MegaLocker Ransomware нацелен на устройства сетевого хранения (NAS), некоторые из которых поставляются с сервером Samba для обеспечения совместимости при совместном использования файлов между различными операционными системами. Использует уязвимость SambaCry. 

SambaCry - это уязвимость Linux Samba, позволяющая злоумышленнику открыть командную оболочку, которую можно использовать для загрузки файлов и выполнения команд на уязвимом устройстве. Текущий метод заражения устройств NAS с помощью StorageCrypter, по-видимому, аналогичен варианту Elf_Shellbind, который  ранее использовался для распространения майнеров.

Как файлы могут быть скрыты?
На NAS-устройствах используется файловая система ext2, поэтому вымогатели используют метод преобразования файловых систем, при котором включение любой функции, не поддерживаемой ext2, сделает файлы недоступными для ext2, но доступными для файловых систем ext3 или ext4. 

Как восстановить файлы? 
Для работы с ext-разделами из под Windows, для просмотра и сохранения данных прекрасно подойдет программа Ext2explore. Эта программа позволяет не только просматривать информацию из разделов ext2, ext3 и ext4, но и безопасно извлекать, изменять и сохранять данные (папки, файлы) на выбранные жёсткие диски и разделы из-под Windows. 

Пошаговое руководство: 
Сначала физически подключите жёсткий диск с разделами Ext к компьютеру. Потом запустите исполняемый файл ext2explore.exe от имени администратора (он работает без установки на компьютер). Программа быстро просканирует диски и найдёт разделы EXT2, EXT3 или EXT4. 
После этого можно создавать новые файлы или папки, использовать основные инструменты редактирования для работы с файлами, вырезать, копировать, вставлять, переименовывать или удалять файлы в разделах EXT2, EXT3 или EXT4, а также сохранять изменения.

Сохранять файлы и папки из разделов Ext очень просто. Выберите папку, нажмите кнопку «Сохранить» и укажите место (или другой диск), куда будет скопирована и сохранена выбранная папка со всем содержимым. Так же нужно делать для отдельных файлов. 

Как защититься? 
Разработчики Samba регулярно устраняют уязвимости. Нужно срочно установить все выпущенные патчи, если ранее это не было сделано. Официальная страница с патчами и описаниями каждой уязвимости.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
YOUR FILES ARE SAFE!!!.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: decryptiomega@protonmail.com
Email-2: iomega@cock.li
Email-3: decryptiega@protonmail.com
BTC: 1GMwS2BgKbfHxZBGk4n3uy5GGevS4DtB1M
172bnrSX351TEEVrFJTPAA9ktBxfjnweLm
13gMN3sJFxoLvoDzyGxq31sr4k9P2qqMDQ и другие
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 июля 2019:
Пост на форуме >>
Записка: YOUR FILES ARE SAFE!!!.txt
Email: iomega@firemail.cc
BTC: 3H1h39aTtzYjcRSNN11YnkAAMV8f9UnCDo

➤ Содержание записки:
YOUR STORAGE WAS UNPROTECTED.
YOUR FILES ARE SAFE. THEY HAVE BEEN ENCRYPTED AND MOVED TO A SAFE LOCATION. IF YOU WANT THEM BACK PLEASE SEND 0.03 BITCOIN TO THIS BITCOIN ADDRESS:
3H1h39aTtzYjcRSNN11YnkAAMV8f9UnCDo
YOU HAVE UNTIL THE 1st OF AUGUST 2019 TO MAKE THE PAYMENT OR YOUR FILES WILL BE AUTO-DELETED.
YOUR UNIQE ID IS: "ZAR489W510".
PLEASE INCLUDE IT IN THE PAYMENT COMMENTS, OR EMAIL ME THE CODE AND PAYMENT CONFIRMATION TO: iomega@firemail.cc
AFTER THE PAYMENT YOU WILL RECEIVE A NEW FILE ON YOUR STORAGE DEVICE OR AN EMAIL WITH THE LINK TO DOWNLOAD YOUR DECRYPTED FILES.
YOUR FILES WILL REMAIN SAFE.
THANK YOU FOR YOUR COOPERATION.

Обновление от 6 сентября 2019:
Пост в Твиттере >>
Email: kosecurity@airmail.cc
BTC: 13KB9o2cTzi5thcp1n9J6t3Za1yZnXjH8gi
Записка: INFORMATION***.txt

➤ Содержание записки:
YOUR STORAGE WAS UNPROTECTED.
YOUR FILES ARE SAFE. THEY HAVE BEEN ENCRYPTED AND MOVED TO A SAFE LOCATION. IF YOU WANT THEM BACK PLEASE SEND 0.03 BITCOIN TO THIS
BITCOIN ADDRESS:
13KB9o2cTzi5thcp1n9J6t3Za1yZnXjH8gi
YOU HAVE UNTIL THE 10th OF SEPTEMBER 2019 TO MAKE THE PAYMENT OR YOUR FILES WILL BE AUTO-DELETED.
YOUR UNIQUE ID IS: "SSH1498W240".
PLEASE INCLUDE IT IN THE PAYMENT COMMENTS, OR EMAIL US THE CODE AND PAYMENT CONFIRMATION TO: kosecurity@airmail.cc
YOUR FILES WILL REMAIN SAFE.
THANK YOU FOR YOUR COOPERATION.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Файлы можно вернуть без уплаты выкупа.
Читайте выше в статье пункт "Как восстановить файлы? и Пошаговое руководство. 

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as DecryptIomega)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.