PureLocker

PureLocker Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные (в основном базы данных) на серверах, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: PureLocker. Написано на языке программирования PureBasic. Для шифрования используются алгоритмы AES + RSA. 

Обнаружения:
DrWeb -> Trojan.Encoder.30110
BitDefender -> Trojan.GenericKD.42014529
ALYac -> Trojan.Ransom.PureLocker
Avira (no cloud) -> TR/PureLocker.A, TR/PureLocker.B
ESET-NOD32 -> A Variant Of Win32/Filecoder.PureLocker.A
TrendMicro -> Ransom.Win32.PURELOCKER.A
Microsoft -> Ransom:Win32/PureLocker!MSR


© Генеалогия: неназванные сборки >> PureLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CR1


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2019 г., но проходила в тихом режиме и раньше. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: YOUR_FILES.txt

Содержание записки о выкупе:
#CR1
All your files have been encrypted using: AES-256-CBC + RSA-4096.
Shadows copies were removed, original files were overwritten, renamed and deleted using safe methods.
Recovery is not possible without own RSA-4096 private key.
Only we can decrypt your files!
To decrypt your files contact us at: cr1-silvergold1@protonmail.com
Your private key will be deleted after 7 days starting from: 4/11/2019, after that the recovery of your files will not be possible.

Перевод записки на русский язык:
#CR1
Все ваши файлы зашифрованы с использованием: AES-256-CBC + RSA-4096.
Теневые копии удалены, оригинальные файлы перезаписаны, переименованы и удалены безопасными методами.
Восстановление невозможно без родного закрытого ключа RSA-4096.
Только мы можем расшифровать ваши файлы!
Чтобы расшифровать ваши файлы, свяжитесь с нами по адресу: cr1-silvergold1@protonmail.com
Ваш закрытый ключ будет удален через 7 дней, начиная с: 4/11/2019, после чего восстановление ваших файлов будет невозможно.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Чем опасен PureLocker? 
PureLocker написан на языке программирования PureBasic, который легко переносится между Windows, Linux и OS-X, поэтому злоумышленникам могут атаковать разные платформы. PureLocker содержит строки кода вредоносного бэкдора "More_eggs", основанного JavaScript, который продается в ДаркНете и используется опытными киберпреступниками. С его помощью злоумышленники могут удаленно контролировать взломанные компьютеры и загружать дополнительные вредоносные программы на ПК своих жертв. 
Так "More_eggs" использовался некоторыми действующими сегодня кибер-группами, включая Cobalt Gang и FIN6. Это указывает на то, что PureLocker также предназначен для опытных кибер-преступников, которые знают, как ударить по крупной организации, чтобы нанести существенный урон.

"О яйцах"
Trend Micro летом 2017 года первыми идентифицировали "More_eggs" и с того времени известно, что этот вредоносный инструмент использовался в многочисленных вредоносных кампаниях по email, направленных на восточноевропейские (главным образом российские) финансовые учреждения, производителей банкоматов и платежные системы.
Другие названия "More_eggs": SpicyOmelette, Terra Loader.

➤ PureLocker не проявляет себя как вредонос, если его запускать в песочнице или программах для исследования вредоносного ПО. Благодаря такому функционалу он несколько недель оставался незамеченным антивирусными движками и исследователями. 

➤ PureLocker удаляет теневые копии файлов, чтобы исключить возможность восстановления файлов. 

Список файловых расширений, подвергающихся шифрованию:
Шифруются в основном базы данных и файлы, представляющие коммерческую ценность, по мнению вымогателей. Исполняемый файлы пропускаются. 

Файлы, связанные с этим Ransomware:
YOUR_FILES.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cr1-silvergold1@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>  IA>>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>  JSA>> JSA>>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PureLocker)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Michael Kajiloti (Intezer), Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Sphinx

Sphinx Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует уплатить выкуп в течение 96 часов, чтобы вернуть файлы. Оригинальное название: Sphinx. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sphinx


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
//  You are become victim of Sphinx ransomware!
[*] What Happened?
  Your network is compromised and all your machines has been encrypted!
  We have exploited your network vulnerabilities and encrypted all of your machines data with,
  powerful hybrid cryptosystem, RSA-4096 and AES-256.
  There is no way to break the encryption except with your network private key and special decryption software!
  The only way to recover your data is buy them through our page on Hidden Network.
[*] How to Access Hidden Network?
  1. Download Tor Browser - https://www.torproject.org/download/
  2. Start it and wait for the load.
  3. Visit link below with Tor Browser:
     http://decrypt5bub45vpr.onion/7f6243f6ce9604fb762933bb4e72548e
  4. Follow the instructions on our page.
[*] WARNING!
  YOUR TIME TO PAY IS LIMITED TO 96 HOUR. 
  DON'T WASTE YOUR TIME TO SEARCH ON INTERNET, BEFORE OUR SERVICE REMOVE YOUR NETWORK PRIVATE KEY.
  ***
  IF YOU DO NOT THINK ABOUT TO PAYMENT!
  WE SELL YOU'R COMPANY'S PRIVATE DATA ON DARK MARKETS!
  YOU CAN ASK US FOR PROOF ANY TIME!
  ***

Перевод записки на русский язык:
// Вы стали жертвой Sphinx Ransomware!
[*] Что случилось?
  Ваша сеть взломана, а все ваши машины зашифрованы!
  Мы использовали ваши сетевые уязвимости и зашифровали данные всех ваших машин с помощью:
  мощная гибридная криптосистема RSA-4096 и AES-256.
  Нет никакого способа сломать шифрование, кроме как с помощью сетевого ключа и специальной программы для расшифровки!
  Единственный способ восстановить ваши данные - купить их через нашу страницу в Скрытой Сети.
[*] Как получить доступ к скрытой сети?
  1. Загрузите Tor Browser - https://www.torproject.org/download/
  2. Запустите его и дождитесь загрузки.
  3. Посетите ссылку ниже с Tor Browser:
     http://decrypt5bub45vpr.onion/7f6243f6ce9604fb762933bb4e72548e
  4. Следуйте инструкциям на нашей странице.
[*] ВНИМАНИЕ!
   ВАШЕ ВРЕМЯ ДЛЯ ОПЛАТЫ ОГРАНИЧЕНО 96 ЧАСАМИ.
   НЕ ТРАТЬТЕ ВРЕМЯ НА ПОИСК В ИНТЕРНЕТЕ, ПРЕЖДЕ НАШ СЕРВИС УДАЛИТ ВАШ СЕТЕВОЙ КЛЮЧ.
  ***
   ЕСЛИ ВЫ НЕ ДУМАЕТЕ ОБ ОПЛАТЕ!
   МЫ ПРОДАЕМ ВАШИ ЛИЧНЫЕ ДАННЫЕ КОМПАНИИ НА ТЕМНЫХ РЫНКАХ!
   ВЫ МОЖЕТЕ ОБРАТИТЬСЯ К НАМ ЗА ДОКАЗАТЕЛЬСТВОМ В ЛЮБОЕ ВРЕМЯ!
  ***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://decrypt5bub45vpr.onion/7f6243f6ce9604fb762933bb4e72548e

Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 ***
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

AnteFrigus

AnteFrigus Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $1.995, который увеличивается через 4 дня до $3.990. Оригинальное название: AnteFrigus. На файле написано: нет данных. 

Обнаружения:
DrWeb -> Trojan.PWS.Siggen2.38675, Trojan.Encoder.30119
BitDefender -> Trojan.GenericKD.32711050
ALYac -> Trojan.Ransom.AnteFrigus
Avira (no cloud) -> TR/Crypt.Agent.yyhfq
ESET-NOD32 -> A Variant Of Win32/Kryptik.GYHS
Kaspersky -> Trojan.Win32.Zenpak.rbj
Malwarebytes -> Trojan.MalPack.GS

© Генеалогия: AnteFrigus > Prometey

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: <random>-readme.txt
Например:
hssjyh-readme.txt
jbptlio-readme.txt

Содержание записки о выкупе:

 $$$$    $$  $$   $$$$$$   $$$$$    $$$$$$   $$$$$    $$$$$$    $$$$    $$  $$    $$$$
$$  $$   $$$ $$     $$     $$       $$       $$  $$     $$     $$       $$  $$   $$
$$$$$$   $$ $$$     $$     $$$$     $$$$     $$$$$      $$     $$ $$$   $$  $$    $$$$
$$  $$   $$  $$     $$     $$       $$       $$  $$     $$     $$  $$   $$  $$       $$
$$  $$   $$  $$     $$     $$$$$    $$       $$  $$   $$$$$$    $$$$     $$$$     $$$$

[+] Whats Happen ? [+]
Your files are encrypted, and currently unavailable.You can check it : all files on you computer has expansion hssjyh.
By the way, everything is possible to recover(restore), but you need to follow our instructions.Otherwise, you cant return your data(NEVER).
[+] What guarantees ? [+]
Its just a business.We absolutely do not care about youand your deals, except getting benefits.If we do not do our workand liabilities - nobody will not cooperate with us.Its not in our interests.
To check the ability of returning files, You should go to our website.There you can decrypt one file for free.That is our guarantee.
If you will not cooperate with our service - for us, its does not matter.But you will lose your timeand data, cause just we have the private key.In practise - time is much more valuable than money.
[+] How to get access on website ? [+]
You have two ways :
1)[Recommended] Using a TOR browser!
a) Download and install TOR browser from this site: https://torproject.org/ 
b) Open our website :  http://yboa7nidpv5jdtumgfm4fmmvju3ccxlleut2xvzgn5uqlbjd5n7p3kid.onion/?hssjyh
  (If you can’t follow the link or other difficulty write to the technical support email : antefrigus@cock.li) 
 2) If TOR blocked in your country, try to use VPN! For this:
 a) Open any browser (Chrome, Firefox, Opera, IE, Edge) and download and install free VPN programm and download TOR browser from this site https://torproject.org/ 
  b) If you are having difficulty purchase bitcoins, or you doubt in buying decryptor, contact to any data recovery company in your country, they will give you more guarantees and take purchase and decryption procedure on themselves. Almost all such companies heared about us and know that our decryption program work, so they can help you.
 When you open our website, put the following data in the input form:
Key:
Pjg/ODo4PD08PD87OTg5Nyhoa3RwdShvenpxgG8oSkEnOTw8Njk4OidOaUM2aXlFJw==
Extension name :  
hssjyh
---------------------------------------------------------------------------------------- -
!!!DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private keyand, as result, The Loss all data.
!!!!!!!!!
ONE MORE TIME : Its in your interests to get your files back.From our side, we(the best specialists) make everything for restoring, but please should not interfere.
!!!!!!!!!

Перевод записки на русский язык:
[+] Что случилось? [+]
Ваши файлы зашифрованы и сейчас недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение hssjyh.
Кстати, все можно восстановить (вернуть), но вы должны следовать нашим инструкциям. В противном случае вы не можете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не выполняем свою работу и обязательства - никто не будет сотрудничать с нами. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, вы должны зайти на наш сайт. Там вы можете бесплатно расшифровать один файл. Это наша гарантия.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, ведь только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
[+] Как получить доступ на сайт? [+]
У вас есть два пути:
1) [Рекомендуется] Использовать браузер TOR!
а) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
б) Откройте наш веб-сайт: http://yboa7nidpv5jdtumgfm4fmmvju3ccxlleut2xvzgn5uqlbjd5n7p3kid.onion/?hssjyh
  (Если вы не можете перейти по ссылке или по другим причинам, напишите на электронную почту технической поддержки: antefrigus@cock.li)
 2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! За это:
 а) Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge), загрузите и установите бесплатную программу VPN и загрузите браузер TOR с этого сайта https://torproject.org/
  б) Если у вас возникли трудности с покупкой биткойнов или вы сомневаетесь в покупке расшифровщика, обратитесь в любую компанию по восстановлению данных в вашей стране, которая предоставит вам больше гарантий и возьмет на себя процедуру покупки и расшифровки. Почти все такие компании слышали о нас и знают, что наша программа расшифровки работает, поэтому они могут вам помочь.
 Когда вы открываете наш сайт, введите следующие данные в форму ввода:
Ключ:Pjg/ODo4PD08PD87OTg5Nyhoa3RwdShvenpxgG8oSkEnOTw8Njk4OidOaUM2aXlFJw==
Название расширения:
hssjyh---------------------------------------------------------------------------------------- -
!!!ОПАСНОСТЬ !!!
НЕ пытайтесь изменить файлы самостоятельно, НЕ используйте любую стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение личного ключа и, как результат, потерю всех данных.
!!!!!!!!!ЕЩЕ РАЗ: В ваших интересах вернуть ваши файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но, пожалуйста, не мешайте.
!!!!!!!!!
---

Записка о выкупе также сохраняется в специальной папке на диске С:
C:\Instraction\

Скриншоты сайта вымогателей:

Технические детали

Распространяется с помощью вредоносной рекламной кампании HookAds, вредоносная реклама которой теперь перенаправляет пользователей на веб-страницы с набором эксплойтов RIG. На инфицированном ПК разворачивается вредоносный элемент, который устанавливает шифровальщик AnteFrigus. В 2018 году HookAds распространяла GlobeImposter. На момент написания этой статьи рекламная кампания HookAds уже продолжается несколько лет (с 2016 года), и каждый день регистрируются новые мошеннические рекламные домены.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (RIG EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ В отличие от других вымогателей, AnteFrigus не предназначен для диска "C", а только для других дисков, в описанном примере его целями были съемные устройства и подключенные сетевые диски (буквы дисков из кода  D:, E:, F:, G:, H:, I:).

➤ Для определения IP ПК используется сайт: 
xxxx://iplogger.org/10UJ73

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме пропускаемых. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые типы файлов: 

.adv, .ani, .bat, .big, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pck, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx (49 расширений). 

Файлы, связанные с этим Ransomware:
<random>-readme.txt - шаблон записки
hssjyh-readme.txt - пример записки
test.txt - файл для блокировки или отладки. 
rad26628.tmp.exe - пример названия вредоносного файла
<random>.tmp.exe - шаблон названия вредоносного файла

Расположения:
C:\Instraction\
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://yboa7nidpv5jdtumgfm4fmmvju3ccxlleut2xvzgn5uqlbjd5n7p3kid.onion/
Email: antefrigus@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 февраля 2020:
Пост в Твиттере >>
Расширения: .eaaeee, .bbadc
Записки: CLICK_HERE-eaaeee.txt, CLICK_HERE-bbadc.txt
URL: xxxxs://recovery-help.top/online-chat/
Tor-URL: xxxx://i6jppiczqa5moqf157gssi33npwfseqppdsnz7rriiv7suf4pf4w42id.onion
Результаты анализов: VT + IA + VMR

 

Обновление от 30 марта 2020:
Пост в Твиттере >>
Расширения: .aceadf, .daaefc, .feeef
Записки: ATTENTION-aceadf-README.txt
ATTENTION-daaefc-README.txt
ATTENTION-feeef-README.txt
URL: xxxx://restore-now.top/online-chat/
Tor-URL: xxxx://i6jppiczqa5moqfl57gssi33npwfseqppdsnz7rriiv7suf4pf4w42id.onion
Файл EXE: directx_update.exe
Результаты анализов: VT + AR + IA + VMR + TG

 

➤ Содержание записки: 
Sorry, but your files are locked due to a critical error in your system. If you yourself want to decrypt the files - you will lose them FOREVER.
You have to pay BITCOINS to get your file decoder. DO NOT TAKE TIME, you have SEVERAL DAYS to pay, otherwise the cost of the decoder will double. How to do it is written below.
If you cannot do it yourself, then search the Internet for file recovery services in your country or city.
Go to the page through the browser: http://restore-now.top/online-chat/ 
If your site does not open, then download the TOR browser (https://torproject.org/). If you can’t access the download page of the TOR browser, then download the VPN!
After you install the TOR browser on your computer go to the site: http://i6jppiczqa5moqfl57gssi33npwfseqppdsnz7rriiv7suf4pf4w42id.onion
After going to the site, enter the information:
Your ID: 32476*****
Personal key: a2hobG1qKGhrdHB1KDo5Oz49OTk4PTcoSkEnOTw8Njk5OCdOaUM2a*****==
Your Email



Обновление от 19 января 2020:
Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as AnteFrigus)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, mol69, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author), Emmanuel_ADC-Soft, S!Ri
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

MainBat, TestRansom

MainBat Ransomware

TestRansom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей, а затем сообщает, что файлы пока не зашифрованы. Оригинальное название: в записке не указано. На файла написано: main.bat, TestRansom.exe.

Обнаружения:
DrWeb -> DrWeb -> BAT.Encoder.85
BitDefender -> 
ESET-NOD32 -> BAT/Filecoder.DE
Symantec -> Downloader
Kaspersky -> Trojan-Ransom.Win32.Encoder.gch
McAfee -> RDN/Ransom
TrendMicro -> Trojan.Win32.WACATAC.USXVPKB19

© Генеалогия: другие BAT-вымогатели >> MainBat

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypt
На данный момент сообщается о тестовом варианте, который не должен шифровать файлы, но ситуация может измениться, когда он попадет в другие руки.  

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале ноября 2019 г. Дата компиляции исполняемого файла: 27 апреля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: message.txt

Содержание записки о выкупе:
Ops! Your files are encrypted.
Your files,documents,photos,etc have been encrypted and
are not currently accessable without the key! The key is
currently stored in memory and on reboot will be deleated!
This is a test malware and will not actually destroy your
files in this simulation. Your keys will be shown below;
 CryptKey: 29109-9***
 UserKey: admin-105759***

Перевод записки на русский язык:
Упс! Ваши файлы зашифрованы.
Ваши файлы, документы, фотографии и т.д. зашифрованы и
в настоящее время недоступны без ключа! Ключ
в данный момент хранится в памяти и при перезагрузке будет удален!
Это тестовый вредонос, который на самом деле не уничтожит ваши
файлы в этой симуляции. Ваши ключи будут показаны ниже;
 CryptKey: 29109-9***
 UserKey: admin-105759***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Использует BAT-файл для начала атаки:
C:\Windows\system32\cmd.exe /K "C:\Users\admin\crypt.bat"

➤ Другие деструктивные функции: 
Прописывает файлы message.bat / message.txt в меню Пуск
Запускает CMD.EXE для выполнения команд
Запускает CMD.EXE для самостоятельного удаления
Запускается самостоятельно
Создает файлы в пользовательских каталогах

➤ Используют легитимную технологию самоизвлекающихся архивов (WinRar, WinZip, 7-Zip).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
main.bat
message.txt
message.bat
crypt.zip
crypt.zip.tmp
crypt.zip.tmp8
crypt.zip.tmp7
crypt.zip.tmp6
crypt.zip.tmp5
crypt.zip.tmp4
crypt.zip.tmp3
crypt.zip.tmp2
crypt.zip.tmp1
FileList.txt
7za.exe
<random>.exe - случайное название вредоносного файла
sfxrar.pdb - первоначальное название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\message.txt

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\message.bat
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>> VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.