Если вы не видите здесь изображений, то используйте VPN.

вторник, 19 ноября 2019 г.

Wacatac, DeathRansom

Wacatac Ransomware

DeathRansom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью XTEA, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп в BTC, получить программу для расшифровки и вернуть файлы. Оригинальное название: DeathRansom (указано в записке). Написан на языке C. Позже стало использоваться другое шифрование. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.30115, Trojan.Encoder.30169, Trojan.Encoder.30180, Trojan.Encoder.30188, Trojan.PWS.Siggen2.39155, Trojan.DownLoader28.53348, Trojan.Packed2.42133, Trojan.PWS.Stealer.27556, Trojan.Encoder.30493, Trojan.Encoder.32283
Antiy-AVL -> Trojan/Win32.Wacatac, Trojan/Win32.Agent
ALYac -> Trojan.Ransom.DEATHRansom
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Gen:Variant.Ser.Midie.1067, Trojan.GenericKD.32736773, Gen:Variant.Ulise.88088, Trojan.GenericKD.42039481, Trojan.GenericKD.42040608, Trojan.GenericKDZ.59981, Gen:Variant.Ulise.87938
ESET-NOD32 -> Win32/Filecoder.DeathRansom.B, A Variant Of Win32/Kryptik.GYQM, A Variant Of Win32/Kryptik.GYPF, A Variant Of Win32/Filecoder.DeathRansom.B
Kaspersky -> Not-a-virus:HEUR:Downloader.Win32.Gen, Trojan.Win32.Chapak.*, Trojan.Win32.Agent.*, HEUR:Trojan-Downloader.Win32.Bandit.gen
Malwarebytes -> Ransom.Death, Trojan.MalPack.GS, Ransom.DeathRansom
Microsoft -> Trojan:Win32/Fuerboos.A!cl, Trojan:Win32/Tiggre!plock, Trojan:Win32/Emotet.PDS!MTB
Rising -> Backdoor.Predator!8.6DF3*, Trojan.Wacatac!8.10C01*, Trojan.Glupteba!8.AA0*, Trojan.Kryptik!1.BFC8 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence, Downloader, Trojan Horse
TrendMicro -> Ransom.Win32.DEATHRANSOM.*, TROJ_FRS.0NA103KR19, TROJ_GEN.R002C0WKN19
VBA32 -> BScope.Exploit.UAC, BScope.Trojan.Wacatac, BScope.Trojan.Download, BScope.Backdoor.Predator
---

© Генеалогия: ранние варианты, EZDZ-Locker >> Wacatac, DeathRansom 
TechandStrat > HelloKitty > FiveHands 

Имеется родство с DCRTR и STOP Ransomware (например: Stop-zobm, смотрите также, ссылки IA ниже в результатах анализов и обновлениях). 
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .wctc

Как потом оказалось, можно было просто удалить это расширение, чтобы получить доступ к файлам.  Позже стал использоваться вариант, который не добавлял расширение к зашифрованным файлам. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: read_me.txt

Содержание записки о выкупе:
--=    DEATHRANSOM  =---
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email death@firemail.cc  and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email 
              death@cumallover.me
              death@firemail.cc
Your LOCK-ID: A/DWowvWRQrvUGVZL1WVxz3JX8H8BG*** [728 characters]
>>>How to obtain bitcoin:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
>>> Free decryption as guarantee!
Before paying you send us up to 1 file for free decryption.
We recommeded to send pictures, text files, sheets, etc. (files no more than 1mb)
IN ORDER TO PREVENT DATA DAMAGE:
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.

Перевод записки на русский язык:
 --=    DEATHRANSOM  =---
***********************НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ, ПОКА ВСЕ ВАШИ ДАННЫЕ НЕ БУДУТ ВОССТАНОВЛЕНЫ ***********************
***** НЕСОБЛЮДЕНИЕ ЭТОГО ТРЕБОВАНИЯ ПРИВЕДЕТ К ПОВРЕЖДЕНИЮ ВАШЕЙ СИСТЕМЫ В СЛУЧАЕ ОШИБОК ДЕШИФРОВКИ. *****
Все ваши файлы, документы, фотографии, базы данных и другие важные
файлы зашифрованы.
Вы не можете расшифровать это самостоятельно! Единственный метод
восстановления файлов заключается в покупке уникального закрытого ключа.
Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.
Чтобы убедиться, что у нас есть расшифровщик, и он работает, вы можете отправить email на death@firemail.cc и расшифруем один файл бесплатно. Но этот файл должен быть не ценным!
Вы действительно хотите восстановить ваши файлы?
Напишите на email
              death@cumallover.me
              death@firemail.cc
Ваш LOCK-ID: A/DWowvWRQrvUGVZL1WVxz3JX8H8BG*** [728 символов]
>>> Как получить биткойны:
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
>>> Бесплатная расшифровка как гарантия!
Перед оплатой вы отправьте нам 1 файл для бесплатной расшифровки.
Мы рекомендуем отправлять картинки, текстовые файлы, листы и т. д. (Файлы не более 1 Мб)
Для того, чтобы предотвратить повреждение данных:
1. Не переименовывайте зашифрованные файлы.
2. Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
3. Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей) или вы можете стать жертвой мошенничества.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Как показали сравнительные тесты и анализ поступающих заявлений от пострадавших, это вымогательство распространяется или сопутствует новым (на ноябрь 2019) образцам STOP Ransomware. Например, сервис Integer Analyze по этой ссылке четко показывает родство файла от STOP-варианта с расширением .zobm. 


➤ UAC не обходит. Требуется разрешение на запуск.

➤ Проверяет язык системы компьютера, имея в белом списке языки: русский, белорусский, казахский, украинский и татарский. 


Подробности шифрования
DeathRansom использует отдельную серию циклов do/while для перечисления сетевых ресурсов, логических дисков и каталогов. Он также использует QueueUserWorkItem для реализации пула потоков для своих потоков шифрования файлов.
DeathRansom создает пару из открытого и закрытого ключей RSA-2048. Используя процедуру Diffie–Hellman с эллиптической кривой (ECDH), реализованную с помощью Curve25519, она вычисляет общий секрет, используя два входных значения: 1) 32 случайных байта из вызова RtlGenRandom и 2) жестко закодированное 32-байтовое значение (открытый ключ злоумышленника). Он также создает открытый ключ Curve25519. Общий секрет - это хеш-код SHA256, который используется в качестве ключа к Salsa20 для шифрования открытого и закрытого ключей RSA.
Открытый ключ RSA используется для шифрования отдельных симметричных ключей, используемых для шифрования каждого файла. Версия зашифрованных RSA-ключей в кодировке Base64 и открытый ключ жертвы Curve25519 включены в записку о выкупе, предоставляя злоумышленникам информацию, необходимую для расшифровки файлов жертвы.
Для симметричного ключа DeathRansom вызывает RtlGenRandom для генерации 32 случайных байтов. Это 32-байтовый ключ, используемый для шифрования AES каждого файла. После шифрования файла AES-ключ шифруется открытым ключом RSA и добавляется к файлу.
DeathRansom добавляет четыре магических байта AB CD EF AB в конец зашифрованного файла и использует их как проверку, чтобы убедиться, что он не шифрует уже зашифрованный файл.

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Шифрует все файлы, кроме тех, чьи полные пути содержат следующие строки:
programdata
$recycle.bin
program files
windows
all users
appdata
read_me.txt
autoexec.bat
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db

Файлы, связанные с этим Ransomware:
read_me.txt
wzmjbq.exe
<random>.exe - случайное название вредоносного файла
Wacatac_2019-11-21_02-59.exe
Wacatac_2019-11-20_23-34.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Wacatac Access, Create
HKEY_CURRENT_USER\SOFTWARE\Wacatac\private Access, Write
HKEY_CURRENT_USER\SOFTWARE\Wacatac\public
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: death@firemail.cc, death@cumallover.me
BTC: - 
Malware-URL:
xxxx://webparroquia.es/
xxxx://webparroquia.es/archivosadultos/Wacatac_2019-11-20_00-10.exe
xxxx://steerdemens.com/
xxxxs://iplogger.org/1zqq77
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT> VT> VT> VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>  VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 ноября 2019:
Топик на форуме >>
Файлы теперь реально зашифрованы. 
Теперь используется комбинация алгоритма Curve25519 для схемы обмена ключами Диффи-Хеллмана с эллиптическими кривыми (ECDH), Salsa20, RSA-2048, AES-256 ECB и простого блочного алгоритма XOR для шифрования файлов.
Расширение: отсутствует. В конце зашифрованных файлов есть маркер ABEFCDAB.
Записка: read_me.txt
Email: deathransom@airmail.cc
BTC: 1J9CG9KtJZVx1dHsVcSu8cxMTbLsqeXM5N
Результаты анализов: AR + VT + VT + VMR + VT + VMR + VT + VMR
➤ Содержание записки:
?????????????????????????
??????DEATHRansom ???????
?????????????????????????
Hello dear friend,
Your files were encrypted!
You have only 12 hours to decrypt it
In case of no answer our team will delete your decryption password
Write back to our e-mail: deathransom@airmail.cc
In your message you have to write:
1. YOU LOCK-ID: bnJhtLxFGTzBdPXPCDIeH/G4PFVByYChN8ody*** [728 characters]
2. Time when you have paid 0.1 btc to this bitcoin wallet:
1J9CG9KtJZVx1dHsVcSu8cxMTbLsqeXM5N
After payment our team will decrypt your files immediatly
Free decryption as guarantee:
1. File must be less than 1MB
2. Only .txt or .lnk files, no databases
3. Only 1 files
How to obtain bitcoin:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/


Обновление от 17 декабря 2019:
Пост в Твиттере >>
Расширение: -
Записка: read_me.txt
Email: deathransom@ainmail.cc
BTC: 1J9CG9KtJZVx1dHsVcSu8cxMTbLsqeXM5N
Результаты анализов: VT + HA + VMR


Обновление от 3 января 2020:
Пост в Твиттере >>
Расширение: .wctc
Записка: read_me.txt
Email: death@cumallover.me, death@firemail.cc
Результаты анализов: VT

Обновление от 13 января 2020:
Пост в Твиттере >>
Расширение: .ADHUBLLKA
Записка: read_me.txt
Email: pr0t3eam@protonmail.com
Результаты анализов: HA + VT + IA + AR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30577
BitDefender -> Gen:Trojan.Heur.FU.cqW@aygBXYd
Kaspersky -> Trojan.Win32.Zudochka.dva
McAfee -> RDN/Ransom
Microsoft -> Trojan:Win32/Wacatac.C!ml
Symantec -> Downloader
Tencent -> Win32.Trojan.Filecoder.Akfg
VBA32 -> BScope.Exploit.UAC
---
➤ Содержание записки:
ALL YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with stronges
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50available if you contact us first 72 hours.
To get this software you need write on our e-mail:
pr0t3eam@protonmail.com
---
➤ Сравнение кода (слева код "Adhubllka", справа "DeathRansom":
 



Обновление от 3 августа 2020:
Пост в Твиттере >>
Записка: read_me.txt
Email: death@cumallover.me, death@firemail.cc
Результаты анализов: VT + IA + TG
---
➤ Содержание записки: 
                                                   --=    DEATHRANSOM  =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email death@firemail.cc  and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email 
              death@cumallover.me
              death@firemail.cc
Your LOCK-ID: iB1hSZQnvagnWmsaX7Grx3a16wu/xQDfkBnqBKah6R8I6ufSG93so*** [всего 728 знаков]
>>>How to obtain bitcoin:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
>>> Free decryption as guarantee!
Before paying you send us up to 1 file for free decryption.
We recommeded to send pictures, text files, sheets, etc. (files no more than 1mb)
IN ORDER TO PREVENT DATA DAMAGE:
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
---





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DeathRansom)
 Write-up, Topic of Support
 * 
Added later:
Write-up by BleepingComputer (on November 26, 2019)
Write-up by Fortinet (on January 2, 2020)
Ransomware Recap: Clop, DeathRansom, Maze Ransomware (on January 6, 2020) 
Write-up by FireEye (on April 29, 2021)
 Thanks: 
 Michael Gillespie, CyberSecurity GrujaRS, S!Ri
 Andrew Ivanov (author)
 Lawrence Abrams, FireEye
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nyton

Nyton Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Nyton Virus. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .nyton


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !NYTON_HELP.TXT

Содержание записки о выкупе:
All your files have been encrypted with Nyton Virus.
Your unique id: C59B2C0A617F4D40BBACF75BF699CAFD
As a private person you can buy decryption for 300$ in Bitcoins.
But before you pay, you can make sure that we can really decrypt any of your files.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
To do this:
1) Download and install Tor Browser ( https://www.torproject.org/download/ )
2) Open the yfnsui2onmw5fb4ekr4r64mrcxw6pwcwrhxx4k5ylp7u7c66jti2y3id.onion web page in the Tor Browser and follow the instructions.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы Nyton Virus.
Ваш уникальный id: C59B2C0A617F4D40BBACF75BF699CAFD
Как частное лицо вы можете купить расшифровку за 300$ в биткойнах.
Но прежде оплаты вы можете убедиться, что мы реально можем расшифровать любые ваши файлы.
Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Сделайте это:
1) Загрузите и установите Tor браузер (https://www.torproject.org/download/)
2) Откройте веб-страницу yfnsui2onmw5fb4ekr4r64mrcxw6pwcwrhxx4k5ylp7u7c66jti2y3id.onion в Tor браузере и следуйте инструкциям.



Другим информатором жертвы является веб-страница на onion-сайте.

Содержание страницы:
1) Send a few encrypted files (no more 3 files, no more 10 MB per letter) to nyton@cock.li. Dont forget to include you ID from !NYTON_HELP.TXT.
2) We will decipher them and send you back with bitcoin address for payment.
3) After payment ransom for Bitcoin, we will send you a decryption program and aes-key with instructions. If we can decrypt any of your files, we have no reason to deceive you after payment. 

Перевод на русский язык:
1) Пришлите несколько зашифрованных файлов (не более 3 файлов, не более 10 МБ на письмо) на nyton@cock.li. Не забудьте включить ваш ID из !NYTON_HELP.TXT.
2) Мы расшифруем их и пришлем вам назад с биткойн-адресом для оплаты.
3) После уплаты выкупа за биткойны, мы вышлем вам программу расшифровки и aes-ключ с инструкциями. Если мы можем расшифровать любой из ваших файлов, у нас нет оснований обманывать вас после оплаты.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!NYTON_HELP.TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: yfnsui2onmw5fb4ekr4r64mrcxw6pwcwrhxx4k5ylp7u7c66jti2y3id.onion
Email: nyton@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Nyton)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 18 ноября 2019 г.

SpartCrypt

SpartCrypt Ransomware

SpartCript Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке указано SpartCript и SpartCrypt. На файле написано: Chrome и Spart_E.exe. Фальш-копирайт: Copyright 1999-2019 Chrome and Google developers. All rights reserved.

Обнаружения:
DrWeb -> Trojan.Encoder.29792
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Malwarebytes -> Ransom.SpartCrypt
Microsoft -> Ransom:Win32/Higuniel.A
TrendMicro -> Ransom_Higuniel.R002C0DKF19
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence
Rising -> Trojan.Phobos/HELP!1.BCC4*


© Генеалогия: HiddenTear >> разные однотипные Ransomware > SpartCrypt

К зашифрованным файлам добавляется расширение: .Encrypted

Фактически используется составное расширение:
.SpartCrypt[LordCracker@protonmail.com]-[ID-XXXXXXXX].Encrypted

Пример зашифрованного файла:
Document.doc.SpartCrypt[LordCracker@protonmail.com]-[ID-71D2C847].Encrypted

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2019 г. Штамп времени: 13 ноября 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: How_To_Restore_Your_Files.txt
info.hta
 

Содержание записки о выкупе:
_______________________________________________________

Spart Cript
_______________________________________________________
[+] All Your Files Have Been Encrypted [+]
[-] Do You Really Want To Restore Your Files?
[-] Write Us To The E-Mail : LordCracker@protonmail.com - Phabos@cock.li
[-] Write Your Unique-ID In The Title Of Your Message.
[+] Unique-ID : XXXXXXXX
[-] You Have To Pay For Decryption In Bitcoins.
[-] The Price Depends On How Fast You Write To Us.
[-] After Payment We Will Send You The Decryption Tool
That Will Decrypt All Your Files.
_______________________________________________________
[+] Free Decryption As Guarantee [+]
[-] Before Paying You Can Send Us Up To 5 Files For
Free Decryption, The Total Size Of Files Must Bee Less 
Than 10MB, (Non Archived) And Files Should Not Contain 
Valuable Information (Databases, Backups, Large Excel 
-Sheets, Etc). 
_______________________________________________________
[+] How To Obtain Bitcoins [+] 
[-] The Easiest Way To Buy Bitcoins Is LocalBitcoins
Site : https://localbitcoins.com/buy_bitcoins
You Have To Register, Click 'Buy Bitcoins', And Select
The Seller By Payment Method And Price. 
[-] Also You Can Find Other Places To Buy Bitcoins And 
Beginners Guide Here: 
http://coindesk.com/information/how-can-i-buy-bitcoins
_______________________________________________________ 
[+] Attention! [+] 
[-] Do Not Rename Encrypted Files. 
[-] Do Not Try To Decrypt Your Data Using Third Party 
-Software, It May Cause Permanent Data Loss. 
[-] Decryption Of Your Files With The Help Of Third 
Parties May Cause Increased Price (They Add Their Fee 
To Our) Or You Can Become A Victim Of A Scam.
_____________________Spart_Crypt_______________________


Перевод записки на русский язык (без коррекции):
Spart Cript
[+] Все ваши файлы были зашифрованы [+]
[-] Вы действительно хотите восстановить ваши файлы?
[-] Напишите нам на email: LordCracker@protonmail.com - Phabos@cock.li
[-] Напишите свой уникальный ID в заголовке вашего сообщения.
[+] Уникальный ID: XXXXXXXX
[-] Вы должны платить за расшифровку в биткойнах.
[-] Цена зависит от того, как быстро вы пишете нам.
[-] После оплаты мы вышлем вам инструмент для расшифровки
Это расшифрует все ваши файлы.
[+] Бесплатная расшифровка как гарантия [+]
[-] Перед оплатой вы можете отправить нам до 5 файлов
Свободное дешифрование, общий размер файлов должен быть меньше
Более 10 МБ (не в архиве) и файлы не должны содержать
Ценная информация (базы данных, резервные копии, большой Excel)
Листы и т. Д.)
[+] Как получить биткойны [+]
[-] Самый простой способ купить биткойны - это LocalBitcoins 
Сайт: https://localbitcoins.com/buy_bitcoins
Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать
Продавца по способу оплаты и цене.
[-] Также вы можете найти другие места для покупки биткойнов и
Руководство для начинающих здесь:
http://coindesk.com/information/how-can-i-buy-bitcoins
[+] Внимание! [+]
[-] Не переименовывайте зашифрованные файлы.
[-] Не пытайтесь расшифровать ваши данные с помощью от третьих лиц
-Программы, это может привести к постоянной потере данных.
[-] Расшифровка ваших файлов с помощью третьей
Стороны могут вызвать повышение цены (они добавляют свою плату к 
Нашей) Или Вы можете стать жертвой мошенников.
_____________________Spart_Crypt_______________________



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Spart_E.exe
How_To_Restore_Your_Files.txt
info.hta
SINFO.txt - специальный файл
<random>.exe - случайное название вредоносного файла
dev_man.exe
l.bat
r.py
r.pyw
sdel.exe
Spart_E.pdb - файл проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\Spart_E\Spart_E\obj\Debug\Spart_E.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: LordCracker@protonmail.com, Phabos@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 26 ноября 2019:
Самоназвание (в заголовке): SpartCrypter
Пост в Твиттере >>
Составное расширение (пример): .SpartCrypt[LordCracker@protonmail.com]-[ID-C4BA3647].Encrypted
Записки: How_To_Restore_Your_Files.txt, info.htaSINFO.txt
Email: LordCracker@protonmail.com, Phabos@cock.li
Файлы: spart_protected.exe, Spart_E.exe
Результаты анализов: VT + AR
 


Обновление от 7 июля 2020:
Самоназвание (в заголовке): CoronaCrypt
Пост в Твиттере >>
Составное расширение (пример): .CoronaCrypt[u.contact@aol.com]-[ID-004E761C].Encrypted
Составное расширение (шаблон): .CoronaCrypt[u.contact@aol.com]-[ID-<id>].Encrypted
Записки: How_To_Restore_Your_Files.txt, info.hta, SINFO.txt
Email: u.contact@aol.com
Файл: Spart_E.exe
Результаты анализов: VT + IA
 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Скачайте Emsisoft Decryptor по ссылке >>
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SpartCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 12 ноября 2019 г.

JesusCrypt

JesusCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: Jesus Crypt. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: HiddenTear >> JesusCrypt


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .jc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале ноября 2019 г. Возможно, что был известен и раньше. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Files has been encrypted with Jesus Crypt
Send me some $200 worth of bitcoins To : ###
Or Your Files Will Be Unaccessabe ! 

Перевод записки на русский язык:
Файлы были зашифрованы с Jesus Crypt
Отправьте мне биткойны на $200: ###
Или ваши файлы будут недоступны!

Другим информатором жертвы выступает экран с текстом: 

Содержание текста о выкупе:
Your Files Has Been Encrypted!
How To Recover
Your data has been encrypted due the security problem
If you want to restore your files send imail to us
Before paying you can send 1MB file for decryption test to guarantee that your files can be restored
Test file should not contain valuable data (databases, large excels, backups)
Do not rename files or do not try decryt files with 3rd party softwares, it my damage your files and increase decryption price

Перевод текста на русский язык:
Ваши файлы были зашифрованы!
Как восстановить
Ваши данные были зашифрованы из-за проблем с безопасностью
Если вы хотите восстановить ваши файлы, отправьте нам письмо
Перед оплатой вы можете отправить файл 1MB для тест-расшифровки, чтобы гарантировать, что ваши файлы могут быть восстановлены
Тестовый файл не должен содержать ценные данные (базы данных, большие копии, резервные копии)
Не переименовывайте файлы и не пытайтесь расшифровывать файлы с помощью программ сторонних производителей, это может повредить ваши файлы и повысить стоимость расшифровки



Технические детали

Находится в разработке и пока массово не распространяется. После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
<random>.exe - случайное название вредоносного файла

Расположения: 
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\test\READ IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *