TheDMR Ransomware
Aliases: DMR64, Clown, NotFound, Clown+, Valley, ALVIN
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 500000-1000000 долларов, чтобы вернуть файлы. Оригинальное название: TheDRM или DRM. На файле написано: DMR_1.zip. Среда разработки: Visual Studio 2015, библиотека Crypto++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.30333, Trojan.Encoder.30387, Trojan.Encoder.30388, Trojan.Encoder.30406, Trojan.Encoder.32566
ALYac -> Trojan.Ransom.BigBobRoss
BitDefender -> Trojan.GenericKD.32786061, Trojan.GenericKD.32812671
ESET-NOD32 -> Win32/Filecoder.NZL, Win32/Filecoder.NZN, Win32/Delf.NBX
Kaspersky -> Hoax.Win32.FakeRansom.hn, Trojan-Ransom.Win32.Gen.ucd, Trojan-Ransom.Win32.DMR.eMicrosoft -> Trojan:Win32/Wacatac.B!ml, Trojan:Win32/Casdet!rfn
Symantec -> Trojan.Gen.MBT, Trojan Horse
TrendMicro -> Ransom.Win32.DMR.A, Ransom_Filecoder.R06CC0DK420
VBA32 -> BScope.Trojan.Wacatac, BScope.Trojan.Mansabo
---
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .DMR64
Кроме того, к имени файла добавляется ID в формате [id=XXXXXXXX], как ранее в некоторых вариантах BigBobRoss Ransomware.
Пример зашифрованных файлов:
[id=FEABA71D]Config.ini.DMR64
[id=C4BA3647]Chrysanthemum.jpg.DMR64
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: !!! READ THIS !!!.hta
Содержание записки о выкупе:
All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: Agent.DMR@protonmail.com
Write this ID in the subject e-mail:FEABA***
Only in case you do not receive a response from the first email address withit 48 hours, please use this alternative email adress: Agent.DMR@aol.com
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.
Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с самым надежным шифрованием. Вы можете вернуть все свои файлы, если хотите восстановить файлы, напишите нам на email: Agent.DMR@protonmail.com
Напишите этот идентификатор в теме письма: FEABA***
Только если вы не получили ответ с первого адреса email в течение 48 часов, используйте этот альтернативный адрес email: Agent.DMR@aol.com
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить ваши ключи дешифрования на нашем сервере более одной недели. Цена зависит от того, как быстро вы напишите нам.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки. Общий размер файлов должен быть менее 1 МБ (не в архиве), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)
Как получить биткойны
Вы можете купить биткойн здесь:
https: localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
http: www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Использование других инструментов может повредить ваши файлы, в случае использования сторонних программ мы не даем гарантий, что полное восстановление возможно, поэтому используйте его на свой страх и риск.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует библиотеку CryptoPP (Crypto++) версии 8.2.
Список файловых расширений, подвергающихся шифрованию:
Шифрует все подряд, даже свой исполняемый файл. См. видеобзор в конце статьи.
Это, разумеется, будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
DMR_1.zip
TheDMR.exe
background.png
!!! READ THIS !!!.hta
<random>.exe - случайное название вредоносного файла
Оригинальное название проекта:
C:\Users\rpipc\Documents\Visual Studio 2015\Projects\TheDMR_Encrypter\Release\TheDMR_Encrypter.pdb
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Agent.DMR@protonmail.com, Agent.DMR@aol.com
BTC: нет данных
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
BigBobRoss Ransomware - с января по ноябрь 2019
TheDMR Ransomware - с декабря 2019 по октябрь 2020 с вариантами DMR64, Clown, NotFound, Clown+, Valley, ALVIN
Flamingo Ransomware - с сентября 2020 в 2021 год с вариантами Flamingo, LandSlide, Lizard, DoNotWorry
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 16 декабря 2019:
Топик на форуме >>
Расширение: .notfound
Пример зашифрованного файла: [SupportClown@elude.in][id=86973210]Install.log.notfound
Email: SupportClown@elude.in
Записка: !!! READ THIS !!!.hta
➤ Содержание записки:
All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: SupportClown@elude.in
Write this ID in the subject e-mail:86973210
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.
---
Файл: NotFound.exe
Результаты анализов: VT + IA
➤ Обнаружения:
Dr.Web -> Trojan.Encoder.30388
BitDefender -> DeepScan:Generic.Ransom.DMR.2D5D28A
ESET-NOD32 -> A Variant Of Win32/Filecoder.Clown.A
Обновление от 20 декабря 2019:
Оригинальное название проекта: TheDMR_Encrypter.pdb
Сообщение >>
Расширение: .clown+
Пример зашифрованного файла: [SupportClown@elude.in][id=C4BA3678]program.ex$.exe.clown+
Email: SupportClown@elude.in
Записки: !!! READ THIS !!!.hta
HOW TO RECOVER ENCRYPTED FILES.txt
Email: Heeeh98@tutanota.com, becareful98@aol.com
➤ Содержание txt-записки:
"CLOWN RANSOMWARE" Your unique ID:"8A420***"
=============================================================================
All personal files on your computer are encrypted!
=============================================================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
=============================================================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "Heeeh98@tutanota.com"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
=============================================================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "becareful98@aol.com"
=============================================================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here:
https://www.coindesk.com/information/how-can-i-buy-bitcoins
=============================================================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software
We don't give guarantees that full recovery is possible.
2-Please do not change the name of files or file extension if your files are important to you!
---
Использованные домены:
xxxx://testaplication.000webhostapp.com/
xxxx://xred.mooo.com/
xxxx://ocsp.pki.goog/
xxxx://freedns.afraid.org
Загружаемые файлы:
xxxx://freedns.afraid.org/api/?action=getdyndns&sha=a30fa98efc092684e8d1c5cff797bcc613562978
xxxx://xred.site50.net/syn/SSLLibrary.dll
xxxx://xred.site50.net/syn/SUpdate.ini
xxxx://xred.site50.net/syn/Synaptics.rar
xxxxs://docs.google.com/uc?id=0BxsMXGfPIZfSTmlVYkxhSDg5TzQ&export=download
xxxxs://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk&export=download
xxxxs://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
xxxxs://www.dropbox.com/s/fzj752whr3ontsm/SSLLibrary.dll?dl=1
xxxxs://www.dropbox.com/s/n1w4p8gc6jzo0sg/SUpdate.ini?dl=1
xxxxs://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
Использованные Email: xredline2@gmail.com, xredline3@gmail.com, xredline1@gmail.com
---
Файл: Heeeh98.exe (Synaptics.exe)
Описание: Synaptics Pointing Device Driver
Результаты анализов: VT + HA + IA + AR
➤ Обнаружения:
DrWeb -> Trojan.DownLoader22.9658
BitDefender -> Dropped:Generic.Ransom.DMR.A7AAA609
Avira (no cloud) -> WORM/Dldr.Agent.gqrxn
ESET-NOD32 -> Win32/Delf.NBX
Malwarebytes -> Trojan.Agent
Tencent -> Virus.Win32.DarkKomet.a
Symantec -> ML.Attribute.HighConfidence
Обновление от 26 апреля 2020:
Пост на форуме >>
Расширение: .notfound
Пример зашифрованного файла: [ancrypted@protonmail.com][id=XXXXXXXX]document.xml.notfound
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
Email: ancrypted@protonmail.com, ancrypted@keemail.me
Обновление от 20 апреля 2020:
Email: sclown@elude.in
Записки: !!! READ THIS !!!.hta
HOW TO RECOVER ENCRYPTED FILES.txt
Обновление от 27 апреля 2020:
Расширение: .notfound
Пример заш-файла: [ancrypted@protonmail.com][id=XXXXXXXX]document.xml.notfound
Записка txt: HOW TO RECOVER ENCRYPTED FILES.txt
Записка hta: !!! READ THIS !!!.hta
Email: ancrypted@keemail.me, ancrypted@protonmail.com
Обновление от 5 мая 2020:
Топик на форуме >>
Расширение: .notfound
Пример зашифрованного файла: [connectme@elude.in][id=0EA37036]document.docx.notfound
Записка txt: HOW TO RECOVER ENCRYPTED FILES.txt
Записка hta: !!! READ THIS !!!.hta
Email: supportme@elude.in, connectme@elude.in
➤ Содержание txt-записки:
"CLOWN RANSOMWARE" Your unique ID:"0EA37***"
===================================================================
All personal files on your computer are encrypted!
===================================================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
===================================================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "supportme@elude.in"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
===================================================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "connectme@elude.in"
===================================================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here:
https://www.coindesk.com/information/how-can-i-buy-bitcoins
===================================================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software
We don't give guarantees that full recovery is possible.
2-Please do not change the name of files or file extension if your files are important to you!
---
➤ Содержание hta-записки:
All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: supportme@elude.in
Write this ID in the subject e-mail:"0EA37***"
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data. Before paying to send us up to 1 file for free decryption. The total size of the file must be less than 1Mb (the file should not be important to you).
Only in case you do not receive a response from the first email address withit 24 hours, please use this alternative email adress:connectme@elude.in
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
•Do not rename encrypted files.
•Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.
Обновление от 17 мая 2020 или раньше:
Расширение: .notfound
Пример зашифрованного файла: [DecodeGuide@Keemail.Me][id=XXXXXXXX]Document.doc.notfound
Email: decodeguide@keepmail.me, supclown@protonmail.ch
BTC: 3Mv279iQFVJthDUEaP21aCNWb28nDuim3N
Обновление от 28 мая 2020:
Расширение: .notfound
Пример зашифрованного файла:
[backfile99@protonmail.com][id=XXXXXXXX]Document.doc.notfound
Email: backfile99@protonmail.com, recoryfile@tutanota.com
Обновление от 15 августа 2020:
Расширение: .notfound
Пример зашифрованого файла: [decrypt353@aol.com][id=XXXXXXXX]default.vrd.notfound
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
Email: decrypt353@aol.com, sclown@elude.in
➤ Содержание записки:
"CLOWN RANSOMWARE" Your unique ID:"{ID}"
================================
All personal files on your computer are encrypted!
================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "decrypt353@aol.com"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "sclown@elude.in"
================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here:
https://www.coindesk.com/information/how-can-i-buy-bitcoins
================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software
We don't give guarantees that full recovery is possible.
2-Please do not change the name of files or file extension if your files are important to you!
Обновление от 16 августа 2020:
Расширение: .notfound
Пример зашифрованного файла: [adminenc919@cock.li][id=XXXXXXXX]Document.doc.notfound
Записка: !!! READ THIS !!!.hta
Email: adminenc919@cock.li and sirencmoj@cock.li
➤ Содержание hta-записки:
All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: adminenc919@cock.li
Write this ID in the subject e-mail:"5A1E6***"
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data. Before paying to send us up to 1 file for free decryption. The total size of the file must be less than 1Mb (the file should not be important to you).
Only in case you do not receive a response from the first email address withit 24 hours, please use this alternative email adress:
sirencmoj@cock.li
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.
Обновление от 17 сентября 2020:Самоназвание: "Valley Ransomware"
Расширение: .Valley
Пример зашифрованного файла: [ultrasert77@gmail.com][id=XXXXXXXX]Update.msi.Valley
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
Email: ultrasert77@gmail.com, securityteamex@yandex.com
Результаты анализов: VT + IA
Обновление от 26 октября 2020:
Самоназвание: ALVIN RANSOMWARE
Расширение: .ALVIN
Пример зашифрованного файла: [rimon.argan@gmail.com][id=XXXXXXXX]file001.jpg.ALVIN
Email: rimon.argan@gmail.com, poeasws@protonmail.com
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
➤ Содержание записки:
"ALVIN RANSOMWARE" Your unique ID:"54F49***"
==================================================
All personal files on your computer are encrypted!
==================================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
==================================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "rimon.argan@gmail.com"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
==================================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "poeasws@protonmail.com"
==================================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here:
https://www.coindesk.com/information/how-can-i-buy-bitcoins
==================================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software
We don't give guarantees that full recovery is possible.
2-Please do not change the name of files or file extension if your files are important to you!
Обновление от 8 сентября 2020:
Подсемейство с вариантами: Flamingo, LandSlide, Lizard, DoNotWorry
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
myTweet+myTweet + Tw + Tw + Tw + Tw
ID Ransomware (ID as TheDMR)
Write-up, Topic of Support
*
- небольшой видеообзор, сделанный мной с помощью сервиса Any.Run
Thanks:
Andrew Ivanov (author), Michael Gillespie, GrujaRS
MalwareHunterTeam, Vitali Kremez
Emmanuel_ADC-Soft
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.