Если вы не видите здесь изображений, то используйте VPN.

пятница, 3 января 2020 г.

Different HT

Different HiddenTear-based Ransomware

Сборник разных вариантов за 2019-2022 годы

(шифровальщики-вымогатели) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в долларах или BTC, чтобы вернуть файлы. 
Оригинальное название: может быть указано или вообще не используется. На файлах может быть что-то написано, чтобы ввести в заблуждение. Основанные на HiddenTear программы-вымогатели (программы-шантажисты) используются по всему миру и могут появиться в любой стране, не зависимо от национальности и религии хакеров-разработчиков и самих вымогателей. 

Файлы, зашифрованные всеми или почти всеми описанными здесь вариантами могут быть расшифрованы с помощью Hidden Tear Decrypter. Если нужна помощь, обращайтесь к Майклу Джиллеспи

Мы ничего не знаем о вымогателях и распространителях, и не собираем их личную информацию. Множество предыдущих вариантов можно увидеть в Списке по алфавиту рядом с названием программы-вымогателя. 

В списке по алфавиту используются специальные символы для легенды: 
 Ⓗ - шифровальщик на основе HiddenTear, дешифруемый
 Ⓗ② - шифровальщик на основе EDA2, дешифруемый
 Ⓗ> - шифровальщик на основе HiddenTear, модифицированный
 Ⓗ②> - шифровальщик на основе EDA2, модифицированный

Обнаружения (ранние):
DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.<new_number>, Trojan.EncoderNET.HiddenTear.1
BitDefender -> Generic.Ransom.Hiddentear.A.*, Gen:Heur.Ransom.HiddenTears.1, Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.HiddenTear, Trojan.Ransom.Filecoder, Trojan.Ransom.REntS.Gen.1, Trojan.Ransom.<new_name>
Avira (no cloud) -> TR/Ransom.*, HEUR/AGEN.<new_number>
ESET-NOD32 -> MSIL/Filecoder.AQ, A Variant Of MSIL/Filecoder.Y, A Variant Of MSIL/Filecoder.AK
Kaspersky -> HEUR:Trojan.Win32.Generic, HEUR:Trojan-Ransom.Win32.Generic, Trojan-Ransom.MSIL.Tear, HEUR:Trojan-Ransom.MSIL.Tear.gen
Malwarebytes -> Ransom.HiddenTear, Ransom.HiddenTear.Generic, Ransom.<new_name>
Microsoft -> Ransom:MSIL/HiddenTear.A, Ransom:MSIL/Ryzerlo.A
Rising -> Ransom.HiddenTear!1.* (CLOUD), Ransom.Generic!8.* (CLOUD), Ransom.Generic!8.***, Ransom.Ryzerlo!8.* (CLOUD), Ransom.HiddenTear!1.* (CLASSIC)
Symantec -> Ransom.HiddenTear, Ransom.HiddenTear!g1, ML.Attribute.HighConfidence, Trojan.Gen.2
TrendMicro -> Ransom_RAMSIL.SM, Ransom_HiddenTear.R*, Ransom_CRYPTEAR.A, Ransom_CRYPTEAR*.A, 
Ransom_CRYPTEAR.B, Ransom_CRYPTEAR.*, Ransom_HIDDENTEAR*.A, Ransom_HiddenTear.*
---
Под знаком "*" для краткости скрыты цифры, названия и буквы разных вариантов, описать все невозможно. 
---
To AV vendors: If you put things in order in the names, then let me know!
AV вендорам: Если вы наведете порядок в названиях, сообщите мне! 


© Генеалогия: HiddenTear, EDA2 и модификации >> Different HiddenTear
Изображение — логотип статьи

К зашифрованным файлам могут добавляться расширения: 
.encrypted
.Encrypted
.crypted
.Crypted
.locked
.<original_name>
.LOCKED
и другие

К зашифрованным файлам может добавляется составное расширение по шаблону, придуманному другими вымогателями: 


Внимание! Расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с указанными здесь вариантами. 


Активность крипто-вымогателей на основе HiddenTear и EDA2 началась со второй половины 2015 (после августа) и набрала обороты в начале 2016 гг. 
В данной статье будут очень кратко описаны различные варианты, для которых я не сделал отдельных статей, потому что получил очень мало информации или не располагал свободным временем. 

Чаще всего вымогателями применяются варианты, ориентированные на англоязычных пользователей. Они могут распространяться в какой-то отдельно взятой стране или по всему миру.

Записка с требованием выкупа может называться по-разному, быть на разных языках, иметь разный текст, но чаще всего используются следующие англоязычные файлы: 
READ_IT.txt
READ_ME.txt
README.txt, Readme.txt, ReadMe.txt
README!!!.txt
READ_IT.html
READ_IT_0.txt, READ_IT_1.txt ...
DECRYPT.TXT
DECRYPT_FILES.txt
FILES_ENCRYPTED.txt
How Recovery Files.txt
HOW TO DECRYPT FILES.txt
HOW TO RECOVER YOUR FILES !!!.txt

Содержание записки о выкупе:
*** can be anything ***

Перевод записки на русский язык:
*** может быть любым ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходят, требуется разрешение на запуск. Таким образом, если администратор сети или пользователь ПК намеренно не отключили эту защиту, то при запросе UAC на запуск неизвестного приложения, нужно запретить запуск. 

Список файловых расширений, подвергающихся шифрованию:
Большинство популярных форматов. 
Чаще всего целями могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
hidden-tear.exe - название вредоносного файла
eda2.exe - название вредоносного файла
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-1: hxxxs://github.com/utkusen/hidden-tear
URL-2: hxxxs://github.com/utkusen/eda2
Email: разные в каждом случае
BTC: разные в каждом случае
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
смотрите после каждого варианта ниже. 


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Рання история использования HiddenTear: 
HiddenTear Ransomware - август 2015
EDA2 Ransomware - сентябрь 2016
Memekap Ransomware - декабрь 2015
Cryptear (RANSOM_CRYPTEAR.B) Ransomware - 1-я половина января 2016 
Magic Ransomware - 2-я половина января 2016 
KryptoLocker Ransomware - начало февраля 2016 
Разные безымянные spin-off >>

Многие другие варианты за 2016-2020 годы по моему алфавитному списку >>
В списке по алфавиту используются специальные символы для легенды: 
 Ⓗ - шифровальщик на основе HiddenTear, дешифруемый
 Ⓗ② - шифровальщик на основе EDA2, дешифруемый
 Ⓗ> - шифровальщик на основе HiddenTear, модифицированный
 Ⓗ②> - шифровальщик на основе EDA2, модифицированный



=== БЛОК ВАРИАНТОВ === BLOCK OF VARIANTS ===

Вариант от 17 сентября 2019: 
Статус: Может быть расшифрован с помощью HiddenTear Decryptor.
Расширение: .shade8
Записка: READ_THIS.txt
Email: 4shadow@protonmail.com
Проект: D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb
➤ Содержание записки:
If you want your data 4shadow@protonmail.com


➤ Файл изображения: 
http://i.imgur.com/ObBI8In.jpg  -> shade8.jpg
Текст на этом файле:
If your data is necessary for you, we are
the only ones who can give it back to you.
4shadow@protonmail.com
SHADOW
---
Файлы: fatura.exe, vodafone.bat
Дата создания файла: 27 апреля 2019.
Результаты анализов: VT + AR + IA + VMR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29626
ALYac -> Trojan.Ransom.HiddenTear
BitDefender -> Generic.Starter.4.56911EB2
ESET-NOD32 -> A Variant Of Generik.EJKITMK
Kaspersky -> Trojan-Ransom.Win32.Encoder.evm
Malwarebytes -> Ransom.HiddenTear
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Encoder.Ecjt
TrendMicro -> Ransom.Win32.SHADOW.THIBFAIA


Вариант от 4 октября 2019:
Расширение: .bguu
Записка: HACKED.txt
Email: скрыт исследователем. 
BTC: 36X2qqBh3DuUczSym5mMaqE5kdG2yApLuw


 


=== 2020 ===


Вариант от 1 февраля 2020: 
Статус: Файлы можно расшифровать.
Расширение: .Huy
Записки: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Результаты анализов: VT + VT


Вариант от 29 июля 2020: 
Статус: Файлы можно расшифровать.
Расширение: .LOCKED
Составное расширение: .id-035C6221[FileFixer@ProtonMail.com].LOCKED
Записка: HOW TO RECOVER YOUR FILES !!!.txt
Расположение: C:\Windows\Vss\HOW TO RECOVER YOUR FILES !!!.txt
Email: FileFixer@ProtonMail.com, JustBTC@elude.in
Файл EXE: ALL YOUR FILES HAVE BEEN ENCRYPTED!!!!.exe
Расположение: C:\Windows\Vss\ALL YOUR FILES HAVE BEEN ENCRYPTED!!!!.exe
Анализируемый файл: __HiddenTear _Ransomware.exe (hidden-tear.exe)
Файл проекта: C:\Users\yaghot\source\repos\MessageForm\MessageForm\obj\Debug\MessageForm.pdb

Содержание записки: 
All your files have been encrypted. If you want to restore them , write us to the e-mail : FileFixer@ProtonMail.com
Write this ID in the title of Your message : FA653E5F
In Case of no answer in 24 hours write us to theese e-mail : JustBTC@elude.in
Dont rename encrypted Files and dont try decrypt them , maybe lost them forever
---
Специальный файл: 035C6221.txt
Содержание этого файла: 
ID : 035C6221
Password : qr=mMsI5PObXa7YTeWrQ
---
Содержание другой записки: 
All Your Have Been Encrypted!
You have to pay for decryption in Bitcoin. The price depends on how fast you write to us. After payment we will send to you the decryption tool, that will decrypt all your files.
Free decryption as guarantee
The esiest way to buy bitcoin is LocalBitcoins Site , You have to register, click buy bitcoin and select seller by payment method and price.
How to Obtain Bitcoins
Also you can find other places to buy Bitcoin and beginner guide here :
***
- Decryption of your files with the help third parties may cause increased price(they add their fee to our) or you can becomea victim of scam.  
Dont rename encrypted Files and dont try decrypt them , maybe lost them forever. 
---
Результаты анализов: VT + AR + IA + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32269
ALYac -> Trojan.Ransom.HiddenTear
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Malwarebytes -> Ransom.HiddenTear
TrendMicro -> Ransom.MSIL.HIDDENTEAR.SMP


Август 2020: Обновление варианта от 29 июля 2020: 
Статус: Файлы можно расшифровать.
Расширение: .LOCKED
Записка: HOW TO RECOVER YOUR FILES !!!.txt
Email: MyFiles1@ProtonMail.com, JustBTC@ProtonMail.com
Результаты анализов: VT + IA


Вариант от 14 августа 2020: 
Расширение: .2spyware
Записка: READ_IT.txt
Здесь нет реального контакта для связи с вымогателями. Вымогатель дискредитирует других, скрывается за чужим именем и чужим сайтом.
Файл: hidden-tear.exe (local.exe)
Результаты анализов: VT + AR + IA


➤ Содержание записки:
I'm Julie Splinters, i have my most full of shit.
Sometimes i grow it on our website 2-spyware.com! If you don't pay me 10 billion dollars in 72 hours,
i will throw shit on your face. contact me via our website 2-spyware.com, By the way, Ugnius is amnominus hacker team leader
Don't try to use REIMAGE, It wont decrypt this. nothing can decrypt this. its made by linas secret scriptcode LINASCODE. And also, kigguolis7code


Вариант от 18 августа 2020: 
Расширение: .spybuster
Записка: READ_IT.txt
Email: sales@onserve.ca
URL: hxxxs://en7brhxplmzjhqd.m.pipedream.net
Здесь нет реального контакта для связи с вымогателями. Вымогатель дискредитирует других, скрывается за чужим именем и чужим сайтом.
Файл: hidden-tear.exe (local.exe)
Результаты анализов: VT + VMR + AR + IA 


➤ Содержание записки:
I'm worker of Spybuster Anti-Malware Team ( Onyx Mods LLC ), I have decided to infect you.
Contact me via onyxmodsllc.com! Our company Onyx Mods LLC will guarantee your files
Our partner 2-spyware.com is also helping us scam world!
contact us at sales@onserve.ca


Вариант от 20 августа 2020:
Расширение: .volvo33_36_37_39__44
Twitter: youtubetiitus
Instagram: youtubetiitus
Discord: Tiitus#3617
Файл: volvo.exe
Результаты анализов: VT + HA


Вариант от 30 августа 2020: 
Расширение: .Fappy
Записка: HOW TO DECRYPT FILES.txt 
Email: fappism@opentrash.com
Файл: Fortnite Cheats 2020.exe


Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.8
ALYac -> Trojan.Ransom.HiddenTear
BitDefender -> Generic.Ransom.Hiddentear.A.DE4F6463
ESET-NOD32 -> MSIL/Filecoder.ACD
Malwarebytes -> Ransom.Fappy
Tencent -> Msil.Trojan.Cloumid.Sxyq
TrendMicro -> Ransom.MSIL.HIDDENTEAR.AI


Вариант от 1 сентября 2020: 
Расшиение: .UGMH
Записка: Pwned.txt
Результаты анализов: VT + VMR + IA 




Вариант от 1 сентября 2020: 
Расшиение: .klavins
Записка: не указано название


13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
URL: hxxxs://enfiniql2buev6o.m.pipedream.net
Файлы: hidden-tear.exe, software-launcher.bin.exe
Результаты анализов: VT+AR+IA / VT+VMR+IA+TG / VT+AR+IA


Вариант от 5 сентября 2020:
Расширение: .reimageplus
Email: support@reimageplus.com
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Здесь нет реального контакта для связи с вымогателями. Вымогатель скрывается за чужим именем и чужим сайтом.


➤ Содержание записки:
Your files have beer, encrypted by the Reimageplus.com Ransomware
pay 10k to this bitcoin address : 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
after that, email support@reimageplus.com to decrypt
Файл: software-launcher.exe
Результаты анализов: VT + VMR + IA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.HiddenTear.1
BitDefender-> Generic.Ransom.Loli.8D00106D
ESET-NOD-> 32A Variant Of MSIL/Filecoder.Y
Microsoft-> Ransom:MSIL/Ryzerlo.A
Rising-> Ransom.HiddenTear!1.C60C (CLASSIC)
Symantec-> Ransom.HiddenTear!g1
Tencent-> Win32.Trojan.Generic.Ijd
TrendMicro-> Ransom_CRYPTEAR.SM


Вариант от 8 сентября 2020: 
Расширение: .pastaware
Записка: YOU HAVE BEEN HACKED.txt
BTC: 13eFldDeLLTZv7K41F4yRMY6vhZgdl9vJe
➤ Содержание записки: 
Your Files Have Been Stolen! Good 3ob Running 5 Year Old RansomWare!
Send $500 USD Worth Of Bitcoin To 13eFldDeLLTZv7K41F4yRMY6vhZgdl9vJe and Your Files Will Be Decrypted!.
If You Do Not Send The Money In 72 Hours Your Files Will Be Deleted


Вариант от 11 сентября 2020:
FIESTARANSOMWARE
Файл проекта: C:\Users\fsi\Desktop\eda2\eda2\obj\Release\Fiesta.pdb
Файл: Fiesta.exe
Результаты анализов: VT + IA
 


Вариант от 26 сентября 2020: 
Расшиение: .Zyr 
Записка: HOW TO DECRYPT FILES.txt
Email: zyrkal@airmail.cc
BTC: 3PkozSdYYVHeFdhF9UoEdjc3YAz5VafmVG
Файл проекта: C:\Users\Евгений\Desktop\Gula\Gula\obj\Debug\Zyr.pdb
Файл: Zyr.exe (local.exe)
Результаты анализов: VT + AR + IA 


Вариант 10 октября 2020:
Статус: Файлы можно расшифровать. 
Самоназвание: MadDog
Расширение: .MadDog
Шаблон расширения: .id-<random>.[maddogteam@airmail.cc].MadDog
Примеры расширений: .id-UYXSDAOM.[maddogteam@airmail.cc].MadDog
.id-N4BQCA40.[maddogteam@airmail.cc].MadDog
Записка-1: Info.hta
Записка-2: FILES ENCRYPTED.txt




Автозагрузка HTA-записки: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Info.hta
Текст и шаблон записок заимствованы у Dharma Ransomware, чтобы обмануть пострадавших и вынудить их заплатить выкуп.  
Email: maddogteam@airmail.cc, conactme@fake-box.com
Файл: MadDog.exe
Результаты анализов: VT + VMR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32792
ALYac -> Trojan.Ransom.HiddenTear
BitDefender -> DeepScan:Generic.Ransom.Hiddentear.A.96BC0EC7
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACL
Malwarebytes -> Ransom.FileCryptor.MSIL
Rising -> Trojan.Phobos/HELP!1.BCC4 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Eadv
TrendMicro -> Ransom_RAMSIL.SM


Вариант от 23 октября 2020:
Расширение: .rogue
Записка: READ_IT.txt
Файл: Attachment.exe
Результаты анализов: VT + IA





Вариант от 2 октября 2020:
Расширение: .crypt
Пароль: password
D:\Visual Studio\Update\Update\obj\Debug\Update.pdb
D:\Visual Studio\Update\UpdateDecrypter\obj\Debug\UpdateDecrypter.pdb
Результаты анализов: VT crypter (Update.exe) + VT decrypter (UpdateDecrypter.exe)


 


Вариант от 14 нобря 2020: 
Расширение: .ZqVIkE
Записка: @READ_ME@.txt
Email: contact.body.alhoha@gmail.com
Результаты анализов: VT + VMR + IA


 



Вариант от 14 ноября 2020: 
Кажется, это тоже связано с предыдущим сообщением. 
Результаты анализов: VT 



Вариант от 10 ноября 2020: 
Самоназвание: BMI DataSender
Расширение: .r2block
Telegram: @RezaEI68
Файл проекта: C:\Users\Reza\Desktop\BMI DataSender\WindowsFormsApplication1\obj\Debug\BMI DataSender.pdb




Файл EXE: BMI DataSender.exe
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33177
BitDefender -> Trojan.GenericKD.44434282
ESET-NOD32 -> MSIL/Filecoder.ADH
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmodng.gen
Malwarebytes -> Trojan.Agent
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Crypmodng.Eiln
TrendMicro -> Ransom_Crypmodng.R069C0OK520


Вариант от 2 декабря 2020:
Расширение: .LOCKED
Email: bhidhizatta@protonmail.com
Файл: ForbiddenTear.exe
Результаты анализов: VT + AR + JSB
 Обнаружения: 
BitDefender -> Generic.Ransom.Hiddentear.A.766E2A43
DrWeb -> Trojan.KillProc2.14839
ESET-NOD32 -> A Variant Of MSIL/Filecoder.FI
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:MSIL/HiddenTear.DB!MTB
Rising -> Ransom.HiddenTear!1.CF90 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Eehn
TrendMicro -> Ransom.MSIL.FILELOCK.SM


Вариант от 10 декабря 2020:
Опознан как вариант ShivaGood Ransomware >>
Статус: Файлы не могут быть расшифрованы без уплаты выкупа. 
Расширение: .good
Tor-URL: xxxx://qmqwu5bphsw3xywxqisf336eu7ajrwp64png7qd34caxmz6hmkmuv6id.onion/szibis


Вариант от 14 декабря 2020:
Файл с ID: unique_id.txt
Email: icleanupthemess@tutanota.com
icleanupthemess@yandex.com
andoria13@yandex.com
twentyonedecember@cock.li
twentyonedecember@cock.email
twentyonedecember@firemail.cc
underthedomeandoria@secmail.pro
truemessiah13@criptext.com
kingTrumpissave@mai.ru
marlynmansonl@elud.email
corona396@techmail.info
corona66@outlookpro.net
samishere@fake-box.com
kingsam83@mail2tor.com
BTC: 3GvcRNFwrP4X3y9jd4L6NbcoaDkD1TX27q
3LqBSjPsnZcJD43LHMy69tz7CCqAWXjn4H
3MnXhB3kiGBxd6vUciCX2oFdRSdwa8XJ4H
Результаты анализов: VT
 




Вариант от 16 декабря 2020: 
Расширение: .fmfgmfgm
Результаты анализов: VT

 
---

Вариант от 27 декабря 2020: 
Расширение: .encryptedQjbQpkgd.sett4545
Email: Figskici@tutanota.com
Результаты анализов: VT + AR
 Обнаружения: 
ALYac -> Generic.Ransom.Small.9E94571F
Avira (no cloud) -> HEUR/AGEN.1129970
BitDefender -> Generic.Ransom.Small.9E94571F
DrWeb -> Trojan.EncoderNET.HiddenTear.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> Ransom.HiddenTear!g1


=== 2021 ===

Вариант от 5 января 2021:
Расширение: .ZIEBF_4561drgf
Email: Z6QF4Q@TUTANOTA.COM
Результаты анализов: VT + IA + AR + TG  
Вариант из января 2020: VT + IA + AR + TG
К позору Microsoft для атаки использует технологии Cmd, VBScript, PowerShell, а также легко отключает Windows Defender и защиту в реальном времени.  
URL изображения:  xxxps://media.discordapp.net/attachments/599226424695455755/795805240900321330/temp10.png



Вариант от 15 января 2021:
Расширение: .a
Записка: READ_ME.txt
Email: blackheel@protonmail.com
BTC: 19xxGz9WDmacNZ9P83v6QMmMgbCQxC1gnR
Результаты анализов: VT + VMR



Вариант от 16 января 2021: 
Расширение: .fcorp 
Записка: READ_IT.txt 
BTC: 1A1zRgFtPWT75vCWQ7K2PLX3cnwyHH1833 
Результаты анализов: VT 


Вариант от 27 ноября 2020:
Расширение:  .Motion
Файл: Microsft Windows Update.exe. Описание: Motion Team.
Результаты анализов: VT
 Обнаружения: 
ALYac -> Generic.Ransom.CloudSword.641AA30A
Avira (no cloud) -> WORM/Agent.efipd
BitDefender -> Generic.Ransom.CloudSword.641AA30A
DrWeb -> Trojan.AutorunNET.1
ESET-NOD32 -> A Variant Of MSIL/Agent.GX
Rising -> Ransom.Cute!1.CF7C (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.MSIL.FILELOCK.SM


Вариант от 6 февраля 2021: 
Расширение: .dark
Повторы для зашифрованных файлов: .dark.dark, .dark.dark.dark
Записка: Important.txt
Email: darksimo@protonmail.com
BTC: 1EdxGR5fxRjhWtxNSbyDHv4nVdx5BP54L2
Файлы: DarkWorld.exe, Loader.exe, MpCmdRun.exe, Vmware Workstation 17 + Crack feb 2021.exe
Результаты анализов: VT + VT
➤ Обнаружения: 
Avira (no cloud) -> TR/Ransom.rhahz, HEUR/AGEN.1134525
BitDefender -> Generic.Ransom.Hiddentear.A.*
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEE, A Variant Of MSIL/Packed.VMProtect.A Suspicious
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Microsoft -> Ransom:MSIL/HiddenTear.DG!MTB
Rising -> Ransom.HiddenTear!8.DC9E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Hviw, Msil.Trojan.Encoder.Sudq
TrendMicro -> Ransom.MSIL.DARKITO.SM, Ransom_HiddenTear.R002C0DB621
---
➤ Содержание записки: 
DEAR USER..
This is the developer of DarkWorld File Crypter tool, you have been running our tool in your system which caused your files to get encrypted.
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important files that were encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase the Decryption tool from me.
the decryption tool will not be able to decrypt your files if the encrypted files were encrypted after 72 hours , which means you need to contact us before 72hours from decryption so we can help you solve your problem.
Please note that you'll never restore your data without payment.
Price of private key and decrypt software is $300.
To Buy the decryption tool you must follow the following steps :
1 - Send the equivalent of 300$ in bitcoins
to this wallet : 1EdxGR5fxRjhWtxNSbyDHv4nVdx5BP54L2
—————————————————–
* What is bitcoin ? : https://www.investopedia.com/terms/b/bitcoin.asp
* How to buy Bitcoin ? : https://www.investopedia.com/articles/investing/082914/basics-buying-and-investing-bitcoin.asp
* Where to buy Bitcoin ? :
https://www.blockchain.com/
https://coinbase.com/
https://robinhood.com/
https://www.coinmama.com
—————————————————–
2 - Once your payment is done copy your personal ID and send it to me in this email : << darksimo@protonmail.com >>.
—————————————————–
3 - After i confirm the payment is received you will immediatly receive the decryption tool and the decryption key of your files , and also you will receive a full guide and a video explaining how to use the decryption tool to decrypt all your files .
—————————————————–
4 - in case of trust issues you can send one of your encrypted files to my email and i will decrypt it and send it back to you as a valid proof of the decryption tool.
Your personal ID : 16101***


Вариант от 16 марта 2021: 
Расширение: .Encrypted
Результаты анализов: VT + IA 




Варианты от 15-25 марта 2021:
Отдельная статья HantaVirus Ransomware >>
Ранняя версия на основе HiddenTear, потом модифицированный вариант. 


Вариант от 29 апреля 2021:
Расширение: .Legion
Файл: LegionLocker2.1.exe
Результаты анализов: VT + AR + AR


Вариант от 3 июля 2021: 
Расширение: .rsjon
Записка: READ_ME_PLZ.txt
Email: darkjon@protonmail.com
BTC: 1AefQmfitXAuQDm1BSNpTN6mygpePd3MT6



В коде программы и на сайте используется турецкий язык.

 

Файл проекта: C:\Users\brknc\source\repos\rs-jon\rs-jon\obj\Debug\rs-jon.pdb
Файл дешифровщика: rs-jon-decrypter.exe
Результаты анализов: VT + AR 
Файл вымогателя: rs-jon.exe
Результаты анализов: VT + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Y
Microsoft -> Ransom:MSIL/Ryzerlo.A
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom.MSIL.CRYPTEAR.SM


Вариант от 17 июня 2021: 
Самоназвание: Borgla


Файл проекта: C:\Users\adolf\Desktop\Programacion\C#\Borgla\obj\Debug\Borgla.pdb
Файл: Borgla.exe
Результаты анализов: VT + TG + IA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.HiddenTear.1
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Microsoft -> Ransom:MSIL/Ryzerlo.A
TrendMicro -> Ransom_RAMSIL.SM


Вариант от 17 июля 2021: 
Расширение: .jew
Результаты анализов: VT


Вариант от 25 июля 2021: 
Расширение: .संवैधानिक
Записка: Message.txt
Email: ama53940400@gmail.com


Вариант от 4 ноября 2021:
Расширение: .bandana
Записка: README.txt
Результаты анализов: VT


Вариант от 9 ноября 2021:
Самоназвание: Encrypt_Robot
Расширение: .payme


Файл: Encrypt_Robot.exe,  local.exe
Результаты анализов: VT + AR
➤ Обнаружения:  
DrWeb -> Trojan.Encoder.10598 
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Z
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom.MSIL.CRYPTEAR.SM


Вариант от 20 ноября 2021:
Самоназвания: Nopyfy-Ransomware, Delta
Расширение: .deltapaymentbitcoin@gmail.com
Записка: FILES ENCRYPTED.txt
Email: deltapaymentbitcoin@gmail.com
BTC: bc1q2n23xxx2u8hqsnvezl9rewh2t8myz4rqvmdzh2


Файл: Nopyfy-Ransomware.exe
Результаты анализов: VT + IA 
➤ Обнаружения: 
Trojan.Encoder.10598 -> HiddenTear
BitDefender -> Generic.Ransom.Hiddentear.A.8553174A
Malwarebytes -> Ransom.HiddenTear
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom_CRYPTEAR.SM0


=== 2022 ===

Вариант от 27 апреля 2022: 
Доп. название: Decryption#1222 Ransomware 
Расширение: .n53yb34tbb2
Записка: HOW TO DEYCRYPT.txt
Результаты анализов: VT + AR + IA





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message: myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS, quietman7
 S!Ri, Ravi, Karsten Hahn, xiaopao
 Andrew Ivanov (author)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 2 января 2020 г.

Zeoticus

Zeoticus Ransomware

Zeoticus 2.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Zeoticus. На файле написано: vxx.exe или что-то еще.

Обнаружения: 
DrWeb -> Trojan.Encoder.30482, Trojan.Encoder.33303
ALYac -> Trojan.Ransom.Zeoticus
ESET-NOD32 -> Win32/Filecoder.Zeoticus.A, A Variant Of Win32/Filecoder.OBQ
Malwarebytes -> Ransom.Zeoticus
Microsoft -> Ransom:Win32/Zeoticus!MSR
Kaspersky -> Trojan-Dropper.Win32.Dycler.zgu
Rising -> Packer.Win32.Obfuscator.n (CLASSIC)
Tencent -> Win32.Trojan.Filecoder.Ita
TrendMicro -> Ransom.Win32.ZEOTICUS.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ??? >> Zeoticus > Zeoticus 2.0 > Venus

К зашифрованным файлам добавляется расширение: .zeoticus
Более новые см. после статьи в обновлениях. 

Этимология названия:
Используется имя персонажа из японской манга-аниме High School DxD 
(URL - highschooldxd.fandom.com/wiki/Zeoticus_Gremory)

Изображение — логотип статьи

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2019 г. Дата первой загрузки на VT: 30 декабря 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.html


Содержание записки о выкупе:
----===Zeoticus===----
All your data are encrypted.
Only we can decrypt your data, write to the original mails specified in this file, otherwise you will become a victim of scammers
Be carefully, recovery companies usually require more than we, and act as middleman
-----------------------------------------------------
Contact and send this file to us:
zeoticus@tutanota.com
zeoticus@aol.com
zeoticus@protonmail.com
1077357048
=)


Перевод записки на русский язык:
Все ваши данные зашифрованы.
Только мы можем расшифровать ваши данные, пишите на оригинальные email, указанные в этом файле, иначе вы станете жертвой мошенников
Будьте осторожны, компании по восстановлению обычно требуют больше, чем мы, и выступают в качестве посредников
-------------------------------------------------- ---
Свяжитесь с нами и отправьте этот файл:
zeoticus@tutanota.com
zeoticus@aol.com
zeoticus@protonmail.com
1077357048
=)



Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.html
vxx.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://vitrez.xyz/supersecretstring?babyDontHeartMe=***
Email: zeoticus@tutanota.com
zeoticus@aol.com
zeoticus@protonmail.com
BTC: ---
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Zeoticus Ransomware - январь 2020
Zeoticus 2.0 Ransomware - сентябрь 2020



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 сентября 2020: 
Самоназвание: Zeoticus 2.0
Топик на форуме >>
Сообщение >>
Расширение: .young
Составное расширение: .<ID{18_num}>.immunityyoung@aol.com.young
Пример расширения: .933880981972527968.immunityyoung@aol.com.young
Маркер файлов: ZEOTICUSV2
Записка: README.html
Email: immunityyoung@aol.com
immunityyoung@tutanotal.com
immunityyoung@protonmail.com
➤ Содержание записки:
----===Zeoticus 2.0===----
WARNING!
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps.
You need to buy bitcoins and send them to the address you receive by mail.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register,
click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key
we can decrypt one file for free
the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format
other formats will not be free decryption
after payment we will send a decryption program
Do not try to decrypt your files with programs by the decoder,
you will only damage your data and lose them forever.
Only we can decrypt your data, write to the original mails specified in this file,
otherwise you will become a victim of scammers.
immunityyoung@aol.com
immunityyoung@tutanota.com
immunityyoung@protonmail.com
[redacted 136 bytes base64]


Сообщение от 7-14 декабря 2020: 
Сообщение >>
Версия: Zeoticus 2.0 Ransomware
Расширение: .2020END
Составное расширение: .<number>.outsourse@tutanota.com.2020END
Результаты анализов: VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33303
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OBQ
Kaspersky -> Packed.Win32.Krap.b
Malwarebytes -> Ransom.FileCryptor
Rising -> Dropper.Dinwod!8.3BD*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wrqe
TrendMicro -> TROJ_GEN.R002C0PLB20


Вариант от 16 апреля 2021:
Версия: Zeoticus 2.0 Ransomware
Расширение: .pandora
Составное расширение: .<number>.anobtanium@tutanota.com.pandora
Записка: README.html
Email: anobtanium@tutanota.com
Файл проекта: C:\mainproduct\x86_bild_cryptor\shell_gen\release\data_protect2.pdb
Результаты анализов: VT + JSB + IA







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Tweet + myMessage
 ID Ransomware (ID as Zeoticus)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 1 января 2020 г.

Erica

Erica Ransomware

Erica-2 Ransomware

Aliases: Erica2020, Erica Encoder

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Erica Encoder. На файле написано: scr.scr и aqv33d4b.exe или чтот-то иное. Направлен против крупных компаний. Обещают восстановить файлы бесплатно, если пострадавший будет из России, Казахстана, Украины. , Вероятно, 
распространяется из Украины, т.к. в некоторых записках используется украинский язык. 

Обнаружения:
DrWeb -> Trojan.Inject3.32197, Trojan.Inject3.32410, Trojan.Encoder.30826, Trojan.Encoder.30998, Trojan.Encoder.33259, Trojan.Encoder.33260
BitDefender -> Gen:Variant.Barys.6125
Symantec -> ML.Attribute.HighConfidence, Trojan.Horse
Avira (no cloud) -> TR/Dropper.Gen
ESET-NOD32 -> A Variant Of MSIL/Injector.YN, A Variant Of MSIL/Injector.AEC, A Variant Of Win32/Filecoder.OES
McAfee -> PWSZbot-FACM!2F21AF3173D0
---

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — оригинальный логотип

К зашифрованным файлам добавляется расширение: .<random> или .<random{4}>

Примеры таких расширений: 
.usnr
.0gzo
.juem
.kanv

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранний образец этого крипто-вымогателя был обнаружен в начале января 2019 г. Ориентирован на русскоязычных и украиноязычных пользователей, что не мешает распространять его по всему миру. В текстовой записке много раз повторяется слово "TEST". В конце записки есть короткий текст на украинском языке, таким образом, это подытоживание может означать, что Erica2020 сделан в Украине и распространяется против российских пользователей. 

Записка с требованием выкупа называется: HOW TO RESTORE ENCRYPTED FILES.TXT

Содержание записки о выкупе:
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST

ПОЗДРАВЛЯЕМ ВАС С НОВЫМ 2020 ГОДОМ И НАДЕЕМСЯ, ЧТО В ЭТОМ ГОДУ У ВАС БУДЕТ МНОГО ДЕНЕГ, КОТОРЫМИ ВЫ ПОДЕЛИТЕСЬ С НАМИ
К сожалению все Ваши файлы были зашифрованы
Мы можем Вам помочь, но Вам придётся платить

-----BEGIN ERICA KEY-----
OxB1KiKzmU/oYuTplW67Gz3aIDbB9Xbw+Mg2ZowxgzPdzPKswcZ3f36hC1V3yHJv*** [всего 1624 знаков]
-----END ERICA KEY-----

Напишите Нам на почту, если Вы заинтересованы в возврате своих файлов
erica2020@protonmail.com
Роби вчасно бекапи, невдаха

Перевод записки на русский язык:
Основной текст уже на русском языке, кроме последней фразы, которая на украинском языке. 



Роби вчасно бекапи, невдаха - на украинском
Делай вовремя бэкапы, неудачник - перевод на русский
Need doing backups on schedule, loser - правильный перевод на английский





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
scr.scr (scr.scr.exe)
HOW TO RESTORE ENCRYPTED FILES.TXT
<random>.exe - случайное название вредоносного файла
aqv33d4b.exe - написано на файле
aqv33d4b.pdb - оригинальное название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\2\aqv33d4b.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: erica2020@protonmail.com
erica_files@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT (decryptor) >
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 4 января 2020:
Самоназвание: Erica Encoder 2.0.1
Расширение: .<random> или .<random{6}>
Примеры таких расширений: .g37y17 или .0ilfzr или .guudyk
При этом оригинальное имя файла кодируется. 
Пример зашифрованного файла: Q3J2c22wYWRNZXRy1WNzLWFjdGl2ZS5w3WE9.g37y17
Записка: HOW TO RESTORE ENCRYPTED FILES.TXT
Email: erica_files@protonmail.com
Файл: fabian_sosarc.exe
Оригинальное название проекта: 
C:\Users\Administrator\AppData\Local\Temp\2\ywb3frg1.pdb
Результаты анализов: VT + AR + VMR
➤ Содержание записки:
Erica Encoder 2.0.1
И снова здравствуйте :*
І знову здрастуйте
Мы знаем, что Вы очень по Нам скучаете и решили сделать Вам подарок
Мы не работаем по России, Украине и Казахстану
Key:
QcHz6+bGyO1mQ5JLIpOcTFtk65S2cHfkvTg5wNG32V6eaKz***  [всего 1624 знака]
Если Вы хотите восстановить свои никчёмные файлы, то пишите на Нашу почту и Мы ответим Вам
ZXJpY2FfZmlsZXNAcHJvdG9ubWFpbC5jb20= (Base64)  <- erica_files@protonmail.com
Передаём привет Фабиану Сосару 1:0 и остальным умственно отсталым :*

Вариант от 22 января 2020:
Erica 2.0.2
Расширение: .<random> или .<random{8}>
Пост на форуме >>
Записка: READ_THIS_FILE.TXT
➤ Содержание записки:
If you want to return the files, then write to my email and I will return the files to you
->ZXJpY2FfZnJlZUBwcm90b25tYWlsLmNvbQ==(Base64)<-
Erica 2.0.2
Welcome. Again. I've run out of money and I'm only doing this for them..
There are fewer and fewer people in the team and I don't see any point in doing this anymore, but I have a very difficult financial situation right now..
I'm not asking for a large amount, but if you want, I'll restore your files for free
-----BEGIN PRIVATE ERICA KEY-----
+k10AUZS6V2AJ90+dGcA14JnCdA2Df043HDsfbzq32jhBcza742AJ90+dGcA14JnCdA2Df043HDs***  [всего 1891 знака]
-----END PRIVATE ERICA KEY-----


Вариант от 25 января 2020:
Erica Test Build - некая тестовая сборка. 
Пост в Твиттере >>
Расширение (шаблон): .xxx-xxx-xxx
Расширение (пример): .87v-j7q-w2x
Записка: HOW TO RESTORE ENCRYPTED FILES.TXT
Email: erica_affiliate@protonmail.com
Файлы: girl.rar, girl.scr
Результаты анализов: VT + AR + VMR
➤ Содержание записки:
# Erica Test Build
# Affiliate program will be available soon
# Key(Do not change it):
3Kz0873GlO33b2m3wGu963xpsc97XI2dYw2iOBKemg0xv96KVIsw [всего 900 знаков]
# We work against large companies (We promise to restore your files if you are from Russia, Kazakhstan, Ukraine)
# You do not have time limits, but if you want to restore files, then pay $$$
# ZXJpY2FfYWZmaWxpYXRlQHByb3Rvbm1haWwuY29t (Base64)  <- erica_affiliate@protonmail.com


Вариант от 31 января 2020:
Версия: 3.0.1
Пост в Твиттере >>
Расширение не добавляется
Записка: [#]Erica - HOW TO DECRYPT MY FILES[#].txt
Email: emsisoft_cve@protonmail.com
Результаты анализов: VT + VMR + AR + IA
 


Вариант от 2 февраля 2020:
Расширение: .xxx-xxx-xxx
Записка: отсутствует
Результаты анализов: VT + VT + AR
Обнаружения:
DrWeb -> Trojan.Encoder.30826
BitDefender -> Trojan.GenericKD.32989208
Avira (no cloud) -> TR/FileCoder.pzcab
Tencent -> Win32.Trojan.Encoder.Jme
TrendMicro -> TROJ_GEN.R002C0PB220
VBA32 -> BScope.Trojan.Wacatac


Вариант от 12 февраля 2020:
Erica Test Build - еще одна тестовая сборка. 
Пост в Твиттере >>
Расширение (шаблон): .xxx-xxx-xxx
Расширение (пример): .61v-kpe-ydx
Записка (шаблон): Recover my .xxx-xxx-xxx files.TXT
Записка (пример): Recover my .61v-kpe-ydx files.TXT
Обещают восстановить файлы пользователям из России, Казахстан, Украины
➤ Содержание записки:
# Erica Test Build
# Affiliate program will be available soon
# Extension: .61v-kpe-ydx
# Key(Do not change it):
qTR5Kn5YBuBj35OTuITKGboo1yeBnMzKqYB8b9lmzYkKRou***
# We work against large companies (We promise to restore your files, if you are from Russia, Kazakhstan, Ukraine)
# You do not have time limits, but if you want to restore files, then pay $$$
# ZXJpY2FfYWZmaWxpYXRlQHByb3Rvbm1haWwuY29t(Base64)
---
Файл: unpacked.exe
Результаты анализов: VT + AR
Обнаружения: 
DrWeb -> Trojan.Encoder.30998
BitDefender -> Trojan.GenericKD.42574236
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAM
Malwarebytes -> Ransom.Erica
TrendMicro -> Ransom_Encoder.R002C0WBE20




Вариант от 15 февраля 2020:
Пост в Твиттере >>
Расширение (шаблон): .xxx-xxx-xxx
Расширение (пример): .4rg-d4m-rs6
Записка (шаблон): Recover my .xxx-xxx-xxx files.TXT
Записка (пример): Recover my .4rg-d4m-rs6 files.txt
Результаты анализов: VT + VMR + IA


Вариант от 17 февраля 2020:
Результаты анализов: VT + VMR + IA


Вариант от 26 ноября 2020:
Расширение: .<random{6}>
Результаты анализов: VT + AR + TG 


Вариант от 27 ноября 2020:
Расширение: .<random{6}>
Результаты анализов: VT + IA + AR + TG
Результаты анализов: VT + IA + AR + TG


Варианты от 3 февраля 2021:
Расширение (шаблон): .xxx-xxx-xxx
Расширение (пример): .b37-zsx-ngn
Записка (пример): Readme .b37-zsx-ngn.txt


Email: 5844869519@protonmail.com
6310812891@protonmail.com
6152412247@protonmail.com
1494040670@protonmail.com
5993509759@protonmail.com
4896949806@protonmail.com
8438769274@protonmail.com
6425934071@protonmail.com
2880069676@protonmail.com
2251980267@protonmail.com
Результаты анализов: AR + AR





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myTweet
 ID Ransomware (ID as Eriсa Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Akhmed Taia, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *