BitPyLock Ransomware
BitPyLock Doxware
(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.8 - 5 BTC, чтобы вернуть файлы. Оригинальное название: в ранней записке не было указано. На файле написано: Program.exe. Название для статьи и идентификации получил по раннему используемому расширению.
Вымогатели, распространяющие BitPyLock, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор).
Обнаружения:
DrWeb -> Trojan.Encoder.30536, Trojan.Encoder.30962
BitDefender -> Trojan.GenericKD.32891379, Trojan.GenericKD.32924962, Trojan.GenericKD.42303668
Malwarebytes -> Ransom.Bitpy
McAfee -> RDN/Ransom
Rising -> Ransom.Gen!8.DE83 (CLOUD), Trojan.Filecoder!8.68 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.2
ALYac -> Trojan.Ransom.BitPyLock
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: KrakenCryptor + BackDoor.Bifrost.19762 (по кл. Dr.Web) >> BitPyLock
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .bitpy
Позже стало использоваться расширение по доменному имени сайта или внутреннему домену локальной сети пострадавшей компании или организации.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Ранняя активность этого крипто-вымогателя пришлась на конец декабря 2019 - начало января 2020 г., но продолжилась и позже. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: # HELP_TO_DECRYPT_YOUR_FILES #.html
Оригинальная записка о выкупе
html-код этой записки
Содержание записки о выкупе:
All your files are encrypted!
All your files, including, but not limited to:
Photos, videos, databases and office projects have been encrypted
- using strong military grade encryption algorithms AES-256 and RSA-2048.
Recovery tools and other software will not help you!
Don't find your backups? because they have been successfully encrypted too or securly wiped!
The only way to recover your files, are to meet our demands.
1. Create a Bitcoin wallet (we recommend you to create on Blockchain.com)
2. Register on LocalBitcoins.com (or any other Bitcoin exchange), then buy 0.8 Bitcoin (BTC).
3. Send Bitcoins to our wallet below (in case sensitive. Make sure you copy past it):
1NAaH4rWww9yBUndSggQpQBLte5w927Jaj
4. Send Bitcoin Transaction ID to our e-mail address along with your "Private ID" below of this page:
helpbitpy@cock.li
5. You will receive the tools needed to decrypt all of your files immediately!
Note: Before payment you can contact with us for 1 free small file as decryption test!
Be warned, we won't be able to recover your files if you start fiddling with them!
You have 72 hours (3 days) from this moment to send us payment, or you files will be lost in eternity!
Private ID:
lk4e75d+JvZP3NXUJfhe9i3W3qxfCH4uM6PEBZOFkHmNzFQqc+*** [всего 344 знака]
Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы, включая, но не ограничивая:
Фотографии, видео, базы данных и офисные проекты были зашифрованы
- использование надежных алгоритмов шифрования военного класса AES-256 и RSA-2048.
Инструменты восстановления и другие программы вам не помогут!
Не нашли свои резервные копии? потому что они были успешно зашифрованы или надежно стерты!
Единственный способ восстановить ваши файлы - это удовлетворить наши требования.
1. Создайте биткойн-кошелек (мы рекомендуем создать его на Blockchain.com)
2. Зарегистрируйтесь на LocalBitcoins.com (или на любой другой бирже биткоинов), затем купите 0,8 биткойна (BTC).
3. Отправьте биткойны на наш кошелек ниже (с учетом регистра. Убедитесь, что вы копируете его):
1NAaH4rWww9yBUndSggQpQBLte5w927Jaj
4. Отправьте ID транзакции Bitcoin на наш адрес email вместе с вашим "Личным ID" ниже на этой странице:
helpbitpy@cock.li
5. Вы получите инструменты, необходимые для немедленной расшифровки всех ваших файлов!
Примечание: перед оплатой вы можете связаться с нами, чтобы получить 1 бесплатный небольшой файл в качестве теста расшифровки!
Имейте в виду, мы не сможем восстановить ваши файлы, если вы начнете возиться с ними!
С этого момента у вас есть 72 часа (3 дня) для отправки нам платежа, иначе ваши файлы будут потеряны навсегда!
Частный ID:
lk4e75d+JvZP3NXUJfhe9i3W3qxfCH4uM6PEBZOFkHmNzFQqc+*** [всего 344 знака]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ UAC не обходит, требуется разрешение на запуск.
➤ При первом запуске BitPyLock попытается завершить любые процессы из следующего списка, чтобы можно было зашифровать файлы, связанные с ними:
backup, cobain, drop, drive, sql, database, vmware, virtual, agent, anti, iis, web, server, apache
Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkf, .bkp, .blend, .bpw, .c, .cab, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .chm, .cib, .class, .cls, .cmt, .cnf, .conf, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .dat, .data, .db, .db3, .dbf, .db-journal, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .frx, .fxg, .gif, .gray, .grey, .gry, .gz, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .js, .jse, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .log, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tif, .tlg, .txt, .vb, .vbs, .vmdk, .vmem, .vmsd, .vmsn, .vmx, .vmxf, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip (346 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
При шифровании BitPyLock пропускает любые файлы, находящиеся в следующих папках:
Windows
Windows.old
Program files
Program files (x86)
Program data
$Recycle.bin
System Volume Information
Файлы, связанные с этим Ransomware:
Program.exe
# HELP_TO_DECRYPT_YOUR_FILES #.html
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: helpbitpy@cock.li
BTC: 1NAaH4rWww9yBUndSggQpQBLte5w927Jaj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 9 января 2020:
Пост в Твиттере >>
Еще один вариант записки с темным фоном.
Данные скрыты исследователем.
Обновление от 28 января 2020:
Топик на форуме >>
Расширение (шаблон): .<domain_name>
Расширение: (пример): .mydomain
Записка: # HELP_TO_DECRYPT_YOUR_FILES #.html
Email: pay4netwww@protonmail.com
BTC: 1PsDH9eCUx11KCCD6PsvzfPmfc7BmfhamT
Файл: network.exe: agent.exe, easy.exe
Результаты анализов: VT + AR + IA (IA, IA, IA)
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30962
BitDefender -> Trojan.GenericKD.42303668
Symantec -> ML.Attribute.HighConfidence
➤ Содержание записки:
All your files are encrypted!
If you read this message. That means we've been able to break into your network and encrypt all your machines.
All your files on all network machines, including, but not limited to:
Documents, databases, and office projects have been encrypted using strong military grade encryption algorithm RSA-4096.
Break it is impossible! and any effort is a waste of time!
Recovery tools and other software will not help you!
Don't find your backups? because they have been successfully encrypted too or securly wiped!
The only way to recover your files, are to meet our demand.
1. Create a Bitcoin wallet (we recommend you to create on Blockchain.com)
2. Register on LocalBitcoins.com (or any other Bitcoin exchange), then buy 4 Bitcoin (BTC).
3. Send Bitcoins to our wallet below (in case sensitive. Make sure you copy past it):
1PsDH9eCUx11KCCD6PsvzfPmfc7BmfhamT
4. Send Bitcoin Transaction ID to our e-mail address along with our wallet address you pay!
pay4netwww@protonmail.com
5. You will receive the tools needed to decrypt all of your machines and files!
Note: Before payment you can contact with us for 1 free small file as decryption test!
Be warned, we won't be able to recover your files if you start fiddling with them!
If you do not wish to negotiate with us. We will make your company's private papers and databases public. This's not a joke!
You have 72 hours from this moment to send us payment, or you files and the way we communicate will be lost in eternity!
All your files are encrypted!
If you read this message. That means we've been able to break into your network and encrypt all your machines.
All your files on all network machines, including, but not limited to:
Documents, databases, and office projects have been encrypted using strong military grade encryption algorithm RSA-4096.
Break it is impossible! and any effort is a waste of time!
Recovery tools and other software will not help you!
Don't find your backups? because they have been successfully encrypted too or securly wiped!
The only way to recover your files, are to meet our demand.
1. Create a Bitcoin wallet (we recommend you to create on Blockchain.com)
2. Register on LocalBitcoins.com (or any other Bitcoin exchange), then buy 4 Bitcoin (BTC).
3. Send Bitcoins to our wallet below (in case sensitive. Make sure you copy past it):
1PsDH9eCUx11KCCD6PsvzfPmfc7BmfhamT
4. Send Bitcoin Transaction ID to our e-mail address along with our wallet address you pay!
pay4netwww@protonmail.com
5. You will receive the tools needed to decrypt all of your machines and files!
Note: Before payment you can contact with us for 1 free small file as decryption test!
Be warned, we won't be able to recover your files if you start fiddling with them!
If you do not wish to negotiate with us. We will make your company's private papers and databases public. This's not a joke!
You have 72 hours from this moment to send us payment, or you files and the way we communicate will be lost in eternity!
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as BitPyLock) Write-up, Topic of Support *
Added later: Write-up by BleepingComputer (on January 21, 2020) *** ***
Thanks: MalwareHunterTeam, Michael Gillespie, Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.