Если вы не видите здесь изображений, то используйте VPN.

четверг, 9 января 2020 г.

Ako, MedusaReborn

Ako Ransomware

Ako Doxware

Aliases: MedusaReborn

(шифровальщик-вымогатель, RaaS, публикатор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компьютеров в локальной сети, работающих под управлением Windows (в том числе Windows 10), с помощью AES, а затем требует выкуп в 0.5-1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Начиная с мая 2020 года вымогатели, стоящие за Ako Ransomware стали 
публиковать на специальном сайте украденные данные с целью усиления давления на жертву (отсюда дополнительные названия — публикатор и Doxware). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. В некоторых случаях стали даже требовать дополнительной платы за то, чтобы удалить украденные данные. 

Обнаружения:
DrWeb -> Trojan.MulDrop11.33124
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win32/Filecoder.MedusaLocker.D
Microsoft -> Ransom:Win32/MedusaLocker!MTB
Rising -> Ransom.AKO!1.C19E (CLOUD)
---

© Генеалогия: ✂️ MedusaLocker >> Ako, MedusaReborn ⇒ ThunderX > Ranzy Locker 

Знак "" здесь означает переход на другую разработку. См. "Генеалогия".

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random> или .<random{6}>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи распространялась версия 0.5. 

Записка с требованием выкупа называется: ako-readme.txt


Содержание записки о выкупе:
Your network have been locked.
All your files, documents, photos, databases and other important data are encrypted and have the extension: .2Zrl5j
Backups and shadow copies also encrypted or removed. Any third-party software may damage encrypted data but not recover.
From this moment, it will be impossible to use files until they are decrypted.
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recovery your files.
To get info (decrypt your files) follow this steps:
1) Download and install Tor Browser: https://www.torproject.org/download/
2) Open our website in TOR: xxxx://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB
3) Paste your ID in form (you can find your ID below)
!! ATTENTION !!
!! Any third - party software may damage encrypted data but not recover.
!! DO NOT MODIFY ENCRYPTED FILES
!! DO NOT CHANGE YOUR ID
!! DO NOT REMOVE YOUR ID.KEY FILE
 --- BEGIN PERSONAL ID --- 
eyJleHQiOiIuMlpybDVqIiwgImtleSI6InozNWRzcEZaOFltMEs0bW4xQVNrZE0
*** [всего 556 знаков]
 --- END PERSONAL ID ---

Перевод записки на русский язык:
Ваша сеть заблокирована.
Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы и имеют расширение: .2Zrl5j
Резервные копии и теневые копии также шифруются или удаляются. Любая сторонняя программа может повредить зашифрованные данные, но не восстановить.
С этого момента будет невозможно использовать файлы, пока они не будут расшифрованы.
Единственный способ восстановления файлов - это покупка уникального закрытого ключа.
Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.
Чтобы получить информацию (расшифровать ваши файлы), выполните следующие действия:
1) Загрузите и установите браузер Tor: https://www.torproject.org/download/
2) Откройте наш веб-сайт в TOR: xxxx://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB
3) Вставьте свой ID в форму (вы можете найти свой ID ниже)
!! ВНИМАНИЕ !!
!! Любая сторонняя программа может повредить зашифрованные данные, но не восстановить.
!! НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
!! НЕ ИЗМЕНЯЙТЕ СВОЙ ID
!! НЕ УДАЛЯЙТЕ СВОЙ ID.KEY ФАЙЛ


Запиской с требованием выкупа также выступает сайт вымогателей: 

Начальная страница сайта, без ввода кода

 Верхняя часть страницы сайта после ввода кода

Нижняя часть страницы сайта после ввода кода

Содержание страницы сайта:
Your files have been locked!
Whats happened?
All documents, photos, databases and other important files encrypted
How to decrypt files?
The only way to decrypt your files is to
receive the m9V742-Decryptor
Are you ready?
We guarantee that you can recover all your files.
But you have not so enough time.
Buy m9V742-Decryptor
Price now: 0.4806 BTC (~3800$)
You have: 3 days. 08:34:43
If payment isnt made in this time, the cost will be doubled: 0.9613 BTC (~7600$)
    Buy m9V742-Decryptor
    Support Chat
1. Create Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins - 0.4806 BTC
3. Send 0.4806 BTC to the address: 1DUBrMcH9T13oFSa59jxtFDM5eWTP8v2yc
4. After payment paste your transaction id in this form.
5. If payment is done - reload current page.
---
You can buy BTC here
coinbase.com
bitpanda.com
cex.io
gemini.com
buybitcoinworldwide.com

Перевод страницы сайта на русский язык: 
Ваши файлы блокированы!
Что случилось?
Все документы, фотографии, базы данных и другие важные файлы зашифрованы
Как расшифровать файлы?
Единственный способ расшифровать ваши файлы - это получить m9V742-Decryptor
Вы готовы?
Мы гарантируем, что вы можете восстановить все ваши файлы.
Но у вас не так много времени.
Купить m9V742-Decryptor
Цена сейчас: 0.4806 BTC (~ 3800 $)
У вас есть: 3 дня. 8:34:43
Если оплата не будет произведена в это время, стоимость будет удвоена: 0,9613 BTC (~ 7600 $)
     Купить m9V742-Decryptor
     Чат поддержки
1. Создайте биткойн-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткойнов - 0.4806 BTC
3. Отправьте 0,4806 BTC по адресу: 1DUBrMcH9T13oFSa59jxtFDM5eWTP8v2yc
4. После оплаты вставьте идентификатор вашей транзакции в эту форму.
5. Если оплата сделана - перезагрузите текущую страницу.
---
Вы можете купить BTC здесь
coinbase.com
bitpanda.com
cex.io
gemini.com
buybitcoinworldwide.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Rig EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
wmic.exe SHADOWCOPY /nointeractive

➤ Завершает работу ряда процессов и служб, относящихся к базам данных, бухгалтерии, корпоративных службам и пр., чтобы затем без препятствий шифровать их файлы: 
MSSQL, MSSQLServer, SQL, MSExchange, QuickBooks, Firebird, WinDefend, IISADMIN и другие. 

Список файловых расширений, подвергающихся шифрованию:
Почти все типы файлов, кроме пропускаемых. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые типы файлов с расширениями:
.exe,. dll, .sys, .ini, .lnk, .key, .rdp


Пропускаемые папки с файлами: 
AppData
Program Files
Program Files (x86)
AppData
boot
PerfLogs
ProgramData
Google
Intel
Microsoft
Application Data
Tor Browser
Windows
ako-readme.txt
id.key

➤ Во время шифрования Ako использует функцию GetAdaptersInfo для получения списка сетевых адаптеров и связанных с ними IP-адресов. Затем выполняет проверку ping любых локальных сетей, используя функцию IcmpSendEcho, чтобы создать список отвечающих машин. Любые машины, которые ответят на запрос, будут проверены на наличие общих сетевых ресурсов для шифрования.


Когда вымогатель закончит работу, ключ шифрования, используемый для шифрования файлов жертвы, тоже будет зашифрован и сохранен в файле с именем  id.key на Рабочем столе жертвы.

Файлы, связанные с этим Ransomware:
ako-readme.txt - название текстового файла
ak0.exe - исполняемый файл вымогателя; 
ak0_new.exe - исполняемый файл вымогателя; 
id.key
DllHost.exe
Agreement.zip ( Agreement.scr) - email-вложение, которое устанавливает шифровальщика (пароль на архив - 2020). 



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\akocfg
См. ниже результаты анализов.

Файловый маркер:
CECAEFBE


Сетевые подключения и связи:
Tor-URL: xxxx://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB
Email: - 
BTC: 1DUBrMcH9T13oFSa59jxtFDM5eWTP8v2yc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 января 2020:
Пост в Твиттере >>
Записка: ako-readme.txt. Содержание изменилось. 
Версия обновлена ​​с "0.5" до "1.0"
Слева v0.5, справа v1.0


➤ Содержание записки: 

--- We apologize! ---
Your network have been locked.
----------------------------------
| Whats happened?
----------------------------------
All your files, documents, photos, databases and other important data are encrypted and have the ext
Backups and shadow copies also encrypted or removed. Any third-party software may damage encrypted c***
From this moment, it will be impossible to use files until they are decrypted.
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recovery your files.
----------------------------------
| Guarantees?
----------------------------------
As you read above, files can be decrypted only using our private key and a special program.
The only guarantees we can give are decryption of your any file.
So you can decrypt any file from your system for free on our website.
We guarantee that you can recovery all your files. But you have not so enough time.
----------------------------------
| How to recovery my files?
----------------------------------
To get info (decrypt your files) you have 1 way:
1) [Recommended] via Tor Browser:
    a) Download and install Tor Browser: https://www.torproject.org/download/
    b) Open our website in TOR: http://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/
When you open our website, put the following key in the input form:
{PATTERN_ID}
!! ATTENTION !!
!! Any third - party software may damage encrypted data but not recover. !!
!! DO NOT MODIFY ENCRYPTED FILES !!
!! DO NOT CHANGE YOUR ID !!
!! DO NOT REMOVE YOUR ID.KEY FILE !!


Обновление от 11 января 2020:
Пост на форуме >>
Расширение: .btHTIb
Записка: ako-readme.txt
BTC: 19mXMJ3ZVY8eHjZpGcuq6M7hwGXDNnF64p


➤ Содержание 
txt-записки: 
Your network have been locked.
All your files, documents, photos, databases and other important data are encrypted and have the extension: .btHTIb
Backups and shadow copies also encrypted or removed. Any third-party software may damage encrypted data but not recover.
From this moment, it will be impossible to use files until they are decrypted.
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recovery your files.
To get info (decrypt your files) follow this steps:
1) Download and install Tor Browser: https://www.torproject.org/download/
2) Open our website in TOR: http://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB
3) Paste your ID in form (you can find your ID below)
!! ATTENTION !!
!! Any third - party software may damage encrypted data but not recover.
!! DO NOT MODIFY ENCRYPTED FILES
!! DO NOT CHANGE YOUR ID
!! DO NOT REMOVE YOUR ID.KEY FILE
 --- BEGIN PERSONAL ID --- 
eyJleHQiOiIuYnRIVEliIiwgImtleSI6Ilh*** [всего 556 знаков]
 --- END PERSONAL ID ---
---

➤ Содержание сайта вымогателей

  

Your files have been locked!

Whats happened?
All documents, photos, databases and other important files encrypted
How to decrypt files?
The only way to decrypt your files is to
receive the btHTIb-Decryptor
Are you ready?
We guarantee that you can recover all your files.
But you have not so enough time.
Buy btHTIb-Decryptor
Price now: 0.3058 BTC (~3000$)
You have: 4 days. 01:11:52
If payment isnt made in this time, the cost will be doubled: 0.6117 BTC (~6000$)
Buy btHTIb-Decryptor   Support Chat
1. Create Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins - 0.3058 BTC
3. Send 0.3058 BTC to the address: 19mXMJ3ZVY8eHjZpGcuq6M7hwGXDNnF64p
4. After payment paste your transaction id in this form.
[]  [Apply]
5. If payment is done - reload current page.
[Download decrypted files]
***

Обновление от 16 марта 2020:
Пост в Твиттере >>
Расширение: .Xs19FM
Специальный файл: do_not_remove_ako.Xs19FM_id.key
Результаты анализов: VT + AR



Обновление от 12 мая 2020:
Ссылка на статью на сайте BleepingComputer >>
На специальном Leaks-сайте, созданном операторами Ako Ransomware, вымогатели сообщают, что некоторые компании должны платить выкуп как за дешифровщик, так и за удаление украденных файлов. В качестве примера, Ако-вымогатели опубликовали данные одной из жертв и заявили, что они получили 350 000 долларов за дешифровщик, но всё равно опубликовали файлы после того, как не получили отдельную плату за удаление украденных файлов.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tw + Tw + Tw + myTweet
 ID Ransomware (ID as Ako / MedusaReborn)
 Write-up, Write-up,  Topic of Support + Message
 * 
 Thanks: 
 S!Ri, Vitali Kremez, Raby, MHT, Michael Gillespie, 
 Andrew Ivanov (author)
 Lawrence Abrams, Karsten Hahn
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Ragnarok, RagnarokCry

Ragnarok Ransomware

RagnarokCry Ransomware

Ragnarok Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.MulDrop11.33197, Trojan.Encoder.31080
ALYac -> Trojan.Ransom.MegaCortex, Trojan.Ransom.Ragnarok
Avira (no cloud) -> TR/AD.RansomHeur.zxgsr
BitDefender -> Trojan.GenericKD.42261103
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAC
Malwarebytes -> Ransom.Ragnarok
McAfee -> RDN/Generic.dx, GenericRXKD-YS!E134D5A91ED3
Symantec -> Downloader
TrendMicro -> TROJ_GEN.R067C0PAJ20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
Сейчас здесь алфавитный список, выше обнаружения DrWeb с Trojan.Encoder, по которым мне удобнее ориентироваться. 
---

© Генеалогия: MegaCortex ? > Ragnarok (RagnarokCry)

Изображение — логотип статьи

К зашифрованным файлам в разных версиях добавляются расширения: 
.ragnarok_cry
.ragnarok
.rgnk
.odin


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало-средину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_To_Decrypt_My_Files.txt



Содержание записки о выкупе:
#what happend?
Unfortunately your files are encrypted, To decrypt your files follow the instructions
1. you need a decrypt tool so that you can decrypt all of your files
2. contact with us for our btc address if you want decrypt your files or you can do nothing just wait your files gona be deleted
3. you can provide a file which size less than 3M for us to prove that we can decrypt your files after you paid
4. it is wise to pay in the first time it wont cause you more losses
DEVICE ID:
----------------------------
AwCLCNVRGx0RWFELEFUQBV0MEZEODhDN1ETQ1YzMxYkNDJ0Qwk*** [всего 1344 знаков]
---------------------------- 
you can send your DEVICE ID to mail address below 
asgardmaster5@protonmail.com

Перевод записки на русский язык:
#что случилось?
К сожалению, ваши файлы зашифрованы, чтобы расшифровать ваши файлы следуйте инструкциям
1. вам нужен расшифровщик, чтобы вы могли расшифровать все ваши файлы
2. пишите нами для получения btc-адреса, если вы хотите расшифровать ваши файлы или вы ничего не можете сделать, просто подождите, пока ваши файлы будут удалены
3. вы можете прислать нам файл на менее 3 МБ, чтобы доказать, что мы можем расшифровать ваши файлы после того, как вы заплатите
4. разумно сначала платить, это не принесет вам больше потерь
ID УСТРОЙСТВА:
----------------------------
AwCLCNVRGx0RWFELEFUQBV0MEZEODhDN1ETQ1YzMxYkNDJ0Qwk*** [всего 1344 знаков]
---------------------------- 
Вы можете отправить свой ID устройства на адрес почты ниже
asgardmaster5@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Пытается отключить Windows Defender / Anti-Malware Protection

➤ Изменяет файлы в папке расширений Google Chrome, действия выглядят как кража данных.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол с помощью команд:

cmd.exe /c vssadmin delete shadows /all /quiet
cmd.exe /c wmic shadowcopy delete /nointeractive
cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures
cmd.exe /c bcdedit /set {current} recoveryenabled no
cmd.exe /c netsh advfirewall set allprofiles state off

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые расширения: 
.exe, .dll, .sys, .ragnarok

Пропускаемые расширения в версии 4.1: 
.386, .bat, .blf, .cmd, .com, .dll, .exe, .ico, .inf, .ini, .lib, .lnk, .lock, .msi, .obj, .ocx, .olb, .pdb, .sys, .thor, .tlb и mbr 

Пропускаемые процессы: 
"note", "powerpnt", "winword", "excel"
и некоторые другие в новых версиях

Пропускаемые папки и файлы: 
\content.ie5
\temporary internet files
\local settings\temp
\appdata\local\temp
\program files
\windows
\programdata
и некоторые другие в новых версиях

Пропускаемые языки: 
0419 Русский (Россия), 
0423 Белорусский (Беларусь), 
0444 Татарский (Россия), 
0442 Туркменский - Туркмения, 
0422 Украинский (Украина), 
0426 Латышский (Латвия), 
043f Казахский (Казахстан), 
042c Азербайджанский (латиница, Азербайджан), 
0804 Китайский (КНР)
и некоторые другие в новых версиях

Файлы, связанные с этим Ransomware:
How_To_Decrypt_My_Files.txt - название записки о выкупе
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\tmp\crypt.txt
C:\\Users\public\Files\rgnk.dvi

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asgardmaster5@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== САЙТЫ УТЕЧЕК === THE LEAKS SITES ===

Вымогатели создали сайт для публикации утечек данных.
Он называется "Ragnarok file-public".

Новый сайт называется "RAGNAROK FILE LEAKED". 
Дата первой публикаии утечки: 23 декабря 2020.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24-25 января 2020:
Пост в Твиттере >>
Расширение: .ragnarok
Email: asgardmaster5@protonmail.com
ragnar0k@ctemplar.com
j.jasonm@yandex.com
Записка: !!ReadMe_To_Decrypt_My_Files.txt
➤ Содержание записки:
#what happend to your files ?
Unfortunately your files are encrypted with rsa4096 and aes encryption,
you won 't decrypt your files without our tool
but don 't worry,you can follow the instructions to decrypt your files 
1. obviously you need a decrypt tool so that you can decrypt all of your files
2. contact with us
for our btcoin address and send us your DEVICE ID after you decide to pay
3. i will reply a specific price e.g 1.0011 or 0.9099 after i received your mail including your DEVICE ID
4. i will send your personal decrypt tool only work on your own machine after i had check the ransom paystatus
5. you can provide a file less than 1 M
for us to prove that we can decrypt your files after you paid
6. it 's wise to pay as soon as possible it wont make you more losses
the ransome : 1 btcoin
for per machine,
5 bitcoins
for all machines
how to buy bitcoin and transfer ? i think you are very good at googlesearch
asgardmaster5 @protonmail.com
ragnar0k@ctemplar.com
j.jasonm@yandex.com
Attention : if you wont pay the ransom in five days,
all of your files will be made public on internet and will be deleted
YOUR DEVICE ID: 
****************** [12 строк]

 

 

В коде исполняемого файла имеются ссылки на на различные пути Unix/Linux файлов. 
 "no_name4": "/proc",
"no_name5": "/proc/%s/status",
"no_name8": "/tmp/crypt.txt",
"no_name9": "/proc/%s",
"rand_path": "/dev/random",
"home_path": "/home/",
Это может разрабатываться для межплатформенной конфигурации. 
Согласно заключению специалистов, Ragnarok используется для целенаправленных атак на непропатченные серверы Citrix ADC, уязвимые для эксплойта CVE-2019-19781.


Обновление от 27 апреля 2020:
Расширение: .ragnarok
Записка: How_To_Decrypt_My_Files.txt
Email: ragnarok_master@protonmail.com
ragnarok@rape.lol
yawkyawkyawk@cock.li
➤ Содержание записки: 
#what happend?
Unfortunately your files are encrypted, To decrypt your files follow the instructions
1. you need a decrypt tool so that you can decrypt all of your files
2. contact with us for our btc address if you want decrypt your files or you can do nothing just wait your files gona be deleted
3. you can provide a file which size less than 3M for us to prove that we can decrypt your files after you paid
4. it is wise to pay in the first time it wont cause you more losses
you can send your DEVICE ID to mail address below
 ragnarok_master@protonmail.com
 ragnarok@rape.lol
 yawkyawkyawk@cock.li
DEVICE ID:
AwCLBxERBdVSLJELyM0M2IER5czMxEDM *** [всего 2748 знаков]
---
Результаты анализов: VT + TG + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31686
BitDefender -> Generic.Ransom.Ragnar.2.3F32DE19
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ragnarok.A
Malwarebytes -> Ransom.Ragnarok
TrendMicro -> Ransom.Win32.RAGNAROK.B



Обновление от 2 июля 2020:
Пост в Твиттере >>
Расширение: .rgnk
Записка: !!Attention_How_To_Recover_My_Files.txt
Email: ragnarok_master@protonmail.com
Malware URL: xxxx://185.198.57.153/rgnk3.0.exe
Файл EXE: rgnk3.0.exe
Результаты анализов: VT + IA + AR




Обновление от 3 сентября 2020:
Расширение (шаблон): .<num>.odin
Расширение (пример): .15474.odin
Записка: !!Read_me_How_To_Recover_My_Files
Email: yawkyawkyawk@cock.li
ragnar0k@tutanote.com



Обновление от 15 октября 2020:
Версия: 4.1 (подробнее)
Расширение: .thor
Записка: !!Read_me_How_To_Recover_My_Files.html
Извлекаемый файл: cry_demo.dll
➤ Новый список кодов языков, которые будут пропускаться шифровальщиком:
0419-1049 ru-RU Русский (Россия)
0804-2052 zh-CN Китайский (КНР)
0480-1152 ug-CN Уйгурский - Китай
0478-1144 ii-CN Yi - Китай
0451-1105 bo-CN Тибетский - Китай
040a-1034 es Испанский (традиционная сортировка)
042b-1067 hy-AM Армянский (Армения)
042c-1068 az-Latn-AZ Азербайджанский (латиница, Азербайджан)
082c-2092 az-Cyrl-AZ Азербайджанский (кириллица, Азербайджан)
0423-1059 be-BY Белорусский (Беларусь)
0819-2073 ru-MO Русский (Молдова)
043f-1087 kk-KZ Казахский (Казахстан)
0440-1088 ky-KG Киргизский (Киргизия)
0428-1064 tg-Cyrl-TJ Таджикский (кириллица) - Таджикистан
0443-1091 uz-Latn-UZ Узбекский (латиница, Узбекистан)
0442-1090 tk-TM Туркменский - Туркмения
0422-1058 uk-UA Украинский (Украина)
040d-1037 he-IL Иврит (Израиль)


Вариант от 26 июля 2021:
Расширение: .hela
Записка: !!Read_Me.*****.html
Email: christian1986@tutanota.com, melling@confidential.tips


Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.32596
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Kryptik.HGSY
Microsoft -> Ransom:Win32/Ragnarok.PC!MTB
TrendMicro -> Ransom.Win32.RAGNAR.SMTH


Сообщение от 26 августа 2021: 
Ragnarok закрылись и выпустили универсальный мастер-ключ. 
Майкл Гиллеспи совместно с Emsisoft выпустили дешифровщик для расшифровки файлов. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tw + Tw 
 ID Ransomware (ID as Ragnarok)
 Write-up, Topic of Support
 * 
Added later:
Write-up by BleepingComputer (on January 28, 2020)
Vitali Kremez about Version 4.1 (on October 15, 2020)
Внимание! 
Для зашифрованных файлов есть дешифровщик. 
Скачайте Kaspersky RakhniDecryptor для расшифровки >>
Скачайте Emsisoft Decryptor для расшифровки >>
 Thanks: 
 Karsten Hahn, MalwareHunterTeam, Vitali Kremez
 Andrew Ivanov (article author), 
 Emsisoft, Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *