Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 12 января 2020 г.

DVPN, DreamVPN

DVPN Ransomware

DreamVPN Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель подгружается через скрытые в программном обеспечении прокси-сети и шифрует данные пользователей с помощью XOP, а затем требует написать на email, как вернуть файлы. Оригинальное название неизвестно, но мы используем аббревиатуру DVPN для удобства, чтобы не забывать с чем этот вымогатель распространяется. На файле написано: dvpn.exe, но большинством антивирусов он детектируется как чистый файл.

Обнаружения:
DrWeb -> clean!
BitDefender -> clean!
Qihoo-360 -> Trojan.Generic
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 


© Генеалогия: ранние разработки >> DVPN


DVPN DreamVPN Ransomware logo
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: -(已锁定)
Оригинальный файл будет удален сразу после шифрования. 

Это аналогично в английском: -(locked)
Это аналогично в русском: -(заблокирован)

Пример зашифрованного файла:
desktop.ini-(已锁定)


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину января - начало февраля 2020 г. Ориентирован на китайскоязычных пользователей и посетителей китайских сайтов. 

Записка с требованием выкупа называется по шаблону: 
<original_filename>(文件锁定说明).txt

При этом в названии записки остается только название файла, без его расширения. 

Примеры: 
my_documentы(文件锁定说明).txt
desktop(文件锁定说明).txt



Пример записки и содержимое папки с зашифрованными файлами и записками к каждому из них. 

Перевод для (文件锁定说明).txt = (Описание блокировки файла).txt
DreamVPN Ransomware

Содержание записки о выкупе:
用户标识: q61+XXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXXXXXXX
--------------------------------------------------------
尊敬的用户您好,您的所有重要数据均已成功锁定。
若您对文件安全有任何疑问,请通过电子邮件联系解锁服务专员。
联系邮箱:jiesuofuwu@gmail.com
提示:由于该邮箱采用自动回复,且回复的文字都相同,回复的邮件容易被收件方的邮箱服务器误判为垃圾邮件,若用户在2小时内未在邮件客户端的“收件箱”内收到回复的邮件,请在“垃圾箱/垃圾邮件”中查找。
需要强调的是:
1)切勿修改文件后缀名“-(已锁定)”:在文件解锁时,文件解锁程序依靠特征文件名“-(已锁定)”识别被锁定的文件,然后对已锁定的文件进行解锁。若某文件名带有“-(已锁定)”这串字符,说明该文件已经被锁定了。若您擅自修改文件名,删除了这串字符串,该文件将不会经过解锁处理流程。最终后果是:在文件解锁流程全部完成之后,该文件仍然处于被锁定的状态。
2)切勿对锁定后的文件再次进行编辑/修改:文件的识别特征值与锁定前的原文件存在着一一对应的关系。对锁定后的文件再次进行编辑/修改将导致文件的识别特征值的改变。最终后果是:经过解锁流程处理后,该文件被恢复成了错误的文件。
3)切勿修改“(文件锁定说明)”中的用户标识码:用户标识码是还原你被锁定文件的唯一密钥,文件解锁程序根据锁定后的文件的数据与该唯一密钥计算出原文件的数据。对“用户标识”的修改将导致该唯一密钥的改变。最终后果是:经过解锁流程处理后,该文件被恢复成了错误的文件。
4)切勿使用任何第三方工具或自作聪明对文件进行解锁操作。因用户未使用我们的工具而造成文件的损坏/不可恢复,我们一概不负任何责任!


Перевод записки на русский язык:
ID Пользователя: q61+XXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXXXXXXX
--------------------------------------------------------
Уважаемый пользователь, все ваши важные данные успешно заблокированы.
Если у вас есть какие-то вопросы о безопасности ваших файлов, пожалуйста, свяжитесь со специалистом службы разблокировки по email.
Контактный email-адрес: jiesuofuwu@gmail.com
Совет: если в почтовом ящике используются автоматические ответы, то ответное сообщение может быть легко ошибочно помечено как спам email-сервером получателя. Если пользователь не получит ответ в «Входящие» почтового клиента через 2 часа, когда вам ответят, то загляните в Корзину / Спам.
То, что нужно подчеркнуть, это:
1) Не изменяйте расширение файла "-(locked)": когда нужно разблокировать файл, программа разблокировки файлов использует характерное имя файла "-(locked)" для идентификации заблокированного файла, а затем разблокирует заблокированный файл. Если имя файла содержит строку "-(locked)", это означает, что файл заблокирован. Если вы измените имя файла без разрешения и удалите эту строку, файл не пройдет процесс разблокировки. Конечным результатом будет то, что после завершения процесса разблокировки файл останется заблокирован.
2) Не редактируйте / не изменяйте заблокированный файл: существует однозначное соответствие между характеристиками распознавания файла и исходного файла до блокировки. Повторное редактирование / изменение заблокированного файла приведет к изменению характеристик распознавания файла. Конечный результат: после процесса разблокировки файл восстанавливается в неправильный файл.
3) Не изменяйте идентификационный код пользователя в "(Описание заблокированного файла)": идентификационный код пользователя является уникальным ключом для восстановления заблокированного файла. Программа разблокировки файла считывает оригинал на основе данных заблокированного файла и уникального ключа. Данные файла. Изменение "ID пользователя" приведет к изменению уникального ключа. Конечный результат: после процесса разблокировки файл восстанавливается в неправильный файл.
4) Не используйте никакие сторонние инструменты и не используйте свои собственные умные устройства для разблокировки файлов. Мы не несем никакой ответственности за повреждения / невосстановимые файлы, вызванные тем, что пользователи не используют наши инструменты!


360.cn сообщает об официальном "ускорителе" и "ускорителе" с неофициальных пиратских сайтов, который модифицирован так, чтобы подгружать программу-вымогатель с функционалом шифровальщика. 
Скриншоты сайта DVPN, предлагающего загрузить и использовать некий  "ускоритель" для китайских пользователей Интернета. 
DreamVPN site 
Между этими скриншотами с сайта dvpn.xyz есть небольшое различие, видимо, мы случайно зафиксировали некое изменение. 
 
Содержимое первой страницы, если прокрутить её ниже. 

Содержимое скачиваемого архива и внутренней папки 使用说明及教程 (Инструкции и учебники):
dvpn.zip .exe
使用说明及教程

Инструкция из TXT-файла из папки 使用说明及教程
Инструкция из PDF-файла из папки 使用说明及教程

Содержание верхней части инструкции:
dvpn使用说明
1、dvpn是一款绿色翻墙代理上网软件,经过极致精简优化,运行所需内存极小,无毒、无广告、无需安装,解压即可使用。
2、由于本软件翻墙代理设置会自动修改IE连接设置,而“360安全卫士 ”和“腾讯电脑管家 ”对dvpn存在误拦截、误报毒现象(其他杀毒软件无误拦截、误报毒现象,如:360自家的“360杀毒 ”、“金山毒霸 ”、“火绒安全 ”、“卡巴斯基 ”等除前2者之外的任何安全软件),导致本软件翻墙代理设置失败如下图所示:
***
所以,在使用本软件前,请先退出“360安全卫士 ”和“腾讯电脑管家 ”软件。
3、本软件的唯一官网是www.dvpn.xyz,其他网站均为仿冒,如有更新,请大家在官网上重新下载本软件。
***

Перевод верхней части инструкции:
dvpn инструкция 
1. dvpn - это зеленое интернет-прокси-приложение, оптимизированное для Интернета, требующее минимального объема памяти для работы, невирусное, без рекламы, без установки и может использоваться после распаковки.
2. Настройки прокси-сервера ПО автоматически изменяют параметры подключения IE, а "360 Security Guard" и "Tencent Computer Manager" могут ошибочно блокировать dvpn и выдавать ложные сообщения опасности (также 360 антивирус, Kaspersky и другие ), что приводит к сбою настроек прокси-сервераКак показано ниже:
***
Поэтому перед использованием этого ПО, пожалуйста, закройте программы "360 Security Guard" и "Tencent Computer Manager".
3. Единственным официальным веб-сайтом этого ПО является www.dvpn.xyz. Другие веб-сайты являются поддельными. Если есть какое-либо обновление, пожалуйста, загрузите программу с официального веб-сайта еще раз.
***

---
Сайты, зарегистрированные для тех же целей:
 


Технические детали

Программа-вымогатель распространяется не напрямую через исполняемый файл, а через скрытые в программном обеспечении прокси-сети. Перед тем, как начать шифрование выполняет шифрование, программа-вымогатель автоматически проверит наличие в системе защитного программного обеспечения. После обнаружения установленного антивирусного ПО 360 Security или другого защитного ПО, будет использоваться конфликт программ в качестве причины, побуждающей пользователя отключить функцию защиты программного обеспечения, чтобы потом обойти защиту. Примерный перевод выглядит так: "Не удалось настроить файл авторизации из-за перехвата программы защитным ПО ***! Пожалуйста, измените настройки защитного ПО *** или закройте защитное ПО ***, а затем подождите 2 минуты, прежде чем снова запустить программу!" 

После запуска DVPN-шифровальщик проводит проверку, нужно ли выполнять шифрование, подключаясь к облачной базе данных. Если подключение прошло успешно, вымогатель запрашивает зашифрованное сообщение текстовой подсказки через SQL, а затем генерировать идентификатор жертвы на основе MAC-адреса шифрования AES.

После модификации вполне может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Шифровальщик пропускает следующие директории и файлы:
Windows
Program files
360
Q-tube (Q管等目录)
файлы с расширениями: .ini, .dll, .exe, .sys, .lnk, .tmp и некоторые другие
заблокированные файлы с расширением -(已锁定)

Файлы, связанные с этим Ransomware:
dvpn.exe
dstatus.ini
dvpn.dll
dvpn64.dll
pac.txt
***(文件锁定说明).txt - название файла записки с текстом на китайском языке
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jiesuofuwu@gmail.com
Email dvpn: dvpnxyz@gmail.com
URL malware: xxxx://download.dvpn.xyz/dvpn.zip
URLs related: xxxx://dvpn.xyz
xxxx://www.dvpn.xyz
xxxx://jiesuo.me
xxxx://www.jiesuo.me
xxxx://bangwojiemi.space
xxxx://help.bangwojiemi.space
xxxx://www.bangwojiemi.space
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 18 февраля 2020:
Расширение: -(已锁定)
Пример записки к файлу "1": 1班分组情况(文件锁定说明).txt
Email: jiesuofuwu@gmail.com
Новый формат ID: 06DD6A5EXXX33F77-182BF80ADAE02XXX-7C8E5CXXX5926F42-10885ACFE1DAEXXX





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать 360 Ransomware Decryption Tools и расшифровать файлы >>
Прочтите подробную инструкцию перед запуском. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DVPN)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jirehlov, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

5ss5c

5ss5c Ransomware

5ss5cCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название указано в коде: 5ss5c. На файле написано: cpt.exe, mmkt.exe и прочее.

Обнаружения:
DrWeb -> Trojan.DownLoader32.46970
BitDefender -> Gen:Trojan.Downloader.fmqaa08eR0ii
McAfee -> RDN/Generic Downloader.x
Rising -> Dropper.Generic!8.35E (CLOUD)
TrendMicro -> TROJ_GEN.R002C0DAE20
Symantec -> Downloader
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 


© Генеалогия: Satan (Satan RaaS) >> DBGer > 5ss5c


Изображение — логотип статьи


К зашифрованным файлам добавляется расширение: .5ss5c

Название зашифрованного файла модифицируется. 
Примеры зашифрованных файлов:
_[5ss5c@mail.ru]27946.FE7UMK4S8NHJOYNPBFOHENPPGSXA7UFU8Y891WMZ.5ss5c
_[5ss5c@mail.ru]toc.FE7UMK4S8NHJOYNPBFOHENPPGSXA7UFU8Y891WMZ.5ss5c
_[5ss5c@mail.ru]data_0.URKM837X06H8HMWOT7YH9TGBOWD20HQ6IHHH8FQB.5ss5c

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на китайских и китайскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _如何解密我的文件_.txt

Содержание записки о выкупе:
部分文件已经被加密
如果你想找回加密文件,发送 (1) 个比特币到我的钱包
从加密开始48小时之内没有完成支付,解密的金额会发生翻倍.
如果有其他问题,可以通过邮件联系我
您的解密凭证是 : 
***
Email:[5ss5c@mail.ru]

Перевод записки на русский язык:
Некоторые файлы зашифрованы
Если вы хотите получить зашифрованный файл, отправьте (1) биткойн на мой кошелек
Если платеж не будет завершен за 48 часов с начала шифрования, сумма расшифровки удвоится.
Если у вас есть другие вопросы, вы можете связаться со мной по электронной почте
Ваши данные для расшифровки:
***
Email:[5ss5c@mail.ru]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск.


Список файловых расширений, подвергающихся шифрованию:
Шифрует только сжатые файлы. 
Среди них могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
down.txt.exe, cpt.exe, mmkt.exe, poc.exe, blue.exe, c.exe
_如何解密我的文件_.txt
<ransom_note>.txt - название текстового файла
<random>.exe - случайное название вредоносного файла
5ss5c_token

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\blue.exe
и другие

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы: 
5ss5c_CRYPT
SSSS_Scan

Сетевые подключения и связи:
Email: 5ss5c@mail.ru
BTC:
URL: xxxx://58.221.158.90:88/car/c.dat
xxxx://58.221.158.90:88/car/cpt.dat
xxxx://58.221.158.90:88/car/down.txt
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 26 января 2020:
Пост в Твиттере >>
Расширение: .5ss5c




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as 5ss5c)
 Write-up, Topic of Support
 * 
 Thanks: 
 jishuzhain, James, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 10 января 2020 г.

BlueCheeser

BlueCheeser Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $400 в BTC на биткоин-кошелек, чтобы вернуть файлы. Не оставляет контакта для связи. Оригинальное название: BlueCheeser (1.0.0.0). На файле написано: BlueCheeser.exe

Обнаружения:
DrWeb -> Trojan.Encoder.30952
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> MSIL/Filecoder.WW
TrendMicro -> Ransom_Gen.R011C0WAC20
Symantec -> Ransom.Wannacry, ML.Attribute.HighConfidence
---

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .himr


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в январе и начале февраля 2020 г. Дата компиляции исполняемого файла: 18 ноября 2019. Дата первой загрузки на VT: 10 января. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instructions.txt




Содержание записки о выкупе:
Looks like all your desktop files have been encrypted!
To decrypt, send $400 to the bitcoin wallet: 43IU64UGG645G37I670IITYYR5093U55KJ5HE
RIP Your personal files if you dont pay...

Перевод записки на русский язык:
Похоже, все ваши файлы десктопа зашифрованы!
Для декрипта отправьте $400 на биткойн-кошелек: 43IU64UGG645G37I670IITYYR5093U55KJ5HE
RIP Ваши личные файлы, если не платите...



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 


➤ Не оставляет контакта для связи. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlueCheeser.exe - исполняемый файл
Instructions.txt - название текстового файла
<random>.exe - случайное название вредоносного файла
BlueCheeser.pdb - оригинальное название проекта


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Y:\2. Development Projects\Archive\Ransomware\BlueCheeser\BlueCheeser\obj\Debug\BlueCheeser.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 43IU64UGG645G37I670IITYYR5093U55KJ5HE
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

RSA ключ: 
<RSAKeyValue><Modulus>+FbKt4X+hzNIZpbIA8QRToq07uYBIz274zLz6Bo7QUiG45pJc79UWD2rTBx+hdeNUJ5DYaKYYLszikBn0CozK7IWB3pJxI91hgtXtqOVqnXx3n+8QnmTi1oEld0kMCG/1M+8SKoeI1mvqessfbTXXW5TabFn9hJVhVJ/Elz4Dl8QCEfE0wOOd3ZN/CPe0Q/c7cPfoof955MRQDf9scjVorQ0vYGelZqdAMw/kIAt0CWdFiExXNbvOcT5yARbKEMmExeJuge9b0b5hRasJbT1U+F2DgvdJTY7jbChAP6MRYlXR9tZFTxJCh0O0l/IiRTe6aLYQUITMDbu7/35ACBfHQ==</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Raby
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Afrodita

Afrodita Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA, а затем требует связаться с вымогателями через аккаунт в Telegram, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Afrodita. На файле написано: нет данных. Использует библиотеку Crypto++. Разработчик: Afrodita Team. 

Обнаружения:
DrWeb -> Trojan.Encoder.30535
BitDefender -> Gen:Variant.Graftor.415704
Symantec -> Downloader, ML.Attribute.HighConfidence
ESET-NOD32 -> A Variant Of Win32/Filecoder.Afrodita.C, VBA/TrojanDownloader.Agent.BNC, A Variant Of Win32/Filecoder.Afrodita.D
Microsoft -> Trojan:Win32/Wacatac.B!ml
VBA32 -> BScope.Trojan.Casur
Rising -> Ransom.Encoder!8.FFD4 (CLOUD), Heur.Macro.Downloader.f (CLASSIC)
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: LockerGoga >> Afrodita
Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Сообщается, что в конце 2019 года уже была некоторая активность. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __README_RECOVERY_.txt

Содержание записки о выкупе:
~~~ Greetings ~~~
[+] What has happened? [+]
Your files are encrypted, and currently unavailable. You are free to check.
Every file is recoverable by following our instructions below.
Encryption algorithms used: AES256(CBC) + RSA2048 (military/government grade).
[+] Guarantees? [+]
This is our daily job. We are not here to lie to you - as you are 1 of 10000's.
Our only interest is in us getting payed and you getting your files back.
If we were not able to decrypt the data, other people in same situation as you
wouldn't trust us and that would be bad for our buissness --
So it's not in our interest.
To prove our ability to decrypt your data you have 1 file free decryption.
If you don't want to pay the fee for bringing files back that's okey,
but remeber that you will lose a lot of time - and time is money.
Don't waste your time and money trying to recover files using some file
recovery "experts", we have your private key - only we can get the files back.
With our service you can go back to original state in less then 30 minutes.
[+] Service [+]
If you decided to use our service please follow instructions below.
Contact us:
Install Telegram(available for Windows,Android,iOS) and contact us on chat:
Telegram contact: xxxxs://t.me/RecoverySupport
Also available at email afroditateam@tutanota.com cc: afroditasupport@mail2tor.com
Make sure you are talking with us and not impostor by requiring free 1 file decryption to make sure we CAN decrypt!!
������������������������������������������������������������������

Перевод записки на русский язык:
~~~ Привет ~~~
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить.
Каждый файл можно восстановить, следуя нашим инструкциям ниже.
Используемые алгоритмы шифрования: AES256 (CBC) + RSA2048 (военный/правительственный уровень).
[+] Гарантии? [+]
Это наша ежедневная работа. Мы здесь не для того, чтобы лгать вам - вы 1 из 10000-х.
Наш единственный интерес в том, чтобы нам платили, а вы возвращали свои файлы.
Если бы мы не смогли расшифровать данные, другие люди, находящиеся в такой же ситуации, как вы, не доверяли бы нам, и это было бы плохо для нашего бизнеса -
Так что это не в наших интересах.
Чтобы доказать нашу способность расшифровать ваши данные, у вас есть 1 файл бесплатной расшифровки.
Если вы не хотите платить за возврат файлов, это нормально,
но помните, что вы потеряете много времени - а время это деньги.
Не тратьте свое время и деньги, пытаясь восстановить файлы с помощью "экспертов" по ??восстановлению файлов, у нас есть ваш закрытый ключ - только мы можем получить файлы обратно.
С нашим сервисом вы можете вернуться к исходному состоянию менее чем за 30 минут.
[+] Сервис [+]
Если вы решили воспользоваться нашим сервисом, пожалуйста, следуйте инструкциям ниже.
Связаться с нами:
Установите Telegram (доступно для Windows, Android, iOS) и свяжитесь с нами в чате:
Контакт телеграммы: xxxxs://t.me/RecoverySupport
Также доступно по email afroditateam@tutanota.com cc: afroditasupport@mail2tor.com
Убедитесь, что вы разговариваете с нами, а не c самозванцем, требуя бесплатную расшифровку одного файла, чтобы убедиться, что мы МОЖЕМ расшифровать!
***


---
После основного текста имеются символы в кодировке UCS-2 Little Endian. Если открыть записку в программе Notepad++ и конвертировать в UTF-8, то можно увидеть эту белиберду. 

Вот как это будет выглядеть после "танцев с бубном", т.е. с Notepad++. 


 



Технические детали

Распространяется с помощью email-спама и вредоносных вложений. Ранние сообщения о вредоносных вложениях были их Хорватии, см. скриншоты писем на хорватском языке. 


 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3DS, .3FR, .3PR, .AB4, .AC2, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACR, .ADB, .AGD1, .AIT, .APJ, .APK, .ARCH00, .ARW, .ASM, .ASP, .ASSET, .AVI, .AWG, .BACKUP, .BACKUPDB, .BAK, .BAR, .BAY, .BC6, .BC7, .BDB, .BGT, .BIG, .BIK, .BKF, .BKP, .BLEND , .BLOB, .BMP, .BPW, .BSA, .CAS, .CDF, .CDR, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CDX, .CE1, .CE2, .CER, .CFP, .CFR, .CGM, .CIB, .CLASS , .CLS, .CMT, .CPI, .CPP, .CR2, .CRAW, .CRT, .CRW, .CSH, .CSL, .CSS, .CSV, .D3DBSP, .DAC, .DAS, .DAT, .DAZIP , .DB0, .DB3, .DBA, .DBF, .DB-JOURNAL, .DC2, .DCR, .DCS, .DDD, .DDOC, .DDRW, .DER, .DESC, .DESIGN, .DGC, .DJVU, .DMP, .DNG, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DRF, .DRW, .DWG, .DXB, .DXF, .DXG, .EPK, .EPS, .ERBSQL, .ERF, .ESM, .EXF, .EXIF, .FDB, .FFD, .FFF, .FHD, .FLV, .FORGE , .FOS, .FPK, .FPX, .FSH, .FXG, .GDB, .GHO, .GIF, .GRAY, .GREY, .GRY, .HBK, .HKDB, .HKX, .HPLG, .HPP, .HTM, .HTML, .HVPL, .IBANK , .IBD, .IBZ, .ICXS, .IDX, .IIQ, .INCPAS, .INDD, .ITDB, .ITL, .ITM, .IWD, .IWI, .JAVA, .JFIF, .JPE, .JPEG, .JPG, .KC2, .KDB, .KDBX, .KDC, .KPDX, .LAYOUT, .LBF, .LITEMOD, .LRF, .LTX, .LUA, .LVL, .M3U, .M4A, .MAP, .MCMETA, .MDB, .MDBACKUP, .MDC, .MDDATA, .MDF, .MEF, .MENU, .MFW, .MKV, .MLX, .MMW, .MONEYWELL , .MOS, .MOV, .MP3, .MP4, .MPG, .MPQGE , .MRW, .MRWREF, .MSG, .MYD, .NCF, .NDD, .NEF, .NOP, .NRW, .NS2, .NS3, .NS4, .NSD, .NSF, .NSG, .NSH, .NTL, .NWB, .NX1, .NX2, .NYF, .ODB, .ODC, .ODF, .ODG, .ODM, .ODP, .ODS, .ODT, .ORF, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .PAK, .PAT, .PCD, .PDD, .PDF, .PEF, .PEM, .PFX, .PHP, .PKPASS, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PSAFE3, .PSD, .PSK, .PST, .PTX, .QDF, .QIC, .R3D, .RA2, .RAF, .RAR, .RAW, .RDB, .RE4, .RGSS3A, .RIM, .ROFL, .RTF, .RW2, .RWL, .RWZ, .S3DB, .SAS7BDAT, .SAV, .SD0, .SD1, .SDA, .SDF, .SID, .SIDD, .SIDN, .SIE, .SIS, .SLDM, .SLDX, .SLM, .SLN, .SNX, .SQL, .SQLITE, .SQLITE3, .SQLITEDB, .SR2, .SRF, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .STC, .STD, .STI, .STW, .STX, .SUM, .SVG, .SXC, .SXD, .SXG, .SXI, .SXM, .SXW, .SYNCDB, .T12, .T13, .TAX, .TOR, .TXT, .UPK, .VCF, .VDF, .VFS0, .VPK, .VPP_PC, .VTF, .W3X, .WALLET, .WB2, .WMA, .WMO, .WMV, .WOTREPLAY , .WPD, .WPS, .X3F, .XLA, .XLAM, .XLK, .XLL, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XXX, .YCBCRA, .ZIP, .ZTMP (360 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Перезаписывается заголовок зашифрованного файла неким кодом.

Пропускаются системные и программные директории:
Windows
Program Files
Program Files (x86)
ProgramData
AppData
All Users
и другие

Файлы, связанные с этим Ransomware:
__README_RECOVERY_.txt
notnice.jpg {DLL/EXE}
<random>.exe - случайное название вредоносного файла
Afrodita.dll
client-encrypted-private.key
client-public.key
main-public.key
_uninsep.bat
Ponuda-2020-0231.xlsm - email-вложение на хорватском языке

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
F:\Work\x_Projects\Afrodita - VS2019\Afrodita\cryptopp\rijndael_simd.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 
835821AM3218SAZ

Сетевые подключения и связи:
Email: afroditateam@tutanota.com, afroditasupport@mail2tor.com
Telegram: @RecoverySupport
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
☣️ VX Vault samples >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >> 
Ⓥ VirusBay samples >>
MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 18 февраля 2020:
Пост в Твиттере >>
Расширение: - 
Записка: READM3_AFR0DITA_REC0VERY.txt
Telegram: xxxxs://t.me/Recoverysupport
Email afroditateam@tutanota.com, afroditateam@firemail.cc
Результаты анализов (Afrodita.dll): VT + IA





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tw + Tw + Tw + myTweet
 ID Ransomware (ID as Afrodita)
 Write-up, Topic of Support
 Thanks: 
 James, KorbenD, S!Ri, GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *