Если вы не видите здесь изображений, то используйте VPN.

четверг, 20 февраля 2020 г.

EncoderCSL

EncoderCSL Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: EncoderCSL. На файле написано: EncoderCSL.exe (Copyright © 2019).

Обнаружения:
DrWeb -> Trojan.Encoder.10598, Trojan.PackedNET.30
BitDefender -> Gen:Heur.Ransom.Imps.3, Trojan.GenericKD.33298767
ALYac -> Trojan.Ransom.HiddenTear
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJ
Malwarebytes -> Ransom.EncoderCSL
McAfee -> Ransomware-FTD!24299F2C9376
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan-dropper.Agent.Eade
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 


© Генеалогия: HiddenTear >> EncoderCSL


Изображение — логотип статьи (мини-копия экрана)

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ.txt или READ_IT.txt

Другим информатором жертвы выступает экран блокировки: 

Содержание записки о выкупе:
Your files has been safely encrypted
Please open READ_ ME file on your desktop for decryption
Don't try to decrypt files yourself! It can be damage your files forever!
User ID:  admin
Machine ID:  USER-PC

Перевод записки на русский язык:
Ваши файлы надежно зашифрованы
Откройте файл READ_ ME на рабочем столе для расшифровки
Не пробуйте сами расшифровать файлы! Это повредит ваши файлы!
User ID:  admin
Machine ID:  USER-PC



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
На момент написания статьи шифрует только файлы с расширениями .txt и .test
Но после доработки вполне может начать шифровать документы MS Office, OpenOffice, PDF, все текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
EncoderCSL.exe
READ.txt или READ_IT.txt - текстовый файл записки
tesing.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\Desktop\EncoderCSL.pdb
\Desktop\READ.txt
F:\projects\CSL Encoder\CSL Encoder\EncoderCSL\EncoderCSL\obj\Release\EncoderCSL.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: suporthermes@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 19 февраля 2020 г.

Hydra (Hidra)

Hydra Ransomware

Hydra Go Ransomware

Hydra 2020 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы заплатить за расшифровщик в # BTC и вернуть файлы. Оригинальное название: Hydra Ransomware. На файле написано: mafi.exe или что-то еще. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31197
ALYac -> Trojan.Ransom.HydraCrypt
Avira (no cloud) -> HEUR/AGEN.1131867
BitDefender -> Trojan.GenericKD.42830376
ESET-NOD32 -> A Variant Of Win32/Filecoder.OBA
Kaspersky -> Trojan-Ransom.Win32.Gen.wdk
Malwarebytes -> Ransom.Hydra.GO
Microsoft -> Trojan:Win32/Occamy.C00
Tencent -> Win32.Trojan.Gen.Lkdz
TrendMicro -> Ransom_Gen.R02CC0GE921
Symantec -> ML.Attribute.HighConfidence, Trojan Horse
---

© Генеалогия: Jigsaw (modified) > Hydra

Hydra Ransomware
Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется. Название файла не меняется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на сердину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __________WHY FILES NOT WORK__________.txt

Hydra Ransomware note

Содержание записки о выкупе:
Attention!
Your network has been compromised and all of your files has been encrytped by "Hydra Ransomware" team!
We used nextgen strong cryptography in order to encrypt your files.
The only way to restore your files is to buy decryptor!
* You must know the worst thing is happened now and you cannot hide our successful attack!
  Understand if payment is not made on time. All your company data will be permanently destroyed.
  Your backups has been fatal and it is just a waste of your precious time if going to try them!
* IF YOU UNDERSTAND THE SITUATION, FOLLOW THE RECOVERY INSTRUCTIONS BELOW
1. Copy your Network ID and send to our email.
   Network ID : DM5V6T5***
   Email      : crossroads2371@protonmail.ch
2. You will receive a amount and payment order.
3. We will send you decryptor with private key to recovery your files.
* You can ask for 1 free file decryption as proof of work in the first correspondence!
* Your time for save your files has limited to one week (from first impact) before we delete our temporary email address!
* Data manipulation cause permanent loss of files!

Перевод записки на русский язык:
Внимание!
Ваша сеть взломана, и все ваши файлы зашифрованы командой "Hydra Ransomware"!
Мы использовали сильную криптографию nextgen для шифрования ваших файлов.
Единственный способ восстановить ваши файлы - это купить расшифровщик!
* Вы должны знать, что сейчас случилось худшее, и вы не можете скрыть нашу успешную атаку!
  Поймите, если оплата не произведена вовремя. Все данные вашей компании будут навсегда уничтожены.
  Ваши бэкапы фатальны, и если вы попробуете их, это просто пустая трата вашего драгоценного времени!
* Если вы понимаете ситуацию, следуйте инструкциям по восстановлению ниже
1. Скопируйте свой ID сети и отправьте на наш email.
   ID сети: DM5V6T5 ***
   Email: crossroads2371@protonmail.ch
2. Вы получите сумму и платежное поручение.
3. Мы вышлем вам расшифровщик с закрытым ключом для восстановления ваших файлов.
* Вы можете запросить 1 бесплатную расшифровку файла как доказательство работы при первой переписке!
* Ваше время для сохранения ваших файлов ограничено одной неделей (от первого удара) до того, как мы удалим наш временный email-адрес!
* Манипулирование данными вызовет постоянную потерю файлов!



Технические детали

Распространяется как фальшивый Firefox на сайтах, распространяющих бесплатное ПО под видом Free-версий. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует утилиту SDelete для очистки освободившегося места.
 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Маркер зашифрованных файлов:
MZ HIDRA - с буквой I, хотя в записке Hydra написана с буквой Y.
MZ HIDRA

Файлы, связанные с этим Ransomware:
__________WHY FILES NOT WORK__________.txt
firefox.exe - фальшивый файл, замаскированный под браузер Mozilla Firefox
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crossroads2371@protonmail.ch
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis (UPX) >>
𝚺  VirusTotal analysis (UPX) >>
🐞 Intezer analysis (UPX) >>
ᕒ  ANY.RUN analysis (UPX) >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Hydra)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 18 февраля 2020 г.

Coom

Coom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.015 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файлах может быть написано: EmailExtractor, Super Email Validator, contract.scr.

Обнаружения:
DrWeb -> Trojan.Encoder.31056, Trojan.PWS.Siggen2.43833
BitDefender -> Trojan.GenericKD.42604037
Avira (no cloud) -> TR/NetWire.dtrpn
ESET-NOD32 -> A Variant Of MSIL/Packed.SmartAssembly.AY, A Variant Of MSIL/Kryptik.SXL
Kaspersky -> HEUR:Trojan.MSIL.NetWire.gen
Rising -> Trojan.NetWire!8.FAFE (CLOUD), Trojan.Kryptik!8.8 (CLOUD)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
TrendMicro -> TROJ_FRS.VSNTBI20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: EDA2 >> Coom


Coom Ransomware
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .coom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt
Coom Ransomware note

Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED
Your USERID is USER-PC
To unlock your files send 0.015 BTC (about $150 USD) to the following
bitcoin wallet address:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
Once you have sent the bitcoin, make note of your USERID above and the
transaction id of your bitcoin payment and go to http://192.30.89.67:11344/unlock.php
and you will be able to get your decryption key and the decryption tool.
If you are wondering how to purchase bitcoin easily, using paxful.com
with store bought gift cards is quick and easy, but there are many other ways
to buy bitcoin as well.

Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваш USERID - USER-PC
Чтобы разблокировать файлы, отправьте 0.015 BTC (около $150 USD) на следующий адрес кошелька биткойн:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
После того, как вы отправили биткойн, запишите свой USERID, указанный выше, и идентификатор транзакции вашего биткойн-платежа и перейдите по адресу http://192.30.89.67:11344/unlock.php
и вы сможете получить свой ключ дешифрования и инструмент дешифрования.
Если вам интересно, как легко купить биткойн, использовать paxful.com с подарочными картами, купленными в магазине, можно легко и быстро, но есть и много других способов купить биткойн.

---
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.
Coom Ransomware screen lock

Примеры таких рабочих столов на разных системах (зашифрованные файлы и записки).





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt - текстовый файл записки о выкупе
EmailExtractor.exe
Super Email Validator.exe
contract.scr
svhost.exe
<random>.exe - случайное название вредоносного файла
ransom.jpg - загруженный с сайта 192.30.89.67:11344/x/background.jpg 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
%HOMEPATH%\ransom.jpg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
HKEY_LOCAL_MACHINE\Software\eda2\eda2\2.1.0.0   %TEMP%\svhost.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: http://192.30.89.67:11344/x/createkeys.php
http://192.30.89.67:11344/x/background.jpg
http://192.30.89.67:11344/x/savekey.php
Email:
BTC: bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, S!Ri, Jirehlov
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

MuchLove

MuchLove Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать, как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: WinUpdt и WinUpdt.exe

Обнаружения:
DrWeb -> Trojan.EncoderNET.HiddenTear.1
BitDefender -> Gen:Heur.Ransom.Imps.3
Avira (no cloud) -> HEUR/AGEN.1044331
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Trojan.MalPack.NRU.Generic
McAfee -> RDN/Ransom
Rising -> Dropper.Generic!8.35E (TFE:*)
Tencent -> Win32.Trojan.Ransom.Lorr
TrendMicro -> Ransom_RAMSIL.SM
Symantec -> Ransom.HiddenTear!g1
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: EDA2 (modified) >> MuchLove
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Штамп даты 15 февраля 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
All your files have been encrypted with MILITARY GRADE encryption
No one besides US can recover your files, Contact us at uzuvnkyh@protonmail.com
After we will settle a price and you will pay you will get your files back.
Your unique code is *****KBPuUrft?zKB(zPO(u59fAZAh2)
Much Love

Перевод записки на русский язык:
Все ваши файлы  зашифрованы с шифрованием ВОЕННОГО УРОВНЯ
Никто, кроме НАС, не восстановит ваши файлы, пишите нам на uzuvnkyh@protonmail.com
После того, как мы определим цену, и вы заплатите, вы получите свои файлы обратно.
Ваш уникальный код *****KBPuUrft?zKB(zPO(u59fAZAh2)
Много любви



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ На основе EDA2 с небольшой модификацией. 


➤ Имеет особенность: если по какой-либо причине ему не удается отправить ключ на C&C-сервер, например, компьютер был выключен или сервер недоступен, то ключ потеряется навсегда и восстановить его будет невозможно. В таком случае уплата выкупа будет бесполезной.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt - название текстового файла
WinUpdt.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\WinUpdt.exe
C:\Users\User\AppData\Roaming\WinUpdt.exe

Записи реестра, связанные с этим Ransomware:
Ключ: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Имя: WinUpdt

Значение: "C:\Users\User\AppData\Roaming\WinUpdt.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: uzuvnkyh@protonmail.com
C&C: xxxxs://enxy2sgq5yv5.x.pipedream.net
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>  VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 2 марта 2020:
Пост в Твиттере >>
Скриншот изображения:






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 GrujaRS
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *