Если вы не видите здесь изображений, то используйте VPN.

вторник, 30 июня 2020 г.

Rabbit, RabbitWare

Rabbit Ransomware

Aliases: RabbitWare, Taiwan Rabbit

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0400 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: รูปภาพที่ต้องลบ.exe. Написан на языке Python. 

Обнаружения:
DrWeb -> Python.Encoder.16, Python.Encoder.17
BitDefender -> Trojan.GenericKD.43446763
ALYac -> Trojan.Ransom.Python
Avira (no cloud) -> TR/Ransom.qhubx
ESET-NOD32 -> Python/Filecoder.CL
Kaspersky -> Trojan-Spy.Win32.Stealer.syk
Malwarebytes -> Ransom.FileLocker.Python
Microsoft -> Trojan:Win32/Ymacco.AA12
Rising -> Trojan.Generic@ML.89 (RDML:*)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.RABBIT.THGOABO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: предыдущие Python ransomware Ⓟ >> Rabbit Ransomware (RabbitWare)
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .RABBIT


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден к конце июня 2020 г. Штамп даты: 5 января 2020 г. Ориентирован на тайскоязычных и тайваньских пользователей, что не мешает распространять его по всему миру.

Записка с со ссылкой на онлайн-сообщение называется: อ่านวิธีแก้ไฟล์โดนล๊อค.txt

Он содержит краткий тест и изображение кролика:
How to fix .RABBIT lock read >>  https://pastebin.com/raw/K9DwMHWa

Сообщение по ссылке отражено на следующем скриншоте:
 
Первое открыто в Блокноте, а второе в браузере Google Chrome. 

При переходе по ссылке в браузере открывается следующее сообщение:


Rabbit Ransomware RabbitWare шифровальщик, шифратор

Содержание онлайн-записки с требованием выкупа:
                  ...                          
                  `.`   .-            ..`..       
                 -`      .`          -`   `.`     
                -         -         -`      -`    
               -         `.        -         :    
              .          :        ..         -    
              -         .`       `/         `.    
             -          -        +`         -     
             -         :`        /        `-      
             -        --        -`       `-       
            -`       `/```````  :       ..        
            : `---..`-.`````````.....  -.         
           ./-`                     `-:.          
         -:`      .`-`      . `       -.          
        :`         -`.     `.-`-       -          
       -`          o        +`         `-         
      .-          :+       :/          `/         
      :           .   ``   :           :-         
      :            `  +o-              s`         
      -`           /`:o:  :`           :          
       .`           +:-o..`          `-`          
        `..          --`           .-`            
           ..`.`           ````.---`              
               `..`.....``..``.                   
                                              
สวัสดีค่ะ,
เครื่องของคุณโดนไวรัสกระต่ายน้อย Rabbit Ransomware!
ระหว่างที่คุณกำลังอ่านข้อความนี้อยู่ RabbitWare ของเราได้ทำการเข้ารหัสไฟล์ในเครื่องของคุณอย่างแน่นหนา
ด้วย algorithm AES-256 ซึ่งคุณจำเป็นต้องใช้ Key ที่ตรงกับ algorithm ข้างต้นในการถอดรหัสไฟล์
เราได้เก็บ Key เฉพาะเครื่องของคุณและเครื่องอื่นๆที่ถูก RabbitWare ของเราเอาไว้แล้ว 
ซึ่งแต่ละเครื่อง Key จะไม่เหมือนกัน และจะไม่สามารถหาทางแก้เองได้ค่ะ
ในการขอ Key ปลดล๊อคไฟล์ คุณต้องโอนเป็นจำนวน 0.0400 btc (เทียบเท่า 8,000 บาท) เป็น Bitcoin มาตามที่อยู่ด้านล่าง
1A3gVjAwot4PHXXEy22LpfsEhTYMSW5hQ1
หากคุณไม่แน่ใจว่าเราสามารถกู้ไฟล์ได้จริงมั้ย ? สามารถส่ง 1 ไฟล์ (ซึ่งต้องไม่ใช่ไฟล์สำคัญ) มาที่ email ด้านล่าง เราจะถอดรหัสไฟล์ให้ฟรี 1 ไฟล์ค่ะ
เมื่อส่ง Bitcoin ตามจำนวนที่ว่าแล้วให้ติดต่อขอรับ Key ปลดล๊อคไฟล์ได้ที่เมลนี้เลย
contact / ติดต่อ ส่งอีเมล์มาที่ : unlock_rabbit@pm.me 
สามารถหาซื้อ Bitcoin ได้ที่
http://coins.co.th/
https://www.bitkub.com/
https://paxful.com/th
https://localbitcoins.com/

Перевод онлайн-записки на русский язык:
Привет,
Ваше устройство заражено Rabbit Ransomware!
Пока вы читаете это, наш RabbitWare надежно зашифровал файлы на вашем устройстве.
С алгоритмом AES-256 вам нужно использовать ключ, который соответствует приведенному выше алгоритму, для дешифрования файла.
Мы сохранили ключ для вашего устройства и других устройств, которые уже использовались нашим RabbitWare.
Ключ для каждого компьютера отличается и вы не сможете найти решение самостоятельно
Чтобы запросить ключ для разблокировки файла, вам нужно перевести биткойны в размере 0,0400 бит (эквивалент 8000 бат), как показано ниже.
1A3gVjAwot4PHXXEy22LpfsEhTYMSW5hQ1
Если вы не уверены, сможем ли мы действительно восстановить файл, верно? Вы можете отправить 1 файл (который не является важным файлом) по email ниже. Мы расшифруем 1 файл бесплатно.
При отправке биткойнов, как указано выше, свяжитесь с нами, чтобы получить ключ для разблокировки файла на это письмо.
контакт / email: unlock_rabbit@pm.me
Вы можете купить биткойн на
http://coins.co.th/
https://www.bitkub.com/
https://paxful.com/th
https://localbitcoins.com/

Для сравнения перевод с тайского на английский:




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
อ่านวิธีแก้ไฟล์โดนล๊อค.txt - название файла с требованием выкупа
รูปภาพที่ต้องลบ.exe - исполняемый файл
<random>.exe - случайное название вредоносного файла
 Rabbit Ransomware RabbitWare шифровальщик, шифратор

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
*\random\_bit_generator.cp38-win32.pyd
*\Hash\_ghash_portable.cp38-win32.pyd
C:\Users\User\AppData\Local\Temp\รูปภาพที่ต้องลบ.exe
C:\Users\User\AppData\Local\Temp\_MEI1122\Crypto\Cipher\_Salsa20.cp38-win32.pyd
C:\Users\User\AppData\Local\Temp\_MEI1122\Crypto\Cipher\_chacha20.cp38-win32.pyd

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\BFE_Notify_Event_{999f0fb3-742c-4f11-a14c-95190e939e24}
Global\BFE_Notify_Event_{4b5dc46f-18bb-42d6-b9b5-d1236d7966f2}
См. ниже результаты анализов.

Сетевые подключения и связи:
URL с запиской: https://pastebin.com/raw/K9DwMHWa
xxxx://178.62.35.51/vendor/facebook/graph-sdk/src/rabbit/img/img.php
xxxx://178.62.35.51/vendor/facebook/graph-sdk/src/rabbit/post.php
Email: unlock_rabbit@pm.me
BTC: 1A3gVjAwot4PHXXEy22LpfsEhTYMSW5hQ1
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as RabbitWare)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 29 июня 2020 г.

LolKek

LolKek (test) Ransomware

(шифровальщик, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CRYPTO LOCKER. На файле написано: WinLocker.exe

Обнаружения:
DrWeb -> Trojan.Encoder.32057
BitDefender -> Gen:Variant.Razy.652974
Avira (no cloud) -> TR/FileCoder.zcrtn
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCP
Kaspersky -> Trojan-Ransom.Win32.Gen.xlt
Malwarebytes -> Ransom.LolKek
Microsoft -> Trojan:Win32/Ymacco.AABB
Qihoo-360 -> Win32/Trojan.Ransom.887
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Svrf
TrendMicro -> Ransom_Gen.R002C0WFN20
VBA32 -> TrojanRansom.Gen
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Adhubllka? > Lolkek (test) > BitRansomware


LolKek Ransomware шифровальщик, шифратор
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lolkek


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого варианта крипто-вымогателя пришлась на конец июня 2020 г. Штамп времени: 22 июня 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно, является неким промежуточным вариантом между Adhubllka и BitRansomware

Записка с требованием выкупа называется: LOLKEK.txt
Но в записке нет никаких требований выкупа. Похоже на то, что это недоработанный тестовый вариант. 

LolKek Ransomware шифровальщик, шифратор

Содержание записки о выкупе:
LOLSSTTTTTTKEK

Перевод записки на русский язык:
LOLSSTTTTTTKEK



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск.


Список файловых расширений, подвергающихся шифрованию:
Вероятно, шифрует все файлы, т.к. среди зашифрованных есть системные и загрузочные файлы. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WinLocker.exe
LOLKEK.txt - название файла с требованием выкупа
ZFxQrq7MxhhEM2V2.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая для описанного варианта.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CRYPTO LOCKER LolKek - июнь-июль 2020
myCRYPTO LOCKER (BitRansomware) - июль 2020
MCRYPTO LOCKER (BitRansomware) - август 2020
***что-то еще*** - сентябрь 2020
uCRYPTO LOCKER (BitRansomware) - октябрь 2020




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Июль 2020:
Несколько несущественных вариантов без текста выкупа 
Автор продолжает развлекаться и экспериментирует со словами. 


Другие варианты с июля-августа 2020:
Более новые варианты, которые идентифицируются в ID Ransomware под именем LolKek описаны в статье Bit Ransomware.

Эта статья закрыта! 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Lolkek)
 Write-up, Topic of Support
 * 
 Thanks: 
 xiaopao, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Try2Cry

Try2Cry Ransomware

Reha Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Rijndael, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Try2Cry. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.MulDrop13.2566, Trojan.Encoder.32073, Trojan.MulDrop13.2587,  Trojan.MulDrop13.2990
BitDefender -> Trojan.GenericKD.43399186, Gen:Variant.Razy.706822,  Gen:Variant.Ursu.923880, Trojan.GenericKD.34100058
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> BDS/Bladabindi.knzgs, TR/Drop.Agent.owbdf, TR/Ransom.yzetr
ESET-NOD32 -> MSIL/Filecoder.AAS, A Variant Of MSIL/TrojanDropper.Agent.AKH, A Variant Of MSIL/Filecoder.AAS
Malwarebytes -> Ransom.Try2Cry, Ransom.HiddenTear.MSIL
Rising -> Ransom.Agent!8.6B7 (CLOUD), Backdoor.Bladabindi!8.B1F (CLOUD), Trojan.Generic!8.C3 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom.MSIL.TRYTOCRY.AB, Ransom.MSIL.TRYTOCRY.THGOABO,  Ransom.MSIL.TRYTOCRY.THGOABP, Ransom.MSIL.TRYTOCRY.AA
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Stupid >> Try2Cry
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Try2Cry


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало/середину марта 2020 г. Ориентирован на англоязычных и арабоязычных пользователей, что не мешает распространять его по всему миру. Только у некоторых образцов вредоноса были арабские записки с требованием выкупа. 

Записка с требованием выкупа называется по названию зашифрованного файла: <original_filename>.txt





Содержание записки о выкупе:
#################################################
Your File:4e844619b945c400***
#################################################
Are FullY Encrypted,,
Dont Try To Change Name Or Format PC>>All data Will Lose..
Call Me Gomanje@Indea.info
Your Pass Key Is:CmT+Af_fAnb$4ev&+Hp***
#################################################
TrY2CrY

Перевод записки на русский язык:
#################################################
Ваш Файл:4e844619b945c400***
#################################################
Полностью зашифрован,
Не пытайтесь изменить имя или форматировать ПК >> Все данные будут потеряны.
Пиши мне на Gomanje@Indea.info
Ваш пароль-ключ:CmT+Af_fAnb$4ev&+Hp***
#################################################
TrY2CrY

В некоторых вариантах записка, созданная для каждого зашифрованного файла сопровождается эпатажным изображением с надписью REHA RANSOMWARE


---
Арабоязычный вариант отличается от англоязычного не только текстом. 

Содержание записки о выкупе в арабоязычном варианте (файл baseimagefam8.txt):

Перевод записки на русский язык:
Здравствуйте, все ваши данные для этого устройства были зашифрованы ransomware. Для восстановления файлов свяжитесь по email (info@russianvip.io), чтобы получить расшифровку. Не пытайтесь пробовать какую-либо программу или настроить устройство, вы не сможете восстановить файлы никогда, если честно. Вы можете отправить 3 файла размером 5 МБ и меньше на тот же email-адрес, и мы восстановим их для подтверждения возможности. Ваш проверочный номер - dd422a41dc10a74cce62ceff3b 7/19/2020 6:40:33 PM

---
Неким информатором выступает также изображение, найденное в ресурсах. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Для защиты от анализа в распространяемых образцах используется DNGuard. Исследователю удалось обнаружить незащищенные образцы, чтобы изучить этот шифровальщик.


➤ Добавляется в автозагрузку Windows: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\***.exe 
При этом может использовать названия файлов, которые есть в системе, например, explorer.exe

➤ Некоторые исследованные образцы содержат компонент с функционалом червя, чтобы распространяться с помощью съемных накопителей (флешек, внешних дисков и пр.). Например, этот вредоносный образец. Таким образом, файлы на инфицированной флешке будут скрыты, а вместо них будут наблюдаться только "ярлыки". 

 

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .pdf, .ppt, .pptx, .xls, .xlsx 
Это только некоторые документы MS Office, PDF, фотографии.

Исключение из шифрования:
ПК с именами DESKTOP-PQ6NSM4 и IK-PC2
Скорее всего, это названия компьютеров разработчиков вредоносной программы и/или тестеров, которые нужно было защитить

Подробнее о шифровании: 
ссылка на статью >>

Файлы, связанные с этим Ransomware:
EncryptFile.exe
Vhost.exe
Update.exe
presentation.pdf 
presentation.pdf.lnk
<original_filename>.txt - название файла с требованием выкупа
baseimagefam8.txt
4e844619b945c4008163b9cac550bfce_90059c37-1320-41a4-b58d-2b75a9850d2f.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\***.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\***.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\bd112fa6-b3cf-11ea-b783-5254004ec7ee
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: Try2Cry@Indea.info
Email-2: info@russianvip.io
Email-3: Gomanje@Indea.info
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG> TG> TG> TG>
Hybrid analysis >>  HA> HA> HA> HA> HA> HA> HA> HA> HA>
𝚺  VirusTotal analysis >>  VT> VT> VT> VT> VT> VT> VT> VT> VT> 
🐞 Intezer analysis >>  IA> IA> IA> IA> * * * IA>
ᕒ  ANY.RUN analysis >>  AR> AR> AR> AR> 
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Stupid)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn, BleepingComputer
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

OhNo-FakePDF

OhNo-FakePDF Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: file.exe

Обнаружения:
DrWeb -> Trojan.MulDrop13.3020
BitDefender -> Gen:Variant.Ursu.924999
ESET-NOD32 -> ***
Malwarebytes -> Trojan.FakePDF
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R03BC0WG120
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> OhNo-FakePDF
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random>

Примеры таких расширений:
.ajc25
.bft0pz99
.umbdv2zv

Зашифрованные файлы также переименовываются. Примеры таких файлов:
rIq1n216ygOIiwuF5-hByw==.ajc25
6wU8A4bbc1xvAEprEZo3MA==.umbdv2zv



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: <random>-readme.txt

Примеры таких записок:
ajc25-readme.txt
bft0pz99-readme.txt
umbdv2zv-readme.txt


Содержание записки о выкупе:
OH NO!
Your Files Have been Encrypted!!
All of your personal files have been encrypted with AES 256 and RSA 2048 ciphers
The only way to recover them is to send your Personal Installation ID to 59869420@tutanota.com
!ANY ATTEMPT AT DECRYPTION COULD CAUSE PERMANENT DAMAGE TO YOUR FILES!
Personal Installation ID
-----BEGIN INSTALLATION ID-----
dNvc/NOlYuk+Zm3r8lOf7uV8p6msGOsqi+8Vr4S5d2Zc2BxDmSwl683*** [total 684 characters]
-----END INSTALLATION ID-----
Extension: bft0pz99

Перевод записки на русский язык:
О НЕТ!
Ваши файлы зашифрованы !!
Все ваши личные файлы зашифрованы шифрами AES 256 и RSA 2048.
Единственный способ восстановить их - отправить свой Personal Installation ID на адрес 59869420@tutanota.com
! ЛЮБАЯ ПОПЫТКА ПРИ РАСШИФРОВКЕ МОЖЕТ ПРИВЕСТИ К ПОВРЕЖДЕНИЮ ВАШИХ ФАЙЛОВ!
Персональный идентификатор установки
-----BEGIN INSTALLATION ID-----
dNvc/NOlYuk+Zm3r8lOf7uV8p6msGOsqi+8Vr4S5d2Zc2BxDmSwl683*** [всего 684 знака]
-----END INSTALLATION ID-----
Расширение: bft0pz99



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>-readme.txt - название файла с требованием выкупа
file.exe - название вредоносного файла
 



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 59869420@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 xiaopao
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *