Panther Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 XMR, чтобы вернуть файлы. Оригинальное название: panther. На файле написано: ransom_subpe.exe
Обнаружения:
DrWeb -> Trojan.Encoder.32108
BitDefender -> Gen:Heur.Ransom.Imps.1
Avira (no cloud) -> TR/AD.RansomHeur.ospwe
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCT
Kaspersky -> Trojan-Ransom.Win32.Agent.axvp
Malwarebytes -> Ransom.Panther
Microsoft -> Ransom:Win32/Panther.G!MTB
Rising -> Ransom.Agent!1.C8A5 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Wpjp
TrendMicro -> Ransom.Win32.PANTHER.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> Panther > WoodRat
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .panther
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Штамп даты: 30 июня 2020. Китайские исследователи сообщают о майском появлении предыдущей версии. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
LOCKED_README.txt
LOCKED_README.bmp
Первым информатором жертвы является изображение LOCKED_README.bmp, заменяющее обои Рабочего стола, с текстом на английском.
Текст сообщает о необходимости ознакомиться с содержанием файла LOCKED_README.txt (на китайском языке).
Содержание записки о выкупе:
哎呀...你的全部文件已经被加密,你暂时无法使用他们了 XD
但这不意味着你失去了他们,只要使用一个特殊的key即可解密并恢复你的文件
你大可以尝试你想到的所有方法来恢复你的文件,但相信我,你会浪费一大把时间,
最终依然无法恢复工作.(不信者请自行查阅 'RSA4096位破解')
但如果使用我们的帮助,你可以在一小时内完好如初恢复所有的文件,只要你按照以下的提示来做
[1] 访问 https://www.torproject.org/download/ 下载 tor browser(洋葱浏览器)
[2] 安装 ,具体的过程以及配置请百度
[3] 访问以下地址,阅读事项后可发送"个人ID"以验证你的身份
http://tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
(注:访问等待较长,请耐心等待)
如果你无法访问,不妨试试这个 : http://123.57.50.25:5000/
[3] 根据服务器提示购买密钥后,发送你的 "BIT KEY"
[4] 稍作等待,你便可以收到我们发送给您的解密器了
[5] 使用解密器,你可以在一小时内恢复工作
你的个人ID : kyrVAH0ILsN4qSbxQxwVng==
========start BIT KEY========
GoZJmt5eyQ55tK2JSjdnExAeO0sZZm557IxAZU/mBk+z5jRsPjxX5YjrljBoXcG2Lo7/dvgIq
***
========end BIT KEY========
如果你有更多的问题,欢迎联系我们进行咨询!
Перевод на русский язык:
К сожалению... все ваши файлы были зашифрованы, и вы временно не можете их использовать XD
Но это не значит, что вы их потеряли, просто используйте специальный ключ для расшифровки и восстановления ваших файлов
Вы можете попробовать все методы, какие пожелаете, чтобы восстановить ваши файлы, но, поверьте мне, вы потратите много времени,
В конце концов, вы не сможете возобновить работу (неверящие, пожалуйста, почитайте о "взломе RSA4096")
Но если вы воспользуетесь нашей помощью, вы сможете восстановить все файлы без изменений в течение часа, если вы будете следовать инструкциям ниже
[1] Посетите https://www.torproject.org/download/, чтобы загрузить браузер (onion browser)
[2] Про процесс установки и конфигурация, пожалуйста, ищите в Baidu
[3] Посетите следующий адрес, после прочтения можете отправить "личный ID", чтобы подтвердить свою личность
http://tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
(Примечание: время ожидания велико, наберитесь терпения)
Если вы не можете получить к нему доступ, попробуйте это: http://123.57.50.25:5000/
[3] После покупки ключа по запросу сервера отправьте "BIT KEY"
[4] Подождите немного, вы получите расшифровщик, который мы вам отправили
[5] Используя расшифровщик, вы можете возобновить работу в течение часа
Ваш персональный ID: kyrVAH0ILsN4qSbxQxwVng ==
======== начать BIT KEY ========
GoZJmt5eyQ55tK2JSjdnExAeO0sZZm557IxAZU / мБк + z5jRsPjxX5YjrljBoXcG2Lo7 / dvgIq
***
======== end BIT KEY ========
Если у вас есть дополнительные вопросы, пожалуйста, свяжитесь с нами для консультации!
---
Содержание текста на сайте вымогателей:
panther 软件服务,欢迎你 VICTIM
当你看到这个页面,恭喜你距离恢复你的文件又近了一步
请仔细阅读以下注意事项:
[1] 恢复服务不是免费的,而且有时间限制
-3天以内,均为 '1' xmr(门罗币) 约 300人民币
-3天至一周之间,价格翻倍
-一周以上,你的解密密钥将被永久删除,这时没有人可以解密你的文件了
(如果你不相信,可以去搜索'RSA加密算法破解'了解你的处境 XD)
[2] xmr(门罗币)为数字加密货币,到账需要时间,所以请尽快,不要耽误时机
[3] 有关数字货币购买的方法请自行百度(你需要钱包)
[4] 购买后请将其发送到这个地址 :
493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKa
XdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
(注意发送时去除换行和空格)
[5]支付后,你可以选择通过本平台联系我们,或者通过邮件,将你的
*钱包地址
*个人BIT KEY
发邮件给我们 ( zewen93341@126.com ),我们在收到货款后会立即与你联系解密事项
(推荐以上的自助方式购买,以免因为错过交谈时间而需要加价)
尽快行动吧,我们每天9:00-21:00在线,如果有问题请发消息给我们
如果长时间得不到回复,可以发邮件到 : zewen93341@126.com , 我们会第一时间回复你
Перевод текста на русский язык:
Служба поддержки приветствует вас, panther ЖЕРТВА
Если вы видите эту страницу, поздравляем, вы на шаг ближе к восстановлению ваших файлов
Пожалуйста, внимательно прочитайте следующий текст:
[1] Служба восстановления не является бесплатной и имеет ограничение по времени
- в течение 3 дней всего 1 XMR (Монеро) около 300 юаней
- от 3 дней до недели цена удваивается
- больше одной недели ваш ключ дешифрования будет удален, потом никто не сможет расшифровать ваши файлы
(Если вы не верите этому, вы можете поискать "взлом алгоритма шифрования RSA", чтобы понять вашу ситуацию XD)
[2] XMR (Монеро) - это криптовалюта шифрования, для ее получения требуется время, поэтому, пожалуйста, сделайте это как можно скорее и не откладывайте возможность
[3] Для метода покупки цифровой валюты, пожалуйста, используйте Baidu (вам нужен кошелек)
[4] Пожалуйста, отправьте его по этому адресу после покупки:
493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKa
XdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
(Обратите внимание, что перенос строки и пробелы удаляются при отправке)
[5] После оплаты вы можете связаться с нами через эту платформу или отправить
* Адрес кошелька
* Персональный BIT KEY
Отправьте нам письмо на email (zewen93341@126.com), и мы свяжемся с вами для вопроса расшифровки сразу после получения оплаты.
(Рекомендуем вышеуказанный способ самостоятельной покупки, чтобы не увеличивать цену из-за отсутствия времени на разговор)
Действуйте как можно скорее, мы на сайте каждый день с 9:00-21:00, если у вас есть какие-либо вопросы, пожалуйста, отправьте нам сообщение
Если вы не можете получить ответ в течение долгого времени, вы можете отправить email на адрес: zewen93341@126.com, мы ответим вам как можно скорее.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов.
➤ Использует оболочку виртуализации VMProtect для защиты основного кода вымогателя и внедряет Panther Ransomware в процесс svchost.exe с помощью известной техники атак, называемой Process Hollowing. Данная методика внедрения кода предполагает создание нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным.
➤ После выполнения шифровальщик поочередно перебирает все логические разделы диска и шифрует пользовательские файлы.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Пропускаемые расширения:
.dll, .exe, .lnk, .sys, .panther
Пропускаемые директории:
Windows
Intel
ProgramData
Program files
Program files (x86)
Temp
Local SettingContent.IE5
$RECYCLE.BIN
Steam
Файлы, связанные с этим Ransomware:
LOCKED_README.txt - название файла с требованием выкупа
LOCKED_README.bmp - изображение, заменяющее обои Рабочего стола
ransom_subpe.exe - исполняемый файл шифровальщика
ransom_loader.vmp.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
URL: http://123.57.50.25:5000/
Email: zewen93341@126.com
XMR (Monero): 493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKaXdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
Этот XMR-кошелек известен с июня 2018 года.
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Инструмент "360 ransomware decryption tools" может расшифровать файлы. Ссылка: https://free.360totalsecurity.com/totalsecurity/FileDec/desetup_en.exe* * Или напишите Майклу Джиллеспи в Твиттер по ссылке >>
- скриншот с результатом расшифровки.
Read to links: Tweet on Twitter + Tweet + Tweet + myTweet ID Ransomware (ID as Panther) Write-up, Topic of Support Added later: Write-up by 360 Total Security (on July 14, 2020)
Thanks: xiaopao, Michael Gillespie, GrujaRS Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.