Если вы не видите здесь изображений, то используйте VPN.

среда, 8 июля 2020 г.

BitRansomware

Bit Ransomware 

Aliases: BitRansomware, DCryptSoft, Readme, LolKek

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные серверов и обычных пользователей с помощью AES+RSA, а затем требует перейти на сайт в сети Tor, чтобы узнать как заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BitRansomware. Язык программирования: C++. На файле написано: DCryptSoft.exe или DCryptSoft BitRansomware.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32178
BitDefender -> Gen:Variant.Fugrafa.62487
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCP
Malwarebytes -> Ransom.Medusa
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Symantec -> Ransom.Cryptolocker
Tencent -> Win32.Trojan.Filecoder.Ednx
TrendMicro -> Ransom_W3CryptoLocker.R002C0DH620
---
 
© Генеалогия: ✂️ DeathRansom + другой код ⇒ Adhubllka > LolKek (test) > 
BitRansomware 

BitRansomware
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .readme

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля и продолжилась в августе-октябре 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Read_Me.txt

BitRansomware - a ransom note

Содержание записки о выкупе:
Attention! 
All your files, documents, photos, databases and other important files are encrypted
The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.
The server with your decryptor is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
1. Download Tor browser - https://www.torproject.org/ 
2. Install Tor browser 
3. Open Tor Browser 
4. Open link in TOR browser:  xxxx://54fjmcwsszltlixn.onion/* 
5. Follow the instructions on this page 
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
Alternate communication channel here: xxxx://helpqvrg3cc5mvb3.onion/


Перевод записки на русский язык:
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы
Единственный метод восстановления файлов - это покупка уникального дешифратора. Только мы можем предоставить вам этот дешифратор и только мы можем восстановить ваши файлы.
Сервер с вашим дешифратором находится в закрытой сети TOR. Добраться до него можно следующими способами:
-------------------------------------------------- --------------------------------------
1. Загрузите браузер Tor - https://www.torproject.org/
2. Установите браузер Tor.
3. Откройте браузер Tor.
4. Откройте ссылку в браузере TOR: xxxx://54fjmcwsszltlixn.onion/*
5. Следуйте инструкциям на этой странице.
-------------------------------------------------- --------------------------------------
На нашей странице вы увидите инструкции по оплате и получите возможность бесплатно расшифровать 1 файл.
Альтернативный канал связи здесь: xxxx://helpqvrg3cc5mvb3.onion/

---
Другим информатором выступает сайт в сети Tor, на которым содержится больше информации для жертвы.

BitRansomware a site with ransom

 




Технические детали

Распространяется через сайты кибер-андеграунда, в том числе и в сети Tor. В партнеры приглашаются распространители инсталляторов и прочего софта, которые регулярно распространяют ПО через свои сайты. Это в основном взломанный и перепакованный софт, из которого убрали официальную регистрацию и автоматические обновления, но вшили ключ, чтобы программа работала без регистрации. Кроме того, там может быть добавлено, что угодно. 


Внимание! Загружайте программы только с официальных сайтов! 
Не загружайте и не используйте взломанный и перепакованный софт! 


Вымогатели выложили на некоторых форумах Даркнета описание программ-вымогателей и пытаются продавать их, называя потенциальных соучастников аффилированными патрнерами. 

BitRansomware - a message of extortionists

BitRansomware - a message of extortionists

Обещают этим, так называемым "аффилированным партнерам" 70% от  выкупа, а 30% забирают себе. Говорят, что не атакуют страны СНГ, но это не гарантирует, что компьютеры пользователей из этих стран не пострадают. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Шифрует все подключенные диски, сетевые ресурсы и скрытые диски. 

Прекращает работу процессов, мешающих шифрованию (базы данных, офисные приложения и пр.). 

➤ Используются: PowerShell, эксплойты и макросы для MS Office. 
Предоставляется расшифровка только 1 зашифрованного файла. 

➤ Добавляет в Автозагрузку Windows файл записки: 
C:\Users\User\AppData\Roaming\Microsoft\Word\STARTUP\Read_Me.txt

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Маркер зашифрованных файлов (вариант августа): MCRYPTO LOCKER



Файлы, связанные с этим Ransomware:
DCryptSoft.exe - DCryptSoft BitRansomware.exe; 
Read_Me.txt - название файла с требованием выкупа; 
<random>.exe - случайное название вредоносного файла.

BitRansomware - a fileinfo

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:


 
 

 



---
BTC: 15KSuAFPmL4WuT45HwAM3AVpXf7NRreXCZ и другие (генерируются для каждого партнера). 
Jabber: rick5@xmpp.jp
Email: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>

BitRansomware - a relations with Adhubllka

Степень распространённости: средняя с вариантам.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CRYPTO LOCKER LolKek - июнь-июль 2020
myCRYPTO LOCKER (BitRansomware) - июль 2020
MCRYPTO LOCKER (BitRansomware) - август 2020
***что-то еще*** - сентябрь 2020
uCRYPTO LOCKER (BitRansomware) - октябрь 2020



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Более ранний вариант от 9 июля 2020:
Сообщение >>
Расширение: .readme
Записка: Read_Me.txt 

LolKek Ransomware шифровальщик, шифратор

Пытается выдавать себя за новый вариант Adhubllka (возможно они связаны). 

---
Маркер зашифрованных файлов: myCRYPTO LOCKER


Сумма выкупа: 0.401 BTC ($3700)
BTC: 1DfgB3aN9uxH9QmCaxxMHqxrcxTHz45C2e
Tor URL: xxxx://7rzpyw3hflwe2c7h.onion/
Tor URL-2: xxxx://helpqvrg3cc5mvb3.onion/
URL: 
Файл: VlKvi.exe 
Результаты анализов: IOS: VT, IA
MD5: 47c8e87ea31312b22b44904833336cc9

LolKek Ransomware шифровальщик, шифратор LolKek Ransomware шифровальщик, шифратор

LolKek Ransomware шифровальщик, шифратор


Обновление от 20 октября 2020: 
Самоназвание: Crypto Locker и W3CRYPTO LOCKER
Расширение: .ReadMe
Email: filessupport@cock.li
Этот адрес также используется в GlobeImposter Ransomware (23-11-20) >>
Маркер зашифрованных файлов: uCRYPTO LOCKER
Записка: Read_Me.txt



➤ Содержание записки:
Attention!
All your files are encrypted
if you want to recover files write to email filessupport@cock.li
or create ticket here: ***
---
IOS: VT, IA, AR, TG
MD5: 3b6717ec0be808f5d41ac46ec0056aca
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32178
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.rddnk
BitDefender -> Gen:Variant.Fugrafa.62487
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCP
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/W3CryptoLocker.SK!MTB
Rising -> Trojan.Filecoder!8.68 (TFE:5:vS4hrXmF9DB)
Symantec -> Ransom.Cryptolocker
Tencent -> Win32.Trojan.Falsesign.Llhn
TrendMicro -> Ransom_W3CryptoLocker.R002C0DJK20

Информация из исполняемого файла

Маркер зашифрованных файлов


Образец от 6 ноября 2020:
IOS: VT, IA, TG
➤ Обнаружения:
BitDefender -> Gen:Variant.Razy.652970
DrWeb -> Trojan.Encoder.33008
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEF


Сообщение от 11 ноября 2020: 
Расширение: .ReadMe
Email: filessupport@cock.li
IOS: VT, IA
MD5: 69a28b337963ca1d1d800b9ced2fe73a

Сообщение от 16 ноября 2020: 
Расширение: .ReadMe
Email: filessupport@cock.li
Маркер зашифрованных файлов: BCRYPTO LOCKER


=== 2021 ===

Вариант от 29-30 мая 2021:
Расширение: .ReadMe
Tor-URL: 24cduc2htewrcv37.onion
helpqvrg3cc5mvb3.onion
Email: filessupport@cock.li 
Результаты анализов: VT



➤ Содержание записки: 
Attention! 
All your files, documents, photos, databases and other important files are encrypted
The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.
The server with your decryptor is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
1. Download Tor browser - https://www.torproject.org/
2. Install Tor browser 
3. Open Tor Browser 
4. Open link in TOR browser: xxxx://24cduc2htewrcv37.onion/***
5. and open ticket 
----------------------------------------------------------------------------------------
Alternate communication channel here: xxxx://helpqvrg3cc5mvb3.onion/
Your ID
72 F6 C1 AD 37 AD 95 83 61 F8 AC 47 11 6D B5 87
***

 



Вариант от 18 августа 2021:
Расширение: .MME
Tor-URL включает в себя первые три знака расширения или наоборот.
Записка: Read_Me.txt
Результаты анализов: VT + IA
Маркер зашифрованных файлов: CRYPTO LOCKER



➤ Содержание записки: 
Attention! 
All your files, documents, photos, databases and other important files are encrypted
The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.
The server with your decryptor is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
1. Download Tor browser - https://www.torproject.org/ 
2. Install Tor browser 
3. Open Tor Browser 
4. Open link in TOR browser: xxxx://mmeeiix2ejdwkmseycljetmpiwebd***
5. and open ticket 
----------------------------------------------------------------------------------------
Alternate communication channel here: ***


=== 2022 ===

Вариант от 25 февраля 2022 или раньше: 
Расширение: .mrv


➤ Содержание записки: 
Attention!   
All your files, documents, photos, databases and other important files are encrypted  
The only method of recovering files is to purchase an unique decryptor. 
Only we can give you this decryptor and only we can recover your files.   
The server with your decryptor is in a closed network TOR. 
You can get there by the following ways:  
---------------------------------------------------------------------------------------- 
1. Download Tor browser - https://www.torproject.org/  
2. Install Tor browser  
3. Open Tor Browser  
4. Open link in TOR browser:   xxxx://mrv44idagzu47oktcipn6tlll6nzapi6pk3u7ehsucl4hpxon45dl4yd.onion/***
5. and open ticket   
---------------------------------------------------------------------------------------- 
Alternate communication channel here: ***


=== 2023 ===

Варианты января-марта 2023: 
Разные варианты, с разными расширения: .U2K, .OBC, .34V
Возможно используется шаблон: .<random{3]>
Tor-URL по-прежнему включает в себя первые три знака расширения или наоборот.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myTweet
 ID Ransomware (ID as LolKek)
 Write-up, Topic of Support
 * 
 Thanks: 
 3xp0rt, Jirehlov Solace, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 7 июля 2020 г.

OutCrypt

OutCrypt Ransomware

(шифровальщик-не-вымогатель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: dirtytest.exe. Не оставляет никаких контактов для связи, фактически файлы повреждаются без возможности расшифровки. 

Обнаружения:
DrWeb -> Trojan.Encoder.32250
BitDefender -> Trojan.GenericKD.43472275
ESET-NOD32 -> A Variant Of Generik.FWAEXBH
Kaspersky -> Trojan-Ransom.Win32.Encoder.jmq
Qihoo-360 -> Win32/Trojan.Ransom.c50
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Trojan.Gen.6
Tencent -> Win32.Trojan.Encoder.Wvkj
TrendMicro -> Ransom_Encoder.R06BC0WGE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> OutCrypt


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: _out


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого шифровальщика был обнаружен в начале июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа не оставляется. 




Мы проверили это на разных машинах. Для каждого файла только сообщается, что он зашифрован. Нет никакого сообщения от тех, кто шифрует файлы. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
dirtytest.exe - исполняемый файл
desktop.ini_out - автозагружаемый файл
<random>.exe - случайное название вредоносного файла

Примечательно, что файл desktop.ini_out добавляется в Автозагрузку Windows.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini_out
...\AppData\Local\dub\packages\crypto-0.2.13\crypto\src\crypto\aes.d
...\AppData\Local\dub\packages\crypto-0.2.13\crypto\src\crypto\padding.d

Скриншоты, которые могут быть интересны:




Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as OutCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 xiaopao, GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SilentDeath

SilentDeath Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> SilentDeath

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .SilentDeath

Этимология названия:
Silent Death ("Тихая смерть") — это название известной игры от Iron Crown Enterprise с космическими битвами.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!! Read Me Carefully !!!.txt


Содержание записки о выкупе:
Hello dear friend,
All your files include videos, photos, documents and databases have been encrypted due to a security problem.
You have only one choice to recover your files and that is: 
"Ask us for help."
Recovery of our secure encryption is only possible with a secret key.
You can only obtain this secret key from us.
All your files will be irreversible forever if you share this with any third party!
Now, write an email to our address include your Recover-Code: 
SilentDeathDecryptor@protonmail.com
---Recover-Code--- 
h=[redacted uppercase 0x20 hex]&
k=[redacted uppercase 0x100 hex]
---Recover-Code---

Перевод записки на русский язык:
Здравствуй, дорогой друг,
Все твои файлы, включая видео, фотографии, документы и базы данных, зашифрованы из-за проблем с безопасностью.
У тебя есть только один шанс  восстановить твои файлы:
"Просите у нас помощь".
Восстановить наше безопасное шифрование можно только с секретным ключом.
Вы можете получить этот секретный ключ только от нас.
Все ваши файлы будут необратимыми навсегда, если вы поделитесь этим с какой-либо третьей стороной!
Теперь напишите письмо на наш адрес, включив свой код восстановления:
SilentDeathDecryptor@protonmail.com
---Recover-Code--- 
h=[знаки в верхнем регистре 0x20 hex]&
k=[знаки в верхнем регистре 0x100 hex]
---Recover-Code---




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!! Read Me Carefully !!!.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: SilentDeathDecryptor@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 сентября 2020: 
Расширение: .SilentDeath
Записка: READ-CAREFULLY-C09C3B.txt
Email: raoox5y12date@protonmail.com


➤ Содержаение записки: 
You have only one choice to recover your files and that is: 
"Ask us for help."
Recovery of our secure encryption is only possible with a secret key.
You can only obtain this secret key from us.
All your files will be irreversible forever if you share this with any third party!
Now, write an email to our address include your Recover-Code: 
raoox5y12date@protonmail.com
---Recover-Code--- 
h=FE4DE10BB77E77E5E6F6BAA9A54D1BED&
k=7551CEB3F9FBE2D4261EE9EBCDA081AC4174E602
***
---Recover-Code---




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SilentDeath)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 3 июля 2020 г.

BeijingCrypt

BeijingCrypt Ransomware

BeijingCrypt NextGen Ransomware

Aliases: montana, genesis, 520, 360, LockXXX, fc

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. 
Использует библиотеку Crypto++. 
На исполняемых файлах написано: beijing.exe, beijing_en.exe или что-то еще. Устанавливает для зашифрованных файлов атрибут "Read-only" (Только чтение). 
---
Обнаружения:
DrWeb -> Trojan.Encoder.29768
BitDefender -> Gen:Variant.Ransom.Hermes.140
Avira (no cloud) -> TR/FileCoder.hiflh
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Kaspersky -> Trojan-Ransom.Win32.Encoder.jqe
Rising -> RRansom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0GGT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Hermes837 >> BeijingCrypt  ⇒ Lockxx?

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .beijing


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !RECOVER.txt



Содержание записки о выкупе:
ALL YOUR DATA WAS ENCRYPTED
Whats Happen?
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has extension ***
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant re***
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data ***
In practise - time is much more valuable than money.
What should You include in your message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
Free decryption as quaranteel
Before paying you send us up to 2 files for free decryption.
Send pictures, text files, (files no more than 1mb)
If you upload the database, your price will be doubled
Contacts:
beijing520@aol.com
beijing520@cock.li
Your Personal ID: Jw2ABj+iHmuF4UcS7Zy9MX0p/wnnA8i88Kw1YcViz***

Перевод записки на русский язык:
Все ваши данные были зашифрованы
Что случилось?
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение ***
Кстати, все можно восстановить, но нужно следовать нашим инструкциям. Иначе вы не можете вернуть ***
Какие гарантии?
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды.
Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать.
Это не в наших интересах.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные ***
На практике время гораздо ценнее денег.
Что Вы должны включить в свое сообщение?
1. Ваша страна и город
2. Этот текстовый файл
3. Некоторые файлы для бесплатной расшифровки
Бесплатная расшифровка как карантин
Перед оплатой вы отправляете нам до 2 файла для бесплатной расшифровки.
Отправьте картинки, текстовые файлы (файлы не более 1 Мб)
Если вы загрузите базу данных, ваша цена будет удвоена
Контакты:
beijing520@aol.com
beijing520@cock.li
Ваш личный ID: Jw2ABj+iHmuF4UcS7Zy9MX0p/wnnA8i88Kw1YcViz***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!RECOVER.txt - название файла с требованием выкупа
beijing_en.exe


Дата создания файла подтверждает родство этого вымогателя с ранними вариантом, известным как Hermes837 Ransomware

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: beijing520@aol.com, beijing520@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Haka Ransomware - июль 2019
Hermes837 Ransomware - август, сентябрь 2019
BeijingCrypt Ransomware - июль 2020
BeijingCrypt NextGen Ransomware - июль 2020 - 2022
360 Ransomware - февраль 2022 - 2023


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Сообщение от 18 августа 2020 >>
Записка: !RECOVER.txt
Email: beijing520@aol.com, beijing520@cock.li
Результаты анализов: VT + IA


Расширение: .montana
Email: montanarecover@aol.com, montanarecover@cock.li
Записка: !HELP!.txt


➤ Содержание записки:
Hello.
If you are reading this, it means your data is encrypted and your private sensivitive information was stolen!
Read carefully the whole instructions to avoid problems with your data.
You have to contact us immediately to resolve this issue and make a deal!
!!!WARNING!!!
DO NOT modify, rename, copy or move any file. You can DAMAGE them and decryption will be impossible!
DO NOT use any third-party or public decryption software, it also may DAMAGE files.
There is ONLY ONE possible way to get back your files.
Do not waste your time, contact us and pay for special DECRYPTION TOOL. The tool is all you need.
For your guarantee we can decrypt 2 of your text or image files for free, as a proof that it works.
Your network was fully COMPROMISED! We can discuss how to secure it as a bonus.
The data that we gathered could be published in MASS MEDIA for BREAKING NEWS!
If we make a deal everything would be kept in secret and all your data will be restored.
I could make them public them if you decide not to pay.
Contact us immediately:
montanarecover@aol.com
montanarecover@cock.li
Your Personal ID: ***


Расширение: .montana
Записка: !HELP!.txt
Email: montanarecover@mail.ee or montanarecover@cock.li
Результаты анализов: VT + IA

Расшиение: .genesis
Записка: !HELP!3.txt
Email: genesishelp@mail.ee, genesishelp@cock.li


Результаты анализов: VT 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29768
Avira (no cloud) -> TR/FileCoder.hiflh
BitDefender -> Gen:Variant.Ransom.Hermes.140
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Microsoft -> Ransom:Win32/Filecoder.BA!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wpjl
TrendMicro -> Ransom.Win32.HERMES.SMDS


=== 2021 ===

*** пропущенные варианты ***

Вариант от 6 августа 2021: 
Расширение: .file
Записка: !README!.txt
Email: recofile@mail.ee, recofile@mailfence.com
Результаты анализов: VT + IA



Вариант от 13 октября 2021:
Расширение: .520
Email: 520hard@mail.ee, 520hard@cock.li


=== 2022 ===

Вариант февраля 2022, повторное обнаружение в декабре 2022:
Дополнительное название: Crypt360 Ransomware
Сервис "ID Ransomware" идентифицирует этот вариант как LockXXX, хотя должно быть BeijingCrypt
Это может быть из-за специального файла: __lock_XXX__ 
Расширение: .360
Записка: !_INFO.txt
Email: 360recover@gmail.com, 360support@cock.li или другие с "360"
➤ Содержание записки:
WARNING! YOUR FILES ARE ENCRYPTED!
Don’t worry, your files are safe, provided that you are willing to pay the ransom.
Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!
Do not rename your files. It will damage it.
The only way to decrypt your files safely is to buy the special decryption software from us.
Before paying you can send us up to 2 files for free decryption as guarantee. No database files for test.
Send pictures, text, doc files. (files no more than 1mb)
You can contact us with the following email
360recover@gmail.com
360support@cock.li
Send us this ID or this file in first email
ID: Nwn***
+M=:63e***


---
Спасибо KDSS Support за образец! 
Результаты анализов: TG + VT + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.34423
BitDefender -> Trojan.GenericKD.64570983
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Microsoft -> Ransom:Win32/Hermes.MAK!MTB
TrendMicro -> Ransom.Win32.MERHESCRYPT.SMYCCEZ


Вариант апреля 2022:
Сервис "ID Ransomware" идентифицирует этот вариант как LockXXX, хотя должно быть BeijingCrypt
Это может быть из-за специального файла: __lock_XXX__ 
Расширение: .fc
Записка: !_INFO.txt
Email: fcsupport@mailfence.com, fcrecover@cock.li
➤ Содержание записки:
WARNING! YOUR FILES ARE ENCRYPTED!
Don’t worry, your files are safe, provided that you are willing to pay the ransom.
Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!
The only way to decrypt your files safely is to buy the special decryption software from us.
Before paying you can send us up to 2 files for free decryption as guarantee.
Send pictures, text files. (files no more than 1mb)
You can contact us with the following email
fcsupport@mailfence.com
fcrecover@cock.li
Send us this ID or this file in first email
ID: 07ZuPpd5GiGLcVKAiFW0z85YJ/FYb+5Ceps3***









=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BeijingCrypt, LockXXX)
 Write-up, Topic of Support
 * 
 Thanks: 
 xiaopao, Michael Gillespie, Oracion
 Andrew Ivanov (author)
 KDSS Support
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *