Dcry Ransomware
Paypalfree Ransomware
(шифровальщик-вымогатель для Android) (первоисточник)
Translation into English
Этот крипто-вымогатель для Android-устройств шифрует данные пользователей с помощью SHA1 + AES-128, а затем требует написать на email, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Paypalfree.apk. Файлы можно расшифровать!
---
Обнаружения:
DrWeb -> Android.Encoder.11.origin
Avira (no cloud) -> ANDROID/Agent.FGMH.Gen
ESET-NOD32 -> A Variant Of Android/Agent.BIO
Kaspersky -> HEUR:Trojan-Ransom.AndroidOS.Agent.br
Malwarebytes ->
Microsoft -> Ransom:AndroidOS/XdropCryp.A!MTB
Symantec -> Trojan.Gen.MBT
---
© Генеалогия: Удобная ниша (CNAM) >> Dcry, Paypalfree
К зашифрованным файлам добавляется расширение: .Dcry
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец июля 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы можно расшифровать. Пароль хранится в настройках.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Paypalfree.apk - название вредоносного файла
Обнаружения:
DrWeb -> Android.Encoder.11.origin
Avira (no cloud) -> ANDROID/Agent.FGMH.Gen
ESET-NOD32 -> A Variant Of Android/Agent.BIO
Kaspersky -> HEUR:Trojan-Ransom.AndroidOS.Agent.br
Malwarebytes ->
Microsoft -> Ransom:AndroidOS/XdropCryp.A!MTB
Symantec -> Trojan.Gen.MBT
---
© Генеалогия: Удобная ниша (CNAM) >> Dcry, Paypalfree
CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств.
Я придумал этот термин, чтобы в культурной форме назвать это злачное место.
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .Dcry
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец июля 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
Перевод записки на русский язык:
hii. bitch i am your friend. your all photos and files are Encrypted (Locked) and your will find your username below.
email us here with your username tuvieja@yopmail.com and get you private key and decrypt your files under 2 min so you have 24 hour to get key your key will automatically deleted from our server and you files are will also automatically deleted and cant be recover for forever...
Have a nice day!!!
Перевод записки на русский язык:
привет. сука я твой друг. все твои фото и файлы зашифрованы (блокированы), и ты найдешь свое имя пользователя ниже.
email наш с твоим именем пользователя tuvieja@yopmail.com, получи закрытый ключ и расшифруй файлы менее чем за 2 минуты, у тебя есть 24 часа, чтобы получить ключ, твой ключ будет автоматически удален с нашего сервера, и твои файлы также автоматически будут удалены и не вернутся никогда ...
Хорошего дня!!!
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы можно расшифровать. Пароль хранится в настройках.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Paypalfree.apk - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Скриншоты от исследователей:
Файлы зашифрованы со случайным образом сгенерированной строкой (длиной 32). Пароль хранится в общих настройках.
URL: arefy.net/addslave.php
Email: tuvieja@yopmail.com
alt.ya-2oxswvd@yopmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Mitesh Wani Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.