Если вы не видите здесь изображений, то используйте VPN.

четверг, 27 августа 2020 г.

Geneve

Geneve Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048 (из сообщения вымогателей), а затем требует выкуп в $400-$800 в BTC, чтобы вернуть файлы. Оригинальное название: вероятно, Geneve. На файле написано: нет данных.
---
 Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
© Генеалогия: Nomikon ? > Geneve
Изображение — логотип статьи

 К зашифрованным файлам добавляется случайное расширение: .<random>
В одном из примеров: .fezmm


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: DECRYPT.html

Содержание записки о выкупе:
Your files are encrypted    The price will be doubled on August 30, 2020 01:41:45
How to decrypt your files?
You need to buy a decryptor. Decryptor - is a software which we create for each client separately, it contains unique private key to recover client's files.
This is a business for us and we work honestly. If we do not do our work and liabilities - no one will cooperate with us.
Current price: $400 ≈ 0.03466305 BTC
Next price:      $800 ≈ 0.06932609 BTC
How to buy decryptor?
Send us an email to: 
geneve010@protonmail.com
 or 
geneve020@protonmail.com
In subject line of your message write your personal ID: 
8510198-f59e1450-1f33-4214-9352-a8ec0336ebc8-fezmm
Create a Bitcoin Wallet (we recommend blockchain.com)
Buy the necessary amount of Bitcoins. Current amount for buying is 
0.03466305
 BTC
Send amount to the address that you receive when write to us
Download decryptor from the email message
* We guarantee that you can decrypt all your files quickly and safely.
Why should I pay?
Why should I pay if there are free decryptors in the internet? So, we have an answer. There are some programs which storage private key on the client machine and it gives a chance for antivirus companies to find it and recover files. We don't work in this way. Private key storage on our servers and have never been on your machine.
Maybe in-build functionality of Windows "shadow copies" can help you? They could, but we deleted them all.
What about file restore programs? We have cared about it also. There is a cipher utility which populate each sector of your HDD with zero, then with one and then again with zero. It kills chances to restore files from HDD sectors.
What if hack encryption algorithm? We use (AES256 with RSA-2048) algorithm it makes not possible decryption without private key (even NSA can't hack it).
It means there is no chance to restore your files without our software. If you try, you can lose your files and we will not be able to help you.
What guarantees?
To verify the possibility of the recovery of your files we can decrypt one image file for free.
You can send it by email, the size of image should be less then 5mb.

 Перевод записки на русский язык:
Ваши файлы зашифрованы    30 августа 2020 г. цена будет удвоена 01:41:45
Как расшифровать ваши файлы?
Вам нужно купить дешифратор. Decryptor - это программа, которую мы создаем для каждого клиента отдельно, она содержит уникальный закрытый ключ для восстановления файлов клиента.
Это наш бизнес, и мы работаем честно. Если мы не будем выполнять свою работу и обязательства - с нами никто не будет сотрудничать.
Текущая цена: $400 ≈ 0,03466305 BTC
Следующая цена: $800 ≈ 0,06932609 BTC
Как купить дешифратор?
Отправьте нам письмо по адресу:
geneve010@protonmail.com
 или
geneve020@protonmail.com
В теме сообщения укажите свой личный идентификатор:
8510198-f59e1450-1f33-4214-9352-a8ec0336ebc8-fezmm
Создайте биткойн-кошелек (мы рекомендуем blockchain.com)
Купите нужное количество биткойнов. Текущая сумма покупки составляет
0,03466305
 BTC
Отправьте сумму на адрес, который вы получите при написании нам
Скачайте дешифратор из email-сообщения
* Мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы.
Зачем мне платить?
Зачем платить, если в интернете есть бесплатные дешифраторы? Итак, у нас есть ответ. Есть несколько программ, которые хранят закрытый ключ на клиентском компьютере, и это дает возможность антивирусным компаниям найти его и восстановить файлы. Мы так не работаем. Хранение приватных ключей на наших серверах, и никогда на вашем компьютере.
Может быть, встроенная функциональность "теневых копий" Windows может вам помочь? Могла, но мы удалили их все.
А как насчет программ восстановления файлов? Мы тоже об этом позаботились. Существует утилита шифрования, которая заполняет каждый сектор вашего жесткого диска нулем, затем единицей, а затем снова нулем. Это убивает шансы на восстановление файлов с секторов HDD.
Что делать, если взломать алгоритм шифрования? Мы используем алгоритм (AES256 с RSA-2048), он делает невозможным дешифрование без закрытого ключа (даже NSA не может его взломать).
Это означает, что без нашей программы невозможно восстановить ваши файлы. Если вы попытаетесь, вы можете потерять свои файлы, и мы не сможем вам помочь.
Какие гарантии?
Чтобы проверить возможность восстановления ваших файлов, мы можем бесплатно расшифровать один файл изображения.
Вы можете отправить его по email, размер изображения не должен превышать 5 МБ.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.html - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: geneve010@protonmail.com
geneve020@protonmail.com
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Geneve)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на 2 комментария:

BizHack

BizHack Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: pidor.bmp.exe
---
 Обнаружения:
DrWeb -> Trojan.Mayachok.1
BitDefender -> Trojan.Generic.9226651
ALYac -> Trojan.Ransom.Filecoder
Avast/AVG -> Win32:Sankei
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 -> Win32/Kryptik.DNFZ
Kaspersky -> Trojan.Win32.Agentb.jzvw
Malwarebytes -> Trojan.MalPack
McAfee -> W32/NGVCK.g.dr.gen
Microsoft -> Trojan:Win32/Ymacco.AAFB
Qihoo-360 -> Win32/Trojan.c3d
Rising -> Trojan.Ymacco!8.11BE1 (TFE:2:***)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Agentb.Lnel
TrendMicro -> Trojan.Win32.BIZPIDOR.A
VBA32 -> BScope.Trojan.Mayachok
---
© Генеалогия: ??? >> BizHack
Изображение — логотип статьи

 К зашифрованным файлам добавляется расширение: .~Company Name


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Образец этого крипто-вымогателя был обнаружен в конце августа 2020 г. По некоторым данным он был заметен и раньше. Штамп даты: 1 мая 2013 г., что может быть фикцией. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа не найдена. 

 Для атаки используется вредоносный файл pidor.bmp.exe

Скриншоты из разных систем и видео-файл прилагаются. 

 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pidor.bmp.exe - исполняемый файл
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\james\Desktop\pidor.bmp.exe
C:\Users\User\AppData\Local\Temp\pidor.bmp.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Ravi, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на Комментариев нет:

Crypt32

Crypt32 Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и base64, а затем требует установить "Heroes of the Storm" для расшифровки файлов, без оплаты деньгами. Оригинальное название: в записке не указано. На файле написано: 32Bit.exe, node.exe
---
 Обнаружения:
DrWeb -> Trojan.Encoder.32417
BitDefender -> Trojan.GenericKD.43740128
ALYac -> Trojan.Ransom.RansomHOS
ESET-NOD32 -> JS/Filecoder.N
Kaspersky -> Trojan-Ransom.Win32.Encoder.jxz
Malwarebytes -> Ransom.JScryptor
Rising -> Trojan.Filecoder!8.68 (TOPIS:E0:***
Symantec -> Downloader
Tencent -> Win32.Trojan.Encoder.Wpts
TrendMicro -> TROJ_FRS.VSNTHV20
---
© Генеалогия: NodeJS >> Crypt32
Изображение — логотип статьи

 К зашифрованным файлам никакое расширение не добавляется.


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на конец августа 2020 г. Ориентирован на англоязычных и корейских пользователей, что не мешает распространять его по всему миру. 

 Записка с требованием выкупа называется: !! YOUR FILES HAS BEEN ENCRYPTED !!.txt

Содержание записки о выкупе:
Your files has been encrypted by ransomware!
and You can't decrypt with money.
Please install heroes of the storm to decrypt your files.
Attention: DO NOT TURN OFF YOUR PC! IF YOU TURNED OFF YOUR PC, YOU WON'T ABLE TO DECRYPT YOUR FILES!
Emergency contact: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
Warning - Any attmpt of decryption file will delete your private key.
당신의 파일들은 랜섬웨어에 의해 암호화되었습니다.
그리고 돈을 줘도 풀 수 없습니다.
히어로즈 오브 더 스톰을 설치해서 파일들을 복호화하세요.
경고: PC를 끄지 마세요! PC를 끄면 파일을 복원할 수 없습니다!
긴급 연락 이메일: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
경고: 복호화를 시도하면 파일들은 절대 다시 풀 수 없습니다.

 Перевод записки на русский язык:
Ваши файлы были зашифрованы программой-вымогателем!
и Вы не можете расшифровать с помощью денег.
Пожалуйста, установите Heroes of the Storm, чтобы расшифровать ваши файлы.
Внимание: НЕ ВЫКЛЮЧАЙТЕ ПК! ЕСЛИ ВЫ ВЫКЛЮЧИТЕ ПК, ВЫ НЕ МОЖЕТЕ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ!
Контактное лицо в экстренных случаях: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
Предупреждение. Любая попытка дешифрования файла приведет к удалению вашего закрытого ключа.
Ваши файлы были зашифрованы программой-вымогателем.
И даже если вы дадите деньги, вы не сможете решить эту проблему.
Установите Heroes of the Storm для расшифровки файлов.
Предупреждение: не выключайте компьютер! Вы не сможете восстановить файлы, выключив компьютер!
Контактный адрес email для экстренных случаев: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
ВНИМАНИЕ: если вы попытаетесь расшифровать файлы, вы больше никогда не сможете их распаковать.

 ---
Ранее мы уже видели программу, которая вместо выкупа требовала установить "Heroes of the Storm", чтобы расшифровать файлы. Это был RestoLocker Ransomware
Как-то странно воздействует эта игра на новоявленных вымогателей. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!! YOUR FILES HAS BEEN ENCRYPTED !!.txt - название файла с требованием выкупа
<different>.js - разные js-файлы
node.exe - исполняемый файл
32Bit.exe - исполняемый файл
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\!! YOUR FILES HAS BEEN ENCRYPTED !!.txt
C:\Users\User\AppData\Local\Temp\RarSFX0\node.exe
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb - проект на основе WinRar, который с помощью возможностей SFX отбрасывает js-файл, выполняющий вредоносный сценарий. 

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Bitmessage: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Crypt32)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на Комментариев нет:

вторник, 25 августа 2020 г.

Cyrat

Cyrat Ransomware

Cyrat Python Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью метода шифрования Fernet, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Написан на Python, использует PyCryptodome
---
 Обнаружения:
DrWeb -> Trojan.Encoder.32429
BitDefender -> Trojan.GenericKD.43738468
ALYac -> Trojan.Ransom.Python
Avira (no cloud) -> TR/Ransom.qhsqf
ESET-NOD32 -> Python/Filecoder.AB
Malwarebytes -> Ransom.FileCryptor
Tencent -> Win32.Trojan.Filecoder.Wopj
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_FRS.VSNTHQ20
---
© Генеалогия: предыдущие Python ransomware Ⓟ >> Cyrat
Изображение — логотип статьи

 К зашифрованным файлам добавляется расширение: .CYRAT


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: 
RANSOME_NOTE.txt

Содержание записки о выкупе:
The harddisks of your computer have been encrypted with an very very strong encryption algorithm.
There is no way to restore your data without a special key.
Only we can decrypt your files!
To purchase your key and restore your data, please follow these three easy steps:
1. Email the file called EMAIL_US.txt at Desktop\EMAIL_US.txt to officialintuitsoftware@gmail.com
2. You will recieve your personal BTC address for payment.
Once a payment of $1000 in btc has been completed, send another email to officialintuitsoftware@gmail.com Titled "PAID".
We will check to see if payment has been paid.
Note: If you make your payment within 2 days, the fees would be slashed by half, that is $500 in btc
3. You will receive a text file with your KEY that will unlock all your files. You have 2 days from today being Aug-27-2020
IMPORTANT: To decrypt your files, place text file on desktop and wait. Shortly after it will begin to decrypt all files.
WARNING:
Do NOT attempt to decrypt your files with any software as it is obselete and will not work, and may cost you more to unlcok your files.
Do NOT change file names, mess with the files, or run deccryption software as it will cost you more to unlock your files and Your files might be lost forever.
Do NOT send "PAID" without paying, price will double for disobedience.
Do NOT think that we won't leave your files encrypted forever because we will"
Don't know what btc is? Visit https://bitcoin.org

 Перевод записки на русский язык:
Жесткие диски вашего компьютера зашифрованы с очень надежным алгоритмом шифрования.
Без специального ключа невозможно восстановить ваши данные.
Только мы можем расшифровать ваши файлы!
Чтобы приобрести ключ и восстановить данные, выполните три простых шага:
1. Отправьте файл EMAIL_US.txt с Desktop\EMAIL_US.txt по email на адрес officialintuitsoftware@gmail.com
2. Вы получите свой личный адрес BTC для оплаты.
После завершения платежа в размере $1000 в биткойнах отправьте еще одно email на адрес officialintuitsoftware@gmail.com с темой "PAID".
Мы проверим, внесена ли оплата.
Примечание: если вы сделаете платеж в течение 2 дней, комиссия будет снижена вдвое, то есть $500 в биткойнах.
3. Вы получите текстовый файл с КЛЮЧОМ, который разблокирует все ваши файлы. У вас есть 2 дня с сегодняшнего дня - 27 августа 2020
ВАЖНО: Чтобы расшифровать файлы, поместите текстовый файл на рабочий стол и подождите. Вскоре после этого начнут расшифровываться все файлы.
ПРЕДУПРЕЖДЕНИЕ:
НЕ пытайтесь расшифровать ваши файлы с помощью какой-то программы, так как оно устарело и не будет работать, а распаковка файлов может стоить вам больше.
НЕ изменяйте имена файлов, не связывайтесь с файлами и не запускайте программы для дешифрования, так как разблокировка файлов будет стоить вам дороже, и ваши файлы могут быть потеряны навсегда.
НЕ отправляйте "PAID" без оплаты, цена за непослушание удвоится.
НЕ думайте, что мы не оставим ваши файлы зашифрованными навсегда, потому что мы "
Не знаете, что такое BTC? Посетите https://bitcoin.org

 Также используется файл EMAIL_US.txt, который нужно отправить вымогателям. 

Также используется изображение background_img.png, заменяющее обои Рабочего стола. Текста нет, видимо картинка просто понравилась вымогателям и они её приложили вместо обычного текста. 
Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ Вредоносная программа вылетает из-за проблемы с Pyfiglet. 

 ➤ Скачивает публичный ключ из MediaFire.

 ➤ Выдает себя за инструмент исправления DLL. 
 

 Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .3gp, .602, .7z, .accdb, .aes, .ai, .asf, .asm, .asp, .backup, .bak, .bat, .bmp, .boop, .brd, .bz2, .c, .class, .cmd, .cs, .csr, .css, .csv, .db, .dbf, .dch, .deb, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .exe, .flv, .frm, .gif, .gpg, .gz, .h, .html, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .json, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mml, .MP2, .MP2, .mp3, .mp3, .mp3, .MPE, .MPE, .mpeg, .mpeg, .MPEG, .MPEG, .mpg, .MPG, .MPV, .MPV, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .OGG, .OGG, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .py, .rar, .raw, .rb, .rtf, .sh, .sldm, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .WEBM, .wk1, .wks, .wma, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (188 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
В списке есть еще 8 расширений: .ARC, .asc, .cgm, .cpp, .crt, .fla, .js, .sch, которые из-за ошибки в коде не будут найдены. 

 Список целевых директорий:
"Рабочий стол", "Загрузки", "Изображения", "Музыка", "Видео", "Документы"

 Файлы, связанные с этим Ransomware:
RANSOME_NOTE.txt  - название файла с требованием выкупа;
EMAIL_US.txt - специальный файл, в который сохраняется зашифрованный ключ Fernet; 
background_img.png - изображение заменяющее обои Рабочего стола;
key.txt
pub_key.pem
<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Интересный стринг:
>oVovoNono^o~oAoaoQoqoIoioYoyoEoeoUouoMomo]o}oCocoSosoKoko[o{oGo'o

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
URL изображения: https://images.idgesg.net/images/article/2020/05/ransomware_attack_worried_businessman_by_andrey_popov_gettyimages-1199291222_cso_2400x1600-100840844-large.jpg
Email: officialintuitsoftware@gmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Cyrat)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на Комментариев нет:
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *