Если вы не видите здесь изображений, то используйте VPN.

вторник, 15 сентября 2020 г.

PewPew

PewPew Ransomware

Variants: Abkir, Artemis, Optimus 

(шифровальщик-вымогатель, стиратель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: pewpew. На файле написано: Abkir и 
pewpew.exe. Разработка: pewpew TEAM. 
---
Обнаружения:
DrWeb -> Trojan.Siggen10.21398
BitDefender -> Trojan.GenericKD.34531461
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1137405
ESET-NOD32 -> A Variant Of Win32/Packed.Enigma.DS
Malwarebytes -> Ransom.Pewpew
Rising -> PUF.Pack-Enigma!1.BA33 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan-psw.Fakeransom.Hmrj
TrendMicro -> 
Ransom_Higuniel.R06EC0DII20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: 
✂️ 0kilobypt  ✂️ Dharma >> PewPew

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .abkir

Фактически используется составное расширение: .id-C4BA3647.[pewpew@TuTa.io].abkir
Шаблон расширения был заимствован из Dharma Ransomware

Файлы полностью затерты нулями, как это было в случаях с 0kilobypt Ransomware и некоторыми другими. 


В свете этого, использование ID кажется бессмысленным. Поэтому, уплата выкупа кажется бесполезной... 

✋ После публикации статьи представители PewPew сообщили мне, что файлы конвертируются в 0 байтов, если нет связи с хостом. Сам хост находится в США и фильтруется по российским IP-адресам. Поэтому вымогатели всё-таки могут вернуть файлы после уплаты выкупа. 
Видимо также устанавливается еще какой-то руткит или другой модуль, перехватывающий функции копирования, архивации и прочие. 

Если связь с хостом есть, то файлы будут зашифрованными. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
info-decrypt.hta
info-decrypt.txt

Анализ теста показал, что текст записок был заимствован из других программ-вымогателей. 


Содержание hta-записки о выкупе: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail : pewpew@TuTa.io
Write this ID in the title of your message : C4BA3647
In case of no answer in 12 hours write us to this e-mail : pewpew@Protonmail.Com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. 
---
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
---
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
---
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Перевод hta-записки на русский язык: 
Все ваши файлы зашифрованы!
Все ваши файлы зашифрованы из-за проблемы с безопасностью вашего ПК. Если вы хотите их восстановить, напишите нам на email: pewpew@TuTa.io
Напишите этот ID в заголовке сообщения: C4BA3647
Если в течение 12 часов не ответите, напишите нам на этот email-адрес: pewpew@Protonmail.Com
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
---
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов не должен превышать 4 МБ (без архива), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т.д.)
---
Как получить биткойны
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вам необходимо зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
---
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может вызвать повышение цены (они прибавляют свою цену к нашей) или вы можете стать жертвой мошенничества.




Содержание txt-записки о выкупе:
  All your files have been encrypted !
 ( All your files have been encrypted with AES256 + RSA2048 Algorithm due to a security problem with your PC )
- If you want to restore them, write us to the e-mail : pewpew@TuTa.io
- Write this ID in the title of your message : C4BA3647
- If you do not receive a response within 12 hours, send a message to this email : pewpew@Protonmail.Com
 ( You have to pay for decryption in Bitcoins )
- The price depends on how fast you write to us.
- After payment we will send you the decryption tool that will decrypt all your files. 
 ( Free decryption as guarantee )
- Before paying you can send us up to 1 file for free decryption.
- The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
 ( How to obtain Bitcoins )
- The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
- https://localbitcoins.com/buy_bitcoins 
- Also you can find other places to buy Bitcoins and beginners guide here: 
- http://www.coindesk.com/information/how-can-i-buy-bitcoins/
- [ pewpew TEAM ]

Перевод txt-записки на русский язык:
Все ваши файлы зашифрованы!
 (Все ваши файлы были зашифрованы с алгоритмом AES256 + RSA2048 из-за проблемы с безопасностью вашего ПК)
- Если вы хотите их восстановить, напишите нам на email: pewpew@TuTa.io
- Напишите этот идентификатор в заголовке сообщения: C4BA3647.
- Если вы не получили ответ за 12 часов, отправьте сообщение на этот email-адрес: pewpew@Protonmail.Com
 (Вы должны заплатить за расшифровку в биткойнах)
- Цена зависит от того, как быстро вы нам напишите.
- После оплаты мы вышлем вам расшифровку, которая расшифрует все ваши файлы.
 (Бесплатная расшифровка как гарантия)
- Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки.
- Общий размер файлов не должен превышать 1 МБ (не в архиве), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)
 (Как получить биткойны)
- Самый простой способ купить биткойны - это сайт LocalBitcoins. Вам надо зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.
- https://localbitcoins.com/buy_bitcoins
- Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
- http://www.coindesk.com/information/how-can-i-buy-bitcoins/
- [pewpew TEAM]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
info-decrypt.hta - название файла с требованием выкупа
info-decrypt.txt - название файла с требованием выкупа
pewpew.exe - название вредоносного файла
 

Сообщение от одного из вымогателей в комментариях к файлу на сайте VT.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pewpew@TuTa.io, pewpew@Protonmail.Com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 октября 2020:
Пост в Твиттере >>
Расширение: .artemis
Составное расширение: .id-9C354B42.[khalate@tutanota.com].artemis
Записка: info-decrypt.hta
URL: xxxx://randomware01.info/?submit
Файл EXE: 
Artemis.exe
Результаты анализов: VT + VMR + IA


Вариант от 16 марта 2021: 
Расширение: .optimus
Новый шаблон расширения: .id[<ID>].[email].optimus
Пример полного расширения: .id[7C72FDA0].[optimus982@tutanota.com].optimus
Записка: ReadMe-[7C72FDA0].txt
Email: optimus982@tutanota.com, khomeyni@tutanota.de
Результаты анализов: VT + IA

➤ Содержание записки: 
Artemis
!!! All your files encrypted !!!
You Have to Pay For The Restore
To Decrypt (Restore) them send e-mail to this address: optimus982@tutanota.com
If we don't answer in 24h., send e-mail to this address: khomeyni@tutanota.de
Your Unique ID : 7C72FDA0 


Вариант от 18 марта 2021:
Расширение: .optimus
Email: sikbeker@tuta.io, sikbeker@protonmail.ch
Аналогичен варианту от 16 марта (см. выше). 


Вариант от 7 декабря 2021:
Расширение: .lama
Пример полного расширения: .id[35C5675D].[badlamadec@gmail.com].lama
Записка: ReadMe-[35C5675D].txt
Email: badlamadec@gmail.com, badlamadec@msgsafe.io
Большой зашифрованный zip-архив можно частично восстановить с помощью архиватора 7-zip, так как зашифровано только начало файла. 



Вариант от 21 марта 2022:
Расширение: .optimus
Расширение (пример): .(MJ-XH34816XXXXX)(Decryption.helper@aol.com).Cj.id[A80XXXXX].[unlockdeer@gmail.com].optimus
Записка: ReadMe-[A8027869].txt
Email: unlockdeer@gmail.com, unlockdeer@msgsafe.io







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PewPew)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Michael Gillespie, xiaopao
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 12 сентября 2020 г.

Hentai Oniichan

Hentai Oniichan Ransomware

Variants: Berserker, King Engine

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Rijndael, а затем требует выкуп в 10 BTC (~ $130000), чтобы вернуть файлы. Оригинальное название: Hentai Oniichan Ransomware. На файле написано: recent_invoice_view.exe или что-то другое. Использует библиотеку Crypto++. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33369
BitDefender -> Gen:Variant.Johnnie.274191
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Injector.wktxz
ESET-NOD32 -> A Variant Of Generik.HKOKDPH
Kaspersky -> Trojan.Win32.Inject.anhmr
Malwarebytes -> Ransom.Quimera
Microsoft -> Trojan:Win32/Ymacco.AA44
Qihoo-360 -> Generic/HEUR/QVM10.2.E5CB.Malware.Gen
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Falsesign.Hsrw
TrendMicro -> TROJ_FRS.0NA103IE20
---

© Генеалогия: ??? >> Hentai Oniichan
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .HOR
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Ориентирован на англоязычных пользователей 
финансового и энергетического секторов, может распространяться по всему миру.

Записка от вымогателей называется: warning.htm


Содержание записки: 
If you end task/kill our program, your data will gone forever, which mean "YOU CANNOT RECOVER YOUR DATA!"

Перевод записки на русский язык: 
Если вы завершите нашу программу, ваши данные пропадут, т.е. ВЫ УЖЕ НЕ НЕ ВЕРНЕТЕ СВОИ ДАННЫЕ!

Другим информатором выступает изображение, заменяющее обои рабочего стола. 


Содержание записки с требованием выкупа: 
HENTAI ONICHAN RANSOMWARE VERSION BERSERKER
TO RECOVER DATA:
- PAY 10 BTC (BITCOIN).
- SEND/PAY ONLY TO THIS BITCOIN WALLET "ONLY TO THIS BITCOIN ADDRESS"
= bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu
- NO NEGOTIABLE OFFER MY ENGLISH IS BAD SO STOP WASTING TIME.
- SEND EMAIL TO hidalgoroberto859@gmail.com WITH SUBJECT YOUR COMPUTER/PC/IP NAME AND WITH BODY/MESSAGE "I'M DONE WITH PAYMENT".
- AFTER YOU FINISH WITH PAYMENT, I SEND DECRYPTOR PROGRAM.
- TIME EXPIRED IN 30 DAYS FROM NOW.
HOR
HentaiOniichanRansomware<HOR>

Перевод записки на русский язык: 
HENTAI ONICHAN RANSOMWARE VERSION BERSERKER
ДЛЯ ВОССТАНОВЛЕНИЯ ДАННЫХ:
- ЗАПЛАТИТЕ 10 BTC (BITCOIN).
- ОТПРАВЬТЕ ТОЛЬКО НА ЭТОТ БИТКОИН КОШЕЛЕК "ТОЛЬКО НА ЭТО БИТКОИН АДРЕС"
= bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu
- НЕТ НУЖНЫ ПЕРЕГОВОРЫ, МОЙ АНГЛИЙСКИЙ ПЛОХОЙ, НЕ ТЕРЯТЕ ВРЕМЯ.
- ОТПРАВЬТЕ EMAIL НА hidalgoroberto859@gmail.com, УКАЗАВ В ТЕМЕ ИМЯ ВАШЕГО КОМПЬЮТЕРА /ПК/IP И В ТЕЛЕ/СООБЩЕНИИ "Я СДЕЛАЛ ОПЛАТУ".
- ПОСЛЕ ОПЛАТЫ ПРИШЛЮ ДЕШИФРОВЩИК.
- ВРЕМЯ ПОШЛО, ОСТАЛОСЬ 30 ДНЕЙ.
HOR
HentaiOniichanRansomware <HOR



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама на тему COVID-19 и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует технологии Microsoft Powershell, CMD для осуществления атаки.

➤ Стремится максимально затруднить восстановление за счет удаления резервных копий файлов, созданных в разных программах, ориентированных на создание бэкапов. Для этого производится дополнительное удаление резервных копий и файлов образов дисков по расширениям и каталогам. В частности осуществляется поиск файлов со следующими расширениями: .vhd, .bac, .bak, .wbcat, .bkf, .set, .win, .dsk. 

Список отключаемых служб: 
Acronis VSS Provider
AcronisAgent
AcrSch2Svc
Antivirus
ARSM
AVP
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
BackupExecVSSProvider
bedbg
ccEvtMgr
ccSetMgr
Culserver
dbeng8
dbsrv12
DCAgent
DefWatch
EhttpSrv
ekrn
Enterprise Client Service
EPSecurityService
EPUpdateService
EraserSvc11710
EsgShKernel
ESHASRV
FA_Scheduler
IISAdmin
IMAP4Svc
KAVFSGT
kavfsslp
klnagent
macmnsvc
masvc
MBAMService
MBEndpointAgent
McAfeeEngineService
McAfeeFrameworkMcAfeeFramework
McShield
McTaskManager
mfefire
mfemms
mfevtp
MMS
mozyprobackup
MsDtsServer100
MsDtsServer110
MSExchangeES
MSExchangeIS
MSExchangeMGMT
MSExchangeMTA
MSExchangeSA
MSExchangeSRS
msftesql$PROD
msmdsrv
MSOLAP$SQL_2008
MSOLAP$SYSTEM_BGC
MSOLAP$TPSAMA
MSSQL$BKUPEXEC
MSSQL$ECWDB2
MSSQL$PRACTICEMGT
MSSQL$PRACTTICEBGC
MSSQL$PROD
MSSQL$PROFXENGAGEMENT
MSSQL$SBSMONITORING
MSSQL$SHAREPOINT
MSSQL$SOPHOS
MSSQL$SQL_2008
MSSQL$SQLEXPRESS
MSSQL$SYSTEM_BGC
MSSQL$TPSAMA
MSSQL$VEEAMSQL2008R2
MSSQL$VEEAMSQL2012
MSSQLFDLauncher$PROFXENGAGEMENT
MSSQLFDLauncher$SBSMONITORING
MSSQLFDLauncher$SHAREPOINT
MSSQLFDLauncher$SQL_2008
MSSQLFDLauncher$SYSTEM_BGC
MSSQLFDLauncher$TPSAMA
MSSQLSERVER
MSSQLServerADHelper100
MSSQLServerOLAPService
MySQL57
MySQL80
NetMsmqActivator
ntrtscan
OracleClientCache80
PDVFSService
POP3Svc
QBCFMonitorService
QBIDPService
QuickBoooks.FCS
ReportServer$SQL_2008
ReportServer$SYSTEM_BGC
ReportServer$TPSAMA
RESvc
RTVscan
SAVAdminService
SavRoam
SAVService
SepMasterService
ShMonitor
Smcinst
SmcService
SMTPSvc
SNAC
SntpService
Sophos Agent
Sophos AutoUpdate Service
Sophos Clean Service
Sophos Device Control Service
Sophos File Scanner Service
Sophos Health Service
Sophos MCS Agent
Sophos MCS Client
Sophos Message Router
Sophos Safestore Service
Sophos System Protection Service
Sophos Web Control Service
sophossps
SQL Backups
sqladhlp
SQLADHLP
sqlagent
SQLAgent$BKUPEXEC
SQLAgent$CITRIX_METAFRAME
SQLAgent$CXDB
SQLAgent$ECWDB2
SQLAgent$PRACTTICEBGC
SQLAgent$PRACTTICEMGT
SQLAgent$PROD
SQLAgent$PROFXENGAGEMENT
SQLAgent$SBSMONITORING
SQLAgent$SHAREPOINT
SQLAgent$SOPHOS
SQLAgent$SQL_2008
SQLAgent$SQLEXPRESS
SQLAgent$SYSTEM_BGC
SQLAgent$TPSAMA
SQLAgent$VEEAMSQL2008R2
SQLAgent$VEEAMSQL2012
sqlbrowser
SQLBrowser
SQLsafe Backup Service
SQLsafe Filter Service
SQLSafeOLRService
sqlserv
SQLSERVERAGENT
SQLTELEMETRY$ECWDB2
sqlwriter
SQLWriter
svcGenericHost
swi_filter
swi_service
swi_update_64
Symantec System Recovery
TmCCSF
tmlisten
tomcat6
TrueKeyScheduler
TrueKeyServiceHelper
UI0Detect
Veeam Backup Catalog Data Service
VeeamBackupSvc
VeeamBrokerSvc
VeeamCatalogSvc
VeeamCloudSvc
VeeamDeploymentService
VeeamDeploySvc
VeeamEnterpriseManagerSvc
VeeamHvIntegrationSvc
VeeamMountSvc
VeeamNFSSvc
VeeamRESTSvc
VeeamTransportSvc
vmware-converter
vmware-usbarbitator64
W3Svc
wrapper
WRSVC


Список файловых расширений, подвергающихся шифрованию:
Все популярные форматы, кроме игнорируемых. 
Это наверяка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и различные резервные копии и пр.

Список игнорируемых расширений:
.bak, .bin, .c, .cmd, .com, .cpp, .dat, .DAT, .db, .dll, .exe, .h, .hpp, .inf, .ini, .ink, .js, .lib, .lnk, .ps1, .sys, .vbs, .ws

Файлы, связанные с этим Ransomware:
update.pdb
2020Q3PH.pdb
warning.htm - название файла с требованием выкупа
recent_invoice_view.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Roberto\Desktop\items\Release\update.pdb
%USERPROFILE%\Desktop\items\Release\update.pdb
%USERPROFILE%\source\repos\2020Q3PH\Release\2020Q3PH.pdb
C:\Users\Vlv1337\Desktop\cryptopp-CRYPTOPP_8_2_0\rijndael_simd.cpp
C:\Users\Vlv1337\Desktop\cryptopp-CRYPTOPP_8_2_0\sha_simd.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Скриншот от исследователя: 

Сетевые подключения и связи:
Email: hidalgoroberto859@gmail.com 
BTC: bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 октября 2020: 
Расширение: .HOR
Новый вариант "King Engine" и нацелен на отрасль здравоохранения. 
Пересылает данные на email-адрес, обнаруженный в исполняемом файле. 
Эта версия шифрует также файлы с расширением .docm
Требует более высокий выкуп в 50 BTC (~ $650000). 


Вариант от 2 декабря 2020: 
Статья об этом варианте >> 
Расширение: .HOR
Файл: Fatality_DIed.dll
Результаты анализов: VT+ IA + IA



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 VMRay, Cofense
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *