Если вы не видите здесь изображений, то используйте VPN.

пятница, 18 сентября 2020 г.

Egregor

Egregor Ransomware

Egregor Doxware

(шифровальщик-вымогатель, RaaS, публикатор) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует связаться в течение 3 дней для уплаты выкупа в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. 
Хакеры-вымогатели: Twisted Spider Extortion Group. Среди вымогателей есть граждане Украины, по другим данным это международная хакерская группа

Вымогатели, распространяющие Egregor, угрожают опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. На момент публикации статьи еще не было известно о публикациях украденных данных, вымогатели только угрожали, что данные будут опубликованы в СМИ. Позже появилась информация, что операторы Maze перешли на Egregor. 
---
Обнаружения:
DrWeb -> Trojan.Siggen10.31058
BitDefender -> Gen:Variant.Zusy.313821
ESET-NOD32 -> A Variant Of Win32/Kryptik.HEDE
Malwarebytes -> ***
Rising -> Trojan.Generic@ML.88 (RDML:5pA***
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Johnnie.Pdmk
TrendMicro -> TROJ_GEN.R002H09IO20, TROJ_FRS.0NA103IQ20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Maze > Sekhmet > Egregor

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVER-FILES.txt

Содержание записки о выкупе:

��
------------------
| What happened? |
------------------
Your network was ATTACKED, your computers and servers were LOCKED,
Your private data was DOWNLOADED.
----------------------
| What does it mean? |
----------------------
It means that soon mass media, your partners and clients WILL KNOW about your PROBLEM.
--------------------------
| How it can be avoided? |
--------------------------
In order to avoid this, 
To avoid this issue you are to COME IN TOUCH WITH US no later than within 3 DAYS and conclude the data recovery and breach fixing AGREEMENT.
-------------------------------------------
| What if I do not contact you in 3 days? |
-------------------------------------------
If you do not contact us in the next 3 DAYS we will begin DATA publication.
-----------------------------
| I can handle it by myself |
-----------------------------
It is your RIGHT, but in this case all your data will be published for public USAGE.
-------------------------------
| I do not fear your threats! |
-------------------------------
That is not the threat, but the algorithm of our actions.
If you have hundreds of millions of UNWANTED dollars, there is nothing to FEAR for you.
That is the EXACT AMOUNT of money you will spend for recovery and payouts because of PUBLICATION.
--------------------------
| You have convinced me! |
--------------------------
Then you need to CONTACT US, there is few ways to DO that.
I. Recommended (the most secure method)
   a) Download a special TOR browser: https://www.torproject.org/ 
   b) Install the TOR browser
   c) Open our website with LIVE CHAT in the TOR browser: http://egregor[redacted].onion/[redacted]
   d) Follow the instructions on this page.
II. If the first method is not suitable for you
   a) Open our website with LIVE CHAT: https://[redacted].top/[redacted]
   b) Follow the instructions on this page.
Our LIVE SUPPORT is ready to ASSIST YOU on this website.
----------------------------------------
| What will I get in case of agreement |
----------------------------------------
You WILL GET full DECRYPTION of your machines in the network, FULL FILE LISTING of downloaded data,
confirmation of downloaded data DELETION from our servers, RECOMMENDATIONS for securing your network perimeter.
And the FULL CONFIDENTIALITY ABOUT INCIDENT.
----------------------------------------------------------------------------------
Do not redact this special technical block, we need this to authorize you.
---EGREGOR---
[redacted base64]
---EGREGOR---

Перевод записки на русский язык:
�� 
------------------
| Что произошло? |
------------------
Ваша сеть АТАКОВАНА, ваши компьютеры и серверы БЛОКИРОВАНЫ,
Ваши личные данные ЗАГРУЖЕНЫ.
----------------------
| Что это значит? |
----------------------
Это значит, что скоро СМИ, ваши партнеры и клиенты УЗНАЮТ о вашей ПРОБЛЕМЕ.
--------------------------
| Как этого избежать? |
--------------------------
Чтобы этого избежать,
Чтобы избежать этой проблемы, вы должны СВЯЗАТЬСЯ С НАМИ не позднее 3 ДНЕЙ и заключить СОГЛАШЕНИЕ о восстановлении данных и устранении нарушений.
-------------------------------------------
| Что делать, если я не свяжусь с вами в течение 3 дней? |
-------------------------------------------
Если вы не свяжетесь с нами в следующие 3 ДНЕЙ, мы начнем публикацию ДАННЫХ.
-----------------------------
| Я справлюсь сам |
-----------------------------
Это ваше ПРАВО, но в этом случае все ваши данные будут опубликованы для публичного использования.
-------------------------------
| Я не боюсь ваших угроз! |
-------------------------------
Это не угроза, а алгоритм наших действий.
Если у вас есть сотни миллионов НЕНУЖНЫХ долларов, вам нечего бояться.
Это ТОЧНАЯ СУММА денег, которую вы потратите на восстановление и выплаты из-за ПУБЛИКАЦИИ.
--------------------------
| Вы меня убедили! |
--------------------------
Тогда вам нужно СВЯЗАТЬСЯ С НАМИ, есть несколько способов сделать это.
I. Рекомендуемый (самый безопасный метод)
   а) Загрузите специальный браузер TOR: https://www.torproject.org/
   б) Установите браузер TOR
   c) Откройте наш веб-сайт с помощью LIVE CHAT в браузере TOR: http://egregor[скрыто].onion/[скрыто]
   г) Следуйте инструкциям на этой странице.
II. Если первый способ вам не подходит
   а) Откройте наш веб-сайт в ЖИВОМ ЧАТЕ: https://[скрыто].top/[скрыто]
   б) Следуйте инструкциям на этой странице.
Наша Живая ПОДДЕРЖКА готова помочь ВАМ на этом сайте.
----------------------------------------
| Что я получу в случае соглашения |
----------------------------------------
ВЫ ПОЛУЧИТЕ ПОЛНУЮ РАСШИФРОВКУ ваших машин в сети, ПОЛНЫЙ СПИСОК ФАЙЛОВ загруженных данных,
подтверждение УДАЛЕНИЯ загруженных данных с наших серверов, РЕКОМЕНДАЦИИ по охране периметра вашей сети.
И ПОЛНАЯ КОНФИДЕНЦИАЛЬНОСТЬ ОБ ИНЦИДЕНТЕ.
-------------------------------------------------- --------------------------------
Не редактируйте этот специальный технический блок, он нужен нам для авторизации.
---EGREGOR---
[скрыто base64]
---EGREGOR---

Сайт вымогателей находит в сети Tor.

Содержание текста на сайте:
Egregor
Greetings
We have hacked your network, downloaded and encrypted your data.
You can recover your data and prevent data leakage to public.
Please upload your note
RECOVER-FILES.txt using the form below and start recovering your data.
After you upload note, you will be provided with further instructions.


Перевод на русский язык:
Egregor
Приветствую
Мы взломали вашу сеть, скачали и зашифровали ваши данные.
Вы можете вернуть свои данные и остановить утечку данных в открытый доступ.
Загрузите записку
RECOVER-FILES.txt, используя форму ниже, и начните возврат своих данных.
После загрузки записки вам будут предоставлены дальнейшие инструкции.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Egregor Ransomware использует три разные функции Windows API, чтобы проверить компьютер на принадлежность к России или и некоторым странам СНГ и прекратит работу, если обнаружит следующие локали: 

0423 Белорусский (Беларусь)
0428 Таджикский (кириллица, Таджикистан)
042B Армянский (Армения)
042C Азербайджанский (латиница, Азербайджан)
0437 Грузинский (Грузия)
043F Казахский (Казахстан)
0440 Киргизский (Киргизия)
0442 Туркменский - Туркмения
0443 Узбекский (латиница, Узбекистан)
0444 Татарский (Россия)
0818 Румынский (Молдова)
0819 Русский (Молдова)
082C Азербайджанский (кириллица, Азербайджан)
0843 Узбекский (кириллица, Узбекистан)

➤ Для каждого шифруемого файла используется новое случайное расширение. Используется файловый маркер из двух DWORD в EOF XOR'd вместе до определенного значения для идентификации зашифрованных файлов. >>

➤ Подробности шифрования:
Шифровальщик использует функции API GetLogicalDriveStrings и GetDiskFreeSpace для определения имён и типов логических дисков, подключенных к устройству, в дополнение к количеству доступного на них свободного места. 
Открытый RSA-ключ встроен в конфигурацию. Для каждого шифруемого файла генерируется пара закрытого и открытого ключей. Открытый ключ используется для шифрования симметричных ключей, которые позже будут использоваться для шифрования каждого файла. Для каждого шифруемого файла  создается уникальный симметричный ключ.

Схема генерации ключей:
- С помощью CryptGenKey создается 2048-битная пара RSA-ключей (т.н. сеансовый ключ).
- Затем ключ экспортируется с помощью API CryptExportKey.
- Экспортированный ключ шифруется с помощью ChaCha с использованием случайно сгенерированного ключа и IV.
- Ключи ChaCha зашифрованы с помощью функции CryptEncrypt и открытого RSA-ключ, встроенного в конфигурацию.
- Зашифрованный ключ ChaCha и зашифрованный сеансовый ключ сохраняются на диск по жестко заданному пути %ProgramData%\dtb.dat

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVER-FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
b.dll - представленный для анализа файл
testbuild.pdb - название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
M:\sc\p\testbuild.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://egregor***.onion
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Maze Ransomware - май 2019 - ноябрь 2020
Sekhmet Ransomware - март 2020 - октябрь 2020
Egregor Ransomware -  сентябрь 2020 - февраль 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 октября 2020:
Расширение: .CRYTEK
Пострадавшие компании Ubisoft и Crytek


Обновление от 12 октября 2020:
Сообщение >>


Обновление от 29 октября 2020:
Статья о закрытии вымогательского проекта "Maze Ransomware" и переход операторов вымогателей на "Egregor Ransomware". 
Вымогатели также подтверждили, что Maze, Sekhmet, Egregor являются их вымогательскими програмами. 


Более того, пострадавшие от Egregor после уплаты выкупа получают. Sekhmet Decryptor.  


Обновление от 18 ноября 2020:
Деятели стоящие за Egregor Ransomware решили заявить о себе оригинальным способом. Чтобы привлечь внимание жертвы после атаки они стали с помощью сценария добавлять в печать на принтер своё сообщение. Это не отдельно взятый случай. Egregor многократно печатает записки о выкупе на всех доступных сетевых и местных принтерах.

------------------
| What happened? |
------------------
Your network was ATTACKED, your computers and servers were LOCKED,
Your private data was DOWNLOADED.
----------------------
| What does it mean? |
----------------------
It means that soon mass media, your partners and clients WILL KNOW about your PROBLEM.
--------------------------
***
Это сообщение полностью есть в начале статьи, нет смысла повторть его здесь. Важно отметить, что вымогатели делают это для того, чтобы повысить осведомленность общественности об атаке и усилить давление на организацию-жертву, вынуждая её заплатить выкуп. Многие организации, государственные и финансовые учреждение предпочитают скрывать инциденты с вымогательством. 



Обновление от 30 ноября 2020:
Выплата выкупа теперь называется контрактом. 👾




Обновление от 1 декабря 2020:
Расширение: .SEBsC
Записка: RECOVER-FILES.txt
Tor-URL: xxxx://egregor4u5ipdzhv.onion/C4BA3647FD0D6918
URL: xxxxs://egregor-support.com/C4BA3647FD0D6918
Файл проекта: G:\Intel\Logs\qqqqq.pdb
Файл: qq.dll
Результаты анализов: VT + AR
 



Обновление от 10 февраля 2021:
В ходе совместной операции полиции Франции и Украины удалось арестовать некоторых участников вымогательства Egregor Ransomware. 


=== 2022 ===

Новость от 9 февраля 2022
Представитель группы вымогателей выложил в общий доступ на форуме BleepingComputer ключи дешифрования для пострадавших от Maze, Sekhmet, Egregor Ransomware.   
Ссылка на скриншоте скрыта, чтобы не дать возможность использовать вредоносные файлы инфектора m0yv, которые были в архиве. 


Внимание! 
Теперь есть дешифровщик >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myTweet
 ID Ransomware (ID as Egregor)
 Write-up, Topic of Support
 Added later: Write-up (on December 7, 2020)
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 Tom Roter (Minerva Labs)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 17 сентября 2020 г.

DogeCrypt

DogeCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: DogeCrypt.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32590
BitDefender -> Generic.Ransom.DesuCrypt.33358200
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAJ
Malwarebytes -> Ransom.DesuCrypt
Microsoft - > Ransom:Win32/InsaneCrypt.A
Qihoo-360 -> Generic/HEUR/QVM10.2.F8C7.Malware.Gen
Rising -> Ransom.DesuCrypt!1.C24F (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Crl
TrendMicro -> Ransom_InsaneCrypt.R002C0DIK20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: InsaneCrypt (desuCrypt) >> DogeCrypt

DogeCrypt Ransomware
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .DogeCrypt
Фактически используется составное расширение: .[dogeremembersss@protonmail.ch].DogeCrypt

Визуализация зашифрованного файла: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: note.txt

Содержание записки о выкупе: 
WARNING!
Your files were encrypted by DogeCrypt.
The files are not damaged or destroyed! They're only modified
If you want to reverse the modification conatact us:
dogeremembersss@protonmail.ch
or
omnisystems@airmail.cc

Перевод записки на русский язык: 
ПРЕДУПРЕЖДЕНИЕ!
Ваши файлы зашифрованы с DogeCrypt.
Файлы не повреждены и не уничтожены! Они лишь модифицированы
Если хотите отменить модификацию, напишите нам:
dogeremembersss@protonmail.ch
или
omnisystems@airmail.cc


Информатором жертвы также выступает изображение DOGECRYPTinfo.jpg, заменяющее обои Рабочего стола. Текст как в записке. 
DogeCrypt Ransomware
Оригинальное изображение

Изображение, заменившие обои

Комбинированные изображения: файлы, открытая записка


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, удаляет каталог резервных копий, отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe / c vssadmin delete shadows / all / quiet & wmic shadowcopy delete & bcdedit / set{ default } bootstatuspolicy ignoreallfailures & bcdedit / set{ default } recoveryenabled no & wbadmin delete catalog - quiet

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .accdb, .ARC, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .class, .cmd, .cpp, .crt, .csr, .css, .csv, .dat, .dbf, .der, .dif, .doc, .docm, .docx, .dot, .dotm, .dwg, .eml, .fla, .flv, .frm, .gif, .html, .hwp, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .odb, .odp, .ods, .odt, .p12, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sql, .sqlite3, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tgz, .tif, .tiff, .txt, .vbs, .vdi, .vmdk, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (125 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
note.txt - название файла с требованием выкупа
DOGECRYPTinfo.jpg - изображение 
desucryptKeyContainer.info - специальный файл
desuCrypt.pdb - проект вымогателя
DogeCrypt.exe - исполняемый файл вымогателя

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\WorkWorkWorkWork\desuCrypt-master\Release\desuCrypt.pdb
C:\Users\User\AppData\Local\Temp\DogeCrypt.exe
C:\desucryptKeyContainer.info

Содержимое файла desucryptKeyContainer.info

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Control Panel\Desktop\Wallpaper = "C:\\DOGECRYPTinfo.jpg"
C:\Users\Admin\Pictures\InstallRedo.tiff
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
dogeremembersss@protonmail.ch, omnisystems@airmail.cc
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as InsaneCrypt)
 Write-up, Topic of Support
 * 

Внимание! Файлы можно дешифровать! Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
- Видеоролик, сделанный с помощью сервиса AnyRun


 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 15 сентября 2020 г.

PewPew

PewPew Ransomware

Variants: Abkir, Artemis, Optimus 

(шифровальщик-вымогатель, стиратель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: pewpew. На файле написано: Abkir и 
pewpew.exe. Разработка: pewpew TEAM. 
---
Обнаружения:
DrWeb -> Trojan.Siggen10.21398
BitDefender -> Trojan.GenericKD.34531461
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1137405
ESET-NOD32 -> A Variant Of Win32/Packed.Enigma.DS
Malwarebytes -> Ransom.Pewpew
Rising -> PUF.Pack-Enigma!1.BA33 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan-psw.Fakeransom.Hmrj
TrendMicro -> 
Ransom_Higuniel.R06EC0DII20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: 
✂️ 0kilobypt  ✂️ Dharma >> PewPew

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .abkir

Фактически используется составное расширение: .id-C4BA3647.[pewpew@TuTa.io].abkir
Шаблон расширения был заимствован из Dharma Ransomware

Файлы полностью затерты нулями, как это было в случаях с 0kilobypt Ransomware и некоторыми другими. 


В свете этого, использование ID кажется бессмысленным. Поэтому, уплата выкупа кажется бесполезной... 

✋ После публикации статьи представители PewPew сообщили мне, что файлы конвертируются в 0 байтов, если нет связи с хостом. Сам хост находится в США и фильтруется по российским IP-адресам. Поэтому вымогатели всё-таки могут вернуть файлы после уплаты выкупа. 
Видимо также устанавливается еще какой-то руткит или другой модуль, перехватывающий функции копирования, архивации и прочие. 

Если связь с хостом есть, то файлы будут зашифрованными. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
info-decrypt.hta
info-decrypt.txt

Анализ теста показал, что текст записок был заимствован из других программ-вымогателей. 


Содержание hta-записки о выкупе: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail : pewpew@TuTa.io
Write this ID in the title of your message : C4BA3647
In case of no answer in 12 hours write us to this e-mail : pewpew@Protonmail.Com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. 
---
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
---
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
---
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Перевод hta-записки на русский язык: 
Все ваши файлы зашифрованы!
Все ваши файлы зашифрованы из-за проблемы с безопасностью вашего ПК. Если вы хотите их восстановить, напишите нам на email: pewpew@TuTa.io
Напишите этот ID в заголовке сообщения: C4BA3647
Если в течение 12 часов не ответите, напишите нам на этот email-адрес: pewpew@Protonmail.Com
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
---
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов не должен превышать 4 МБ (без архива), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т.д.)
---
Как получить биткойны
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вам необходимо зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
---
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может вызвать повышение цены (они прибавляют свою цену к нашей) или вы можете стать жертвой мошенничества.




Содержание txt-записки о выкупе:
  All your files have been encrypted !
 ( All your files have been encrypted with AES256 + RSA2048 Algorithm due to a security problem with your PC )
- If you want to restore them, write us to the e-mail : pewpew@TuTa.io
- Write this ID in the title of your message : C4BA3647
- If you do not receive a response within 12 hours, send a message to this email : pewpew@Protonmail.Com
 ( You have to pay for decryption in Bitcoins )
- The price depends on how fast you write to us.
- After payment we will send you the decryption tool that will decrypt all your files. 
 ( Free decryption as guarantee )
- Before paying you can send us up to 1 file for free decryption.
- The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
 ( How to obtain Bitcoins )
- The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
- https://localbitcoins.com/buy_bitcoins 
- Also you can find other places to buy Bitcoins and beginners guide here: 
- http://www.coindesk.com/information/how-can-i-buy-bitcoins/
- [ pewpew TEAM ]

Перевод txt-записки на русский язык:
Все ваши файлы зашифрованы!
 (Все ваши файлы были зашифрованы с алгоритмом AES256 + RSA2048 из-за проблемы с безопасностью вашего ПК)
- Если вы хотите их восстановить, напишите нам на email: pewpew@TuTa.io
- Напишите этот идентификатор в заголовке сообщения: C4BA3647.
- Если вы не получили ответ за 12 часов, отправьте сообщение на этот email-адрес: pewpew@Protonmail.Com
 (Вы должны заплатить за расшифровку в биткойнах)
- Цена зависит от того, как быстро вы нам напишите.
- После оплаты мы вышлем вам расшифровку, которая расшифрует все ваши файлы.
 (Бесплатная расшифровка как гарантия)
- Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки.
- Общий размер файлов не должен превышать 1 МБ (не в архиве), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)
 (Как получить биткойны)
- Самый простой способ купить биткойны - это сайт LocalBitcoins. Вам надо зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.
- https://localbitcoins.com/buy_bitcoins
- Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
- http://www.coindesk.com/information/how-can-i-buy-bitcoins/
- [pewpew TEAM]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
info-decrypt.hta - название файла с требованием выкупа
info-decrypt.txt - название файла с требованием выкупа
pewpew.exe - название вредоносного файла
 

Сообщение от одного из вымогателей в комментариях к файлу на сайте VT.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pewpew@TuTa.io, pewpew@Protonmail.Com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 октября 2020:
Пост в Твиттере >>
Расширение: .artemis
Составное расширение: .id-9C354B42.[khalate@tutanota.com].artemis
Записка: info-decrypt.hta
URL: xxxx://randomware01.info/?submit
Файл EXE: 
Artemis.exe
Результаты анализов: VT + VMR + IA


Вариант от 16 марта 2021: 
Расширение: .optimus
Новый шаблон расширения: .id[<ID>].[email].optimus
Пример полного расширения: .id[7C72FDA0].[optimus982@tutanota.com].optimus
Записка: ReadMe-[7C72FDA0].txt
Email: optimus982@tutanota.com, khomeyni@tutanota.de
Результаты анализов: VT + IA

➤ Содержание записки: 
Artemis
!!! All your files encrypted !!!
You Have to Pay For The Restore
To Decrypt (Restore) them send e-mail to this address: optimus982@tutanota.com
If we don't answer in 24h., send e-mail to this address: khomeyni@tutanota.de
Your Unique ID : 7C72FDA0 


Вариант от 18 марта 2021:
Расширение: .optimus
Email: sikbeker@tuta.io, sikbeker@protonmail.ch
Аналогичен варианту от 16 марта (см. выше). 


Вариант от 7 декабря 2021:
Расширение: .lama
Пример полного расширения: .id[35C5675D].[badlamadec@gmail.com].lama
Записка: ReadMe-[35C5675D].txt
Email: badlamadec@gmail.com, badlamadec@msgsafe.io
Большой зашифрованный zip-архив можно частично восстановить с помощью архиватора 7-zip, так как зашифровано только начало файла. 



Вариант от 21 марта 2022:
Расширение: .optimus
Расширение (пример): .(MJ-XH34816XXXXX)(Decryption.helper@aol.com).Cj.id[A80XXXXX].[unlockdeer@gmail.com].optimus
Записка: ReadMe-[A8027869].txt
Email: unlockdeer@gmail.com, unlockdeer@msgsafe.io







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PewPew)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Michael Gillespie, xiaopao
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *