RenameX12

RenameX12 Ransomware

RenameX12 Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует вторичные разделы на дисках ПК пользователей с помощью DiskCryptor, не трогая системный диск, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: нет. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> RenameX12

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется, потому что шифруются все разделы жесткого диска, кроме системного. 

Системный раздел переименовывается на: RenameX12@cock.li

 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Описанный случай атаки этого крипто-вымогателя относится к второй половине сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: New Text Document.txt
Эта записка много кратно дублируется по схеме: 

New Text Document.txt

New Text Document - Copy.txt

New Text Document - Copy (N).txt

Где "N" - это числовой рад, например, от 1 до 35

Содержание записки о выкупе:

Hello

decrypt contact:

main

RenameX12@cock.li

reserv only:

RenameX12@tutanota.com

NamedFree2@protonmail.com

Hello,

we need Your external IP or domain name

we provide You details and servers list now

please do not ask backup server as a demo

do not touch partition because You under risk loose Your data forever

do not ban our address now because You leave other people without passwords.

If this Banned please use our reserve contact and we will contact you back.

we do not use this email long time and close soon forever

after donation Your Confidential data will be deleting in our database forever

Best regards

Anonymous

Перевод записки на русский язык:

Привет

расшифровать контакт:

главный

RenameX12@cock.li

только резервный:

RenameX12@tutanota.com

NamedFree2@protonmail.com

Привет,

нам нужен ваш внешний IP или доменное имя

мы предоставим вам детали и список серверов тогда

пожалуйста, не запрашивайте резервный сервер в качестве демонстрации

не трогайте раздел, потому что вы рискуете потерять свои данные навсегда

не баньте наш адрес сейчас, потому что вы оставите других людей без паролей.

Если этот забанен, используйте наш резервный контакт и мы напишем вам.

мы не использовали этот email долгое время и скоро закроем навсегда

после пожертвования Ваши Конфиденциальные данные будут навсегда удалены из нашей базы данных

С наилучшими пожеланиями

Анонимный

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Как и в других подобных случаях при использования DiskCryptor, кроме всего прочего вредоносным ПО может быть повреждена или заблокирована главная загрузочная записки диска (MBR). Если в ПК используется более новый стандарт формата размещения таблиц разделов (GPT) и Windows 8-10, то блокировки не будет, но может быть использован другой деструктивный способ, не позволяющий полноценно загрузить ОС Windows. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
New Text Document.txt - название файла с требованием выкупа

New Text Document - Copy.txt

New Text Document - Copy (1).txt

*** от 1 до 35 ***

New Text Document - Copy (35).txt

dcrypt.sys - файл DiskCryptor 

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Program Files\dcrypt

C:\Windows\system32\Drivers\dcrypt.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://diskcryptor.net - старый сайт-поставщик шифровальщика

xxxxs://www.diskcryptor.org - новый сайт-поставщик шифровальщика

Email: RenameX12@cock.li

RenameX12@tutanota.com

NamedFree2@protonmail.com 

BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другой вариант без точной даты:

Топик на форуме >>

Email: CyberGod200@protonmail.com, ~ CyberGod200@@firemail.cc

➤ Содержание записки: 

decrypt contact:

main: CyberGod200@protonmail.com

not answer 3h: ***@firemail.cc (original code obfuscated with x's)

---

Hello,

we need Your external IP or domain name

we provide You details and servers list now

please do not ask backup server as a demo

do not touch partition because You under risk loose Your data forever

do not ban our address now because You leave other people without passwords.

If this Banned please use our reserve contact and we will contact you back.

we do not use this email long time and close soon forever

Best regards

Anonymous

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Solve

Solve Ransomware

Solve Linux Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей на сетевых накопителях NAS с помощью AES-256 + RSA для ключа, а затем требует выкуп в $400 в # BTC, чтобы вернуть файлы. Иногда сумма выкупа не указана. Оригинальное название: в записке не указано. Написан на языке Go. Предназначен для Linux-систем. Файлы можно расшифровать! 
---
Обнаружения:
DrWeb -> Linux.Encoder.68

Avast/AVG -> ELF:Filecoder-AX [Trj]

Avira (no cloud) -> LINUX/Ransom.jggmc
ESET-NOD32 -> A Variant Of Linux/Filecoder.Z
Microsoft -> Ransom:MacOS/Filecoder

Symantec -> OSX.Trojan.Gen
---

© Генеалогия: другие для NAS >> Solve

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: SOLVE ENCRYPTED FILES.txt

Содержание записок различается для разных пострадавших.

   

Содержание 1-й записки о выкупе:

All your files encrypted.

Want get them back? send email diVesTaCil@protonmail.com

ID: LQSSXHUXZ***

Перевод 1-й записки на русский язык:

Все ваши файлы зашифрованы.

Хотите вернуть? отправьте email на diVesTaCil@protonmail.com

ID: LQSSXHUXZ***

Содержание 2-й записки о выкупе: 

Your files encrypted due to security issues!

The used encryption for lock your files is secure and could not breakable without the correct key.

To be clear, the only way to recover your files is to pay the $400 with bitcoin cryptocurrency.

All you have to do to recover your files is to send your ID to our email address for receiving the payment instruction.

Also, you can send one of your files less size than 1 megabyte for a decryption guarantee.

ID: 341f53a78***

Email: ialpatntedu@protonmail.com

Перевод 2-й записки на русский язык: 

Ваши файлы зашифрованы из-за проблем с безопасностью!

Шифрование для блокировки ваших файлов надежно и без правильного ключа его не взломать.

Точнее, единственный способ восстановить ваши файлы - заплатить $400 в биткойн.

Чтобы вернуть свои файлы вам надо отправить свой ID на наш email-адрес для получения платежных инструкций.

Еще вы можете отправить один из ваших файлов менее 1 Мб для гарантии дешифрования.

ID: 341f53a78 ***

Email: ialpatntedu@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SOLVE ENCRYPTED FILES.txt - название файла с требованием выкупа
LQSSXHUXZMFG - пример ELF-файла, сочетающего в себе ID пострадавшего, а на самом деле является вредоносным файлов для Linux-систем сетевых накопителей NAS. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: diVesTaCil@protonmail.com

Email-2: ialpatntedu@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 октября 2020:

Пост на форуме >>

Расширение: .encrypted

Записка: SOLVE ENCRYPTED FILES.txt

BTC: 17mULFJwDFpJYWdMVQMXqifk7hTtaH7dT4

Сумма выкупа: 0.0600 BTC

Tor-URL: xxxx://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion

➤ Содержание записки:

Hello!

Your files are encrypted and can never access your files without our solution!

What is the solution?

- Seach "Download Tor Browser" on the internet for access to our website.

- Visit the website below with the <Tor Browser>

 http://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion/link/***

- Buy "DECRYPTION KEY" to restore files instantly.

---

 

➤ Содержание Tor-сайта:

 Recover Files Instruction

---

Affected Device NAS

Amount For Recovery 0.0600 BTC

---

If you want to decrypt your files and get them back.

You need decryption tool and key. The only way to buy them is from this link.

We do not accept credit cards or bank transfer as a payment method.

You have to pay only in Bitcoin (BTC) Digital currency.

Transfer amount of 0.0600 Bitcoin (Exactly the same amount at once) to wallet address: 17mULFJwDFpJYWdMVQMXqifk7hTtaH7dT4

Payment calculated after three confirms from the blockchain network. You can check your transaction information Here

Please do not panic if you paid. Give some time for payment for confirmation.

The download box is available after payment. If you completed a payment,

[please refresh the page]

[Download (Decryption tools & Guide + Support)]

---

F.A.Q

How to buy bitcoin?

Search for the Internet or ask from specialist.

How long take receive a decryption tools and solve the encrypted files after payment?

After payment confirmation. Immediate with complete guide with support.

I do not spend enough amount. What do now?

Just send the rest of the amount.

I don't have money. Please give me a favor?

Without money, you will receive *nothing*.

I want to test the free solutions first and then pay you.

Your files are overwritten with an encrypted form of a file. No free way to recovery and antivirus companies cannot help you too. If you waste a time this website may get offline soon. This means complete data loss without any hope! 

=== 2021 ===

Вариант от 4 июня 2021 или раньше:

Записка: SOLVE ENCRYPTED FILES.txt

➤ Содержание записки:

Hello!

Your files are encrypted and can never access your files without our solution!

What is the solution?

- Seach "Download Tor Browser" on the internet for access to our website.

- Visit the website below with the <Tor Browser>

 http://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion/link/b6d599b41ffaac584e

- Buy "DECRYPTION KEY" to restore files instantly.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать! 
Get help from Emmanuel_ADC-Soft
- Twitter (DM) >>
- Official site >>
***

 Read to links: 
 Message + myTweet
 ID Ransomware (ID as Solve)
 Write-up, Topic of Support

 Thanks: 
 Michael Gillespie, Emmanuel_ADC-Soft
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Badbeeteam

Badbeeteam Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: vol2-C..Windows.Systema32.svchost.exe. Написан на языке Rust.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32628
BitDefender -> Trojan.GenericKD.43881417
Avira (no cloud) -> TR/AD.RansomHeur.wkswc
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODO
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic@ML.84 (RDML:/qKz*
Symantec -> ML.Attribute.HighConfidence, Ransom.Wannacry, Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.BADBEE.THIBDBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ??? >> Badbeeteam

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CRPTD

Визуализация зашифрованного файла: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Recover files.hta

 

Скриншот HTA-записки

HTML-код записки

Записка частично похожа на то, что использовалось ранее в вымогательских компаниях GlobeImposter. 

Содержание записки о выкупе:

Your personal ID

4-uP9S0Rmr-X0128C

☣Your files are encrypted!☣

⬇ To decrypt, follow the instructions below.⬇

To recover data you need decrypt tool.

To get the decrypt tool you should:

Send 3 crypted test image or text file or document to badbeeteam@mail.ee

Or alternate mail badbeeteam@cock.li

In the letter include your personal ID (look at the beginning of this document). Send me this ID in your first email to me.

We will give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files.

After we send you instruction how to pay for decrypt tool and after payment you will receive a decrypt tool and instructions how to use it We can decrypt few files in quality the evidence that we have the decoder.

--------------------------------------------------------------------------------

MOST IMPORTANT!!!

Do not contact other services that promise to decrypt your files, this is fraud on their part!

They will buy a decoder from us, and you will pay more for his services.

No one, except badbeeteam@mail.ee (badbeeteam@cock.li), will decrypt your files.

--------------------------------------------------------------------------------

Only badbeeteam@mail.ee (badbeeteam@cock.li) can decrypt your files

Do not trust anyone besides badbeeteam@mail.ee (badbeeteam@cock.li)

Antivirus programs can delete this document and you can not contact us later.

Attempts to self-decrypting files will result in the loss of your data

Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:

Ваш личный ID

4-uP9S0Rmr-X0128C

Ваши файлы зашифрованы!

Чтобы расшифровать, следуйте приведенным ниже инструкциям.

Для восстановления данных вам нужен инструмент дешифрования.

Чтобы получить инструмент дешифрования, вам надо:

Отправить 3 зашифрованных тестовых изображения, текстовых файла или документа на badbeeteam@mail.ee

Или альтернативная почта badbeeteam@cock.li

В письме укажите свой личный ID (см. начало этого документа). Отправьте мне этот ID в своем первом email .

Мы дадим вам бесплатный тест на расшифровку нескольких файлов (НЕ ЗНАЧЕНИЕ) и назначим цену за расшифровку всех файлов.

После того, как мы отправим вам инструкцию, как оплатить инструмент дешифрования, и после оплаты вы получите инструмент дешифрования и инструкции по его использованию. Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.

--------------------------------------------------------------------------------

САМОЕ ВАЖНОЕ!!!

Не связывайтесь с другими сервисами, которые обещают расшифровать ваши файлы, это мошенничество с их стороны!

Они купят у нас декодер, а вы заплатите больше за его услуги.

Никто, кроме badbeeteam@mail.ee (badbeeteam@cock.li), не расшифрует ваши файлы.

--------------------------------------------------------------------------------

Только badbeeteam@mail.ee (badbeeteam@cock.li) может расшифровать ваши файлы

Не доверяйте никому, кроме badbeeteam@mail.ee (badbeeteam@cock.li)

Антивирусные программы могут удалить этот документ и вы не сможете связаться с нами позже.

Попытки самостоятельно расшифровать файлы приведут к потере ваших данных

Декодеры других пользователей несовместимы с вашими данными, потому что у каждого пользователя уникальный ключ шифрования

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Добавляет в Автозагрузку Windows файл записки с требованием выкупа. 

C:\Users\User\AppData\Roaming\Microsoft\Word\STARTUP\Recover files.hta

➤ Отключает процессы, связанные с базами данных, находящиеся в том числе на сетевых ресурсах: 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recover files.hta - название файла с требованием выкупа
vol2-C..Windows.Systema32.svchost.exe - название вредоносного файла

start.bat

start_after.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%APPDATA%\Microsoft\Visio\start.bat

%APPDATA%\Microsoft\Visio\start_after.bat

Записи реестра, связанные с этим Ransomware:

\REGISTRY\USER\S-1-5-21-2090973689-680783404-4292415065-1000\Software\Microsoft\Windows\CurrentVersion\Run\Readme = "C:\\Users\\Admin\\AppData\\Roaming\\Microsoft\\Visio\\readme.bat"

\REGISTRY\USER\S-1-5-21-2090973689-680783404-4292415065-1000\Software\Microsoft\Windows\CurrentVersion\Run\Readme_c = "C:\\\\readme.bat"

и другие. 

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: badbeeteam@mail.ee, badbeeteam@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 октября 2020: 

Пост в Твиттере >>

Расширение: .CRPTD

C:\Users\X\IdeaProjects\untitled\target\i686-pc-windows-msvc\release\deps\untitled.pdb

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Kelly

Kelly Ransomware

Kelly ChineseLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Kelly, указано выше китайского текста. На файле написано: Leen.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32286
Avira (no cloud) -> TR/Redcap.uwubk
BitDefender -> Gen:Variant.MSILPerseus.234458
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan.MSIL.Dnoper.gen
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Dnoper!8.10CB3 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Dnoper.Pfsw
TrendMicro -> ***
---

© Генеалогия: предыдущие варианты >> Kelly

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locky


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине сентября 2020 г. Ориентирован на китайских пользователей, может распространяться по всему миру.

Записка с требованием выкупа написана на экран блокировки: 

Содержание записки о выкупе:

FILE ENCRYPTED BY KELLY

我的电脑出了什么问题

您电脑内的重要文件被加密保存了，无法正常打开访问

除了我们以外，没有任何方式您可以恢复这些档案

如何恢賈这呰文件

咅案是肯定的，只能透过我们的解密服夯对能恢复

这个服夯雷要收费，且有时效性

费用与时效

我们仅接受比特币(Bitcoin)做为付款方式，比特币付款地址和教重将显示于下方栏位中，

同时提醒您若在期效内没有收到付款，费用将会豳倍，时间过久您的档案将会被全数删除。

強烈逮设，在档案恢葚之前，谪不要关闭或是刪除此钦件，并且关闭您所有的防毐软件，否则您的档案有可能永远无法复原。

---

比特帀付款地址 [1L9REpvzBkWUhVKzsoLJEVLBh19Ng5jiqb] [**]

解锁费用 0,05 BTC  47:59:14 [ 查询当前忖歃状况及解密 ]

Перевод записки на русский язык:

Что не так с моим компьютером

Важные файлы на вашем компьютере зашифрованы и не могут быть открыты и доступны в обычном режиме.

Вы не сможете восстановить эти файлы, кроме нас.

Как восстановить этот файл

Зашифрвоанный файл может быть восстановлен только через наш сервер дешифрования.

Эта услуга требует оплаты и зависит от времени.

Стоимость и срок

Мы принимаем только биткойны в качестве оплаты, адрес для оплаты биткойнами и статус будут отображаться в столбце ниже.

Кроме того, напоминаем вам, что если вы не сделаете платеж в течение срока действия, сумма будет удвоена, а ваши файлы будут удалены, если время будет превышено.

Очень рекомендуется перед восстановлением файла не закрывать и не удалять этот файл, а также закрыть все защитные программы, иначе ваши файлы могут никогда не быть восстановлены.

---

Адрес Биткоин-кошелька [1L9REpvzBkWUhVKzsoLJEVLBh19Ng5jiqb] [**]

Плата за разблокировку 0,05 BTC 47:59:14 [Запрос статуса и расшифровки]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Leen.exe (executable.exe) - название вредоносного файла;

K.log - специальный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\ax020\source\repos\WindowsFormsApp1\WindowsFormsApp1\obj\Debug\Leen.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Ошибки в работе:

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1L9REpvzBkWUhVKzsoLJEVLBh19Ng5jiqb
URL: lihi1.cc -> lihi.io

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Используются следующие ссылки:

xxxxs://lihi1.cc/4kdW2

xxxxs://lihi1.cc/7FWHR

xxxxs://live.blockcypher.com/btc/address/

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.