RenameX12 Ransomware
RenameX12 Hand-Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует вторичные разделы на дисках ПК пользователей с помощью DiskCryptor, не трогая системный диск, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: нет.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> RenameX12
Изображение — логотип статьи
К зашифрованным файлам никакое расширение не добавляется, потому что шифруются все разделы жесткого диска, кроме системного.
Системный раздел переименовывается на: RenameX12@cock.li
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Описанный случай атаки этого крипто-вымогателя относится к второй половине сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: New Text Document.txt
Эта записка много кратно дублируется по схеме:
New Text Document.txt
New Text Document - Copy.txt
New Text Document - Copy (N).txt
Где "N" - это числовой рад, например, от 1 до 35
Содержание записки о выкупе:
Hello
decrypt contact:
main
RenameX12@cock.li
reserv only:
RenameX12@tutanota.com
NamedFree2@protonmail.com
Hello,
we need Your external IP or domain name
we provide You details and servers list now
please do not ask backup server as a demo
do not touch partition because You under risk loose Your data forever
do not ban our address now because You leave other people without passwords.
If this Banned please use our reserve contact and we will contact you back.
we do not use this email long time and close soon forever
after donation Your Confidential data will be deleting in our database forever
Best regards
Anonymous
Перевод записки на русский язык:
Привет
расшифровать контакт:
главный
RenameX12@cock.li
только резервный:
RenameX12@tutanota.com
NamedFree2@protonmail.com
Привет,
нам нужен ваш внешний IP или доменное имя
мы предоставим вам детали и список серверов тогда
пожалуйста, не запрашивайте резервный сервер в качестве демонстрации
не трогайте раздел, потому что вы рискуете потерять свои данные навсегда
не баньте наш адрес сейчас, потому что вы оставите других людей без паролей.
Если этот забанен, используйте наш резервный контакт и мы напишем вам.
мы не использовали этот email долгое время и скоро закроем навсегда
после пожертвования Ваши Конфиденциальные данные будут навсегда удалены из нашей базы данных
С наилучшими пожеланиями
Анонимный
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Как и в других подобных случаях при использования DiskCryptor, кроме всего прочего вредоносным ПО может быть повреждена или заблокирована главная загрузочная записки диска (MBR). Если в ПК используется более новый стандарт формата размещения таблиц разделов (GPT) и Windows 8-10, то блокировки не будет, но может быть использован другой деструктивный способ, не позволяющий полноценно загрузить ОС Windows.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
New Text Document.txt - название файла с требованием выкупа
New Text Document - Copy.txt
New Text Document - Copy (1).txt
*** от 1 до 35 ***
New Text Document - Copy (35).txt
dcrypt.sys - файл DiskCryptor
<random>.exe - случайное название вредоносного файлаРасположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Program Files\dcrypt
C:\Windows\system32\Drivers\dcrypt.sys
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://diskcryptor.net - старый сайт-поставщик шифровальщика
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://diskcryptor.net - старый сайт-поставщик шифровальщика
xxxxs://www.diskcryptor.org - новый сайт-поставщик шифровальщика
Email: RenameX12@cock.li
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Другой вариант без точной даты:
RenameX12@tutanota.com
NamedFree2@protonmail.com
BTC: См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Другой вариант без точной даты:
Email: CyberGod200@protonmail.com, ~ CyberGod200@@firemail.cc
➤ Содержание записки:
decrypt contact:
main: CyberGod200@protonmail.com
not answer 3h: ***@firemail.cc (original code obfuscated with x's)
---
Hello,
we need Your external IP or domain name
we provide You details and servers list now
please do not ask backup server as a demo
do not touch partition because You under risk loose Your data forever
do not ban our address now because You leave other people without passwords.
If this Banned please use our reserve contact and we will contact you back.
we do not use this email long time and close soon forever
Best regards
Anonymous
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Andrew Ivanov (author) *** *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.