Если вы не видите здесь изображений, то используйте VPN.

понедельник, 21 сентября 2020 г.

Zhen

Zhen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 
0.3 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: zhang.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32612
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Generik.FVCECGD
Malwarebytes -> Ransom.Zhen
Rising -> Dropper.Dapato!8.2A2 (CLOUD)
Symantec -> Trojan.Seaduke
Tencent -> Win32.Trojan-dropper.Dapato.Wtxh
TrendMicro -> TROJ_GEN.R002H09II20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> Zhen

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .zhen
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Штамп даты: 16 сентября 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: read.ini


Содержание записки о выкупе:
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are 
busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
If you want to decrypt all your files, you need to pay.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payment>.
Once the payment is checked, you can start decrypting your files immediately.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If 
your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!
1. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites: 
https://cex.io/ 
https://www.binance.com/ 
https://www.coinbase.com/ 
2. After then, if you already have Bitcoins, pay us 0.3 BTC on following our Bitcoin address.
3. Then, press the "Check Payment" button. We will automatically decrypt your files, after bitcoin transfer.
Send 0.3 BTC to; 
14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, т.к. они зашифрованы. Может быть вы
ищете способ восстановить ваши файлы, но не тратьте время зря. Никто не сможет восстановить ваши файлы без нашей дешифрования.
Могу ли я восстановить свои файлы?
Конечно. Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы. Но у вас мало времени.
Если вы хотите расшифровать все свои файлы, вам нужно заплатить.
Как мне платить?
Оплата принимается только в биткойнах. Для получения дополнительной информации нажмите <О биткойнах>.
Пожалуйста, проверьте текущую цену биткойнов и купите биткойны. Для получения дополнительной информации нажмите <Как купить биткойны>.
И отправьте правильную сумму на адрес, указанный в этом окне.
После оплаты нажмите <Проверить платеж>.
Как только платеж будет проверен, вы можете сразу же приступить к расшифровке файлов.
Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, он не сможет восстановить ваши файлы, даже если вы заплатите!
1. Чтобы заплатить нам, вы должны использовать биткойн. Вы можете легко купить биткойны на следующих сайтах:
https://cex.io/
https://www.binance.com/
https://www.coinbase.com/
2. После этого, если у вас уже есть биткойны, заплатите нам 0,3 BTC за отслеживание нашего биткойн-адреса.
3. Затем нажмите кнопку «Проверить платеж». Мы автоматически расшифруем ваши файлы после передачи биткойнов.
Отправьте 0,3 BTC на;
14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 

Содержание текста на изображении:
!! ATTENTION !!
YOUR FILES HAVE BEEN ENCRYPTED!
All of your documents, photos, databases and other important files have been encrypted with RSA encryption.
You will not be able to recover your files without the private key which has been saved on our server.
An antivirus can not recover your files.
View the file "Decryption Notes" on your Desktop to fix this.
Send 0.3 BTC To: 14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ 
По данным анализа содержит бэкдор и инфостилер. 
Завершает некоторые процессы, удаляет антивирусные обновления Windows Defender с помощью запуска утилиты 'mpcmdrun.exe' из командной строки. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ioxyfx.dat - загружаемый вредоносный файл
read.ini - название файла с требованием выкупа
Read For Decryption - ярлык для открытия записки read.ini

  

zhang.exe - название вредоносного файла
x64.exe - созданный файл для Windows x64
output.174193977.txt
1.bmp
img0.jpg
 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\ioxyfx.dat.exe
C:\ProgramData\x64.exe
C:\Windows\Web\Wallpaper\Windows\img0.jpg

Записи реестра, связанные с этим Ransomware:
Множественные настройки для установки изображения с текстом. 
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: https://a.pomf.cat/ioxyfx.dat
Email: - 
BTC: 
14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Triage analysis >>  TG> TG
with 5 min timeout>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Zhen)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RenameX12

RenameX12 Ransomware

RenameX12 Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует вторичные разделы на дисках ПК пользователей с помощью DiskCryptor, не трогая системный диск, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: нет. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> RenameX12
Изображение — логотип статьи

К зашифрованным файлам никакое расширение не 
добавляется, потому что шифруются все разделы жесткого диска, кроме системного. 

Системный раздел переименовывается на: RenameX12@cock.li
 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Описанный случай атаки этого крипто-вымогателя относится к второй половине сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Записка с требованием выкупа называется: New Text Document.txt
Эта записка много кратно дублируется по схеме: 
New Text Document.txt
New Text Document - Copy.txt
New Text Document - Copy (N).txt
Где "N" - это числовой рад, например, от 1 до 35

Содержание записки о выкупе:
Hello
decrypt contact:
main
RenameX12@cock.li
reserv only:
RenameX12@tutanota.com
NamedFree2@protonmail.com

Hello,
we need Your external IP or domain name
we provide You details and servers list now
please do not ask backup server as a demo
do not touch partition because You under risk loose Your data forever
do not ban our address now because You leave other people without passwords.
If this Banned please use our reserve contact and we will contact you back.
we do not use this email long time and close soon forever
after donation Your Confidential data will be deleting in our database forever
Best regards
Anonymous

Перевод записки на русский язык:
Привет
расшифровать контакт:
главный
RenameX12@cock.li
только резервный:
RenameX12@tutanota.com
NamedFree2@protonmail.com

Привет,
нам нужен ваш внешний IP или доменное имя
мы предоставим вам детали и список серверов тогда
пожалуйста, не запрашивайте резервный сервер в качестве демонстрации
не трогайте раздел, потому что вы рискуете потерять свои данные навсегда
не баньте наш адрес сейчас, потому что вы оставите других людей без паролей.
Если этот забанен, используйте наш резервный контакт и мы напишем вам.
мы не использовали этот email долгое время и скоро закроем навсегда
после пожертвования Ваши Конфиденциальные данные будут навсегда удалены из нашей базы данных
С наилучшими пожеланиями
Анонимный



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Как и в других подобных случаях при использования DiskCryptor, кроме всего прочего вредоносным ПО может быть повреждена или заблокирована главная загрузочная записки диска (MBR). Если в ПК используется более новый стандарт формата размещения таблиц разделов (GPT) и Windows 8-10, то блокировки не будет, но может быть использован другой деструктивный способ, не позволяющий полноценно загрузить ОС Windows. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
New Text Document.txt - название файла с требованием выкупа
New Text Document - Copy.txt
New Text Document - Copy (1).txt
*** от 1 до 35 ***
New Text Document - Copy (35).txt
dcrypt.sys - файл DiskCryptor 
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Program Files\dcrypt
C:\Windows\system32\Drivers\dcrypt.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://diskcryptor.net 
- старый сайт-поставщик шифровальщика
xxxxs://www.diskcryptor.org - новый сайт-поставщик шифровальщика
Email: RenameX12@cock.li
RenameX12@tutanota.com
NamedFree2@protonmail.com 
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другой вариант без точной даты:
Email: CyberGod200@protonmail.com, ~ CyberGod200@@firemail.cc
➤ Содержание записки: 
decrypt contact:
main: CyberGod200@protonmail.com
not answer 3h: ***@firemail.cc (original code obfuscated with x's)
---
Hello,
we need Your external IP or domain name
we provide You details and servers list now
please do not ask backup server as a demo
do not touch partition because You under risk loose Your data forever
do not ban our address now because You leave other people without passwords.
If this Banned please use our reserve contact and we will contact you back.
we do not use this email long time and close soon forever
Best regards
Anonymous





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Solve

Solve Ransomware

Solve Linux Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей на сетевых накопителях NAS с помощью AES-256 + RSA для ключа, а затем требует выкуп в $400 в # BTC, чтобы вернуть файлы. Иногда сумма выкупа не указана. Оригинальное название: в записке не указано. Написан на языке Go. Предназначен для Linux-систем. Файлы можно расшифровать! 
---
Обнаружения:
DrWeb -> Linux.Encoder.68
Avast/AVG -> ELF:Filecoder-AX [Trj]
Avira (no cloud) -> LINUX/Ransom.jggmc
ESET-NOD32 -> A Variant Of Linux/Filecoder.Z
Microsoft -> Ransom:MacOS/Filecoder
Symantec -> OSX.Trojan.Gen
---

© Генеалогия: другие для NAS >> Solve

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: SOLVE ENCRYPTED FILES.txt

Содержание записок различается для разных пострадавших.

   

Содержание 1-й записки о выкупе:
All your files encrypted.
Want get them back? send email diVesTaCil@protonmail.com
ID: LQSSXHUXZ***

Перевод 1-й записки на русский язык:
Все ваши файлы зашифрованы.
Хотите вернуть? отправьте email на diVesTaCil@protonmail.com
ID: LQSSXHUXZ***



Содержание 2-й записки о выкупе: 
Your files encrypted due to security issues!
The used encryption for lock your files is secure and could not breakable without the correct key.
To be clear, the only way to recover your files is to pay the $400 with bitcoin cryptocurrency.
All you have to do to recover your files is to send your ID to our email address for receiving the payment instruction.
Also, you can send one of your files less size than 1 megabyte for a decryption guarantee.
ID: 341f53a78***
Email: ialpatntedu@protonmail.com

Перевод 2-й записки на русский язык: 
Ваши файлы зашифрованы из-за проблем с безопасностью!
Шифрование для блокировки ваших файлов надежно и без правильного ключа его не взломать.
Точнее, единственный способ восстановить ваши файлы - заплатить $400 в биткойн.
Чтобы вернуть свои файлы вам надо отправить свой ID на наш email-адрес для получения платежных инструкций.
Еще вы можете отправить один из ваших файлов менее 1 Мб для гарантии дешифрования.
ID: 341f53a78 ***
Email: ialpatntedu@protonmail.com




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SOLVE ENCRYPTED FILES.txt - название файла с требованием выкупа
LQSSXHUXZMFG - пример ELF-файла, сочетающего в себе ID пострадавшего, а на самом деле является вредоносным файлов для Linux-систем сетевых накопителей NAS. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: 
diVesTaCil@protonmail.com
Email-2: ialpatntedu@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 октября 2020:
Расширение: .encrypted
Записка: SOLVE ENCRYPTED FILES.txt
BTC: 17mULFJwDFpJYWdMVQMXqifk7hTtaH7dT4
Сумма выкупа: 0.0600 BTC
Tor-URL: xxxx://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion


➤ Содержание записки:
Hello!
Your files are encrypted and can never access your files without our solution!
What is the solution?
- Seach "Download Tor Browser" on the internet for access to our website.
- Visit the website below with the <Tor Browser>
 http://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion/link/***
- Buy "DECRYPTION KEY" to restore files instantly.
---
 

➤ Содержание Tor-сайта:
 Recover Files Instruction
---
Affected Device NAS
Amount For Recovery 0.0600 BTC
---
If you want to decrypt your files and get them back.
You need decryption tool and key. The only way to buy them is from this link.
We do not accept credit cards or bank transfer as a payment method.
You have to pay only in Bitcoin (BTC) Digital currency.
Transfer amount of 0.0600 Bitcoin (Exactly the same amount at once) to wallet address: 17mULFJwDFpJYWdMVQMXqifk7hTtaH7dT4
Payment calculated after three confirms from the blockchain network. You can check your transaction information Here
Please do not panic if you paid. Give some time for payment for confirmation.
The download box is available after payment. If you completed a payment,
[please refresh the page]
[Download (Decryption tools & Guide + Support)]
---
F.A.Q
How to buy bitcoin?
Search for the Internet or ask from specialist.
How long take receive a decryption tools and solve the encrypted files after payment?
After payment confirmation. Immediate with complete guide with support.
I do not spend enough amount. What do now?
Just send the rest of the amount.
I don't have money. Please give me a favor?
Without money, you will receive *nothing*.
I want to test the free solutions first and then pay you.
Your files are overwritten with an encrypted form of a file. No free way to recovery and antivirus companies cannot help you too. If you waste a time this website may get offline soon. This means complete data loss without any hope! 


=== 2021 ===

Вариант от 4 июня 2021 или раньше:
Записка: SOLVE ENCRYPTED FILES.txt

➤ Содержание записки:
Hello!
Your files are encrypted and can never access your files without our solution!
What is the solution?
- Seach "Download Tor Browser" on the internet for access to our website.
- Visit the website below with the <Tor Browser>
 http://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion/link/b6d599b41ffaac584e
- Buy "DECRYPTION KEY" to restore files instantly.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Файлы можно расшифровать! 
Get help from Emmanuel_ADC-Soft
- Twitter (DM) >>
- Official site >>
***
 Read to links: 
 Message + myTweet
 ID Ransomware (ID as Solve)
 Write-up, Topic of Support

 Thanks: 
 Michael Gillespie, Emmanuel_ADC-Soft
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Badbeeteam

Badbeeteam Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: vol2-C..Windows.Systema32.svchost.exe. Написан на языке Rust.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32628
BitDefender -> Trojan.GenericKD.43881417
Avira (no cloud) -> TR/AD.RansomHeur.wkswc
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODO
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic@ML.84 (RDML:/qKz*
Symantec -> ML.Attribute.HighConfidence, Ransom.Wannacry, Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.BADBEE.THIBDBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ??? >> Badbeeteam

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CRPTD

Визуализация зашифрованного файла: 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Recover files.hta

 
Скриншот HTA-записки

HTML-код записки

Записка частично похожа на то, что использовалось ранее в вымогательских компаниях GlobeImposter

Содержание записки о выкупе:
Your personal ID
4-uP9S0Rmr-X0128C
☣Your files are encrypted!☣
⬇ To decrypt, follow the instructions below.⬇
To recover data you need decrypt tool.
To get the decrypt tool you should:
Send 3 crypted test image or text file or document to badbeeteam@mail.ee
Or alternate mail badbeeteam@cock.li
In the letter include your personal ID (look at the beginning of this document). Send me this ID in your first email to me.
We will give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files.
After we send you instruction how to pay for decrypt tool and after payment you will receive a decrypt tool and instructions how to use it We can decrypt few files in quality the evidence that we have the decoder.
--------------------------------------------------------------------------------
MOST IMPORTANT!!!
Do not contact other services that promise to decrypt your files, this is fraud on their part!
They will buy a decoder from us, and you will pay more for his services.
No one, except badbeeteam@mail.ee (badbeeteam@cock.li), will decrypt your files.
--------------------------------------------------------------------------------
Only badbeeteam@mail.ee (badbeeteam@cock.li) can decrypt your files
Do not trust anyone besides badbeeteam@mail.ee (badbeeteam@cock.li)
Antivirus programs can delete this document and you can not contact us later.
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваш личный ID
4-uP9S0Rmr-X0128C
Ваши файлы зашифрованы!
Чтобы расшифровать, следуйте приведенным ниже инструкциям.
Для восстановления данных вам нужен инструмент дешифрования.
Чтобы получить инструмент дешифрования, вам надо:
Отправить 3 зашифрованных тестовых изображения, текстовых файла или документа на badbeeteam@mail.ee
Или альтернативная почта badbeeteam@cock.li
В письме укажите свой личный ID (см. начало этого документа). Отправьте мне этот ID в своем первом email .
Мы дадим вам бесплатный тест на расшифровку нескольких файлов (НЕ ЗНАЧЕНИЕ) и назначим цену за расшифровку всех файлов.
После того, как мы отправим вам инструкцию, как оплатить инструмент дешифрования, и после оплаты вы получите инструмент дешифрования и инструкции по его использованию. Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.
--------------------------------------------------------------------------------
САМОЕ ВАЖНОЕ!!!
Не связывайтесь с другими сервисами, которые обещают расшифровать ваши файлы, это мошенничество с их стороны!
Они купят у нас декодер, а вы заплатите больше за его услуги.
Никто, кроме badbeeteam@mail.ee (badbeeteam@cock.li), не расшифрует ваши файлы.
--------------------------------------------------------------------------------
Только badbeeteam@mail.ee (badbeeteam@cock.li) может расшифровать ваши файлы
Не доверяйте никому, кроме badbeeteam@mail.ee (badbeeteam@cock.li)
Антивирусные программы могут удалить этот документ и вы не сможете связаться с нами позже.
Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
Декодеры других пользователей несовместимы с вашими данными, потому что у каждого пользователя уникальный ключ шифрования


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Добавляет в Автозагрузку Windows файл записки с требованием выкупа. 
C:\Users\User\AppData\Roaming\Microsoft\Word\STARTUP\Recover files.hta

 Отключает процессы, связанные с базами данных, находящиеся в том числе на сетевых ресурсах: 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recover files.hta - название файла с требованием выкупа
vol2-C..Windows.Systema32.svchost.exe - название вредоносного файла
start.bat
start_after.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\Microsoft\Visio\start.bat
%APPDATA%\Microsoft\Visio\start_after.bat

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2090973689-680783404-4292415065-1000\Software\Microsoft\Windows\CurrentVersion\Run\Readme = "C:\\Users\\Admin\\AppData\\Roaming\\Microsoft\\Visio\\readme.bat"
\REGISTRY\USER\S-1-5-21-2090973689-680783404-4292415065-1000\Software\Microsoft\Windows\CurrentVersion\Run\Readme_c = "C:\\\\readme.bat"
и другие. 
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: badbeeteam@mail.ee, badbeeteam@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 октября 2020: 
Расширение: .CRPTD
C:\Users\X\IdeaProjects\untitled\target\i686-pc-windows-msvc\release\deps\untitled.pdb





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *