Clay Ransomware
Clay 2.0 Ransomware
Clay "CryptoToys" Ransomware
(шифровальщик-вымогатель, фейк-шифровальщик) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Clay Ransomware. На файле написано: Rasomware2.0.exe. В разделе обновлений есть код разблокировки.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32644, Trojan.Encoder.32943, Trojan.Encoder.33000, Trojan.Encoder.33009, Trojan.Encoder.33461, Trojan.EncoderNET.31372
BitDefender -> Gen:Variant.Razy.760416, Gen:Heur.Ransom.RTH.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1137051
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Encoder!8.FFD4 (TFE:C:zNi2QAPrs7T)
Symantec -> ML.Attribute.HighConfidence
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1137051
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Encoder!8.FFD4 (TFE:C:zNi2QAPrs7T)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Een
TrendMicro -> Ransom.MSIL.CLAY.THJBABO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: OnyxLocker > Clay > Clay 2.0 > CryptoToys
К зашифрованным или фейк-зашифрованным файлам никакое расширение не добавляется.
TrendMicro -> Ransom.MSIL.CLAY.THJBABO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: OnyxLocker > Clay > Clay 2.0 > CryptoToys
Изображение — логотип статьи
К зашифрованным или фейк-зашифрованным файлам никакое расширение не добавляется.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание текста о выкупе:
/////////////////////////////////////////////////////CLAY RANSOMWARE///////////////////////////////////////////////////////////
All your documents, videos, pictures, music and others files have been encrypted with a special encryption algorithm!!!
-------------------------------------------------------------------------------------------
Only way to restore you're files is to buy a key. You have to send 300$ worth in bitcoin to this bitcoing address = 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt and then send me a message on my tor mail = whoami98@mail2tor.com you can make you own tor mail but first you have to download tor browser, nand the go to mail2tor.
To buy bitcoin search on web
-------------------------------------------------------------------------------------------
///////////////////////////////////////////////////////////////RULES//////////////////////////////////////////////////////////////////////
1. Do not turn off the computer
2. Don't try to kill ransomware
3. Do not turn on Task Manager
4. Don't try to break your password without paying
5. Do not try to open encrypted files
IF YOU DO THIS THINGS YOU'RE FILES WILL BE DESTROYED!!!
///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
[DECRYPT FILES]
REAMING TIME: 00:59:34
Перевод ткста на русский язык:
/////////////////////////////////////////////////////CLAY RANSOMWARE///////////////////////////////////////////////////////////
Все ваши документы, видео, изображения, музыкальные и другие файлы зашифрованы со специальным алгоритмом шифрования !!!
-------------------------------------------------- -----------------------------------------
Единственный способ восстановить свои файлы - это купить ключ. Вы должны отправить биткоины на сумму 300$ на этот биткойн-адрес = 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt, а затем отправить мне сообщение на мою tor-почту = whoami98@mail2tor.com, вы можете сделать свою собственную tor-почту, но сначала вы должны загрузить tor-браузер, и идти в mail2tor.
Чтобы купить биткойн, найдите в Интернете
-------------------------------------------------- -----------------------------------------
////////////////////////////////////////////////// ///////////// ПРАВИЛА //////////////////////////////////// //////////////////////////////////
1. Не выключайте компьютер
2. Не пытайтесь завершить вымогатель.
3. Не включайте диспетчер задач.
4. Не пытайтесь взломать пароль, не заплатив
5. Не пытайтесь открывать зашифрованные файлы.
ЕСЛИ ВЫ СДЕЛАЕТЕ ЭТО, ВАШИ ФАЙЛЫ БУДУТ УНИЧТОЖЕНЫ !!!
////////////////////////////////////////////////// ////////////////////////////////////////////////// ///////////////////////////////////////////
[РАСШИФРОВАТЬ ФАЙЛЫ]
ОСТАЛОСЬ ВРЕМЯ: 00:59:34
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Модифицирует Winlogon
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "empty"
➤ Отключает диспетчер задач через реестр.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Rasomware2.0.pdb - название файла проекта
Rasomware2.0.exe - название вредоносного файла
Rasomware2.0.exe - название вредоносного файла
C:\Users\BracaPopovic\source\repos\Rasomware2.0\Rasomware2.0\obj\Debug\Rasomware2.0.pdb
Ошибки:
Ошибки:
Записи реестра, связанные с этим Ransomware:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "empty"
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: whoami98@mail2tor.com
BTC: 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: whoami98@mail2tor.com
BTC: 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Самоназвание: V3JS
Текст на английском и польском языках.
BTC: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Разработчик снова назвался как bl4ack#1337.
C:\Users\aguim\Desktop\Ransomware_visual_items\Rasomware2.0\Rasomware2.0\obj\Debug\Rasomware2.0.pdb
Файл: Rasomware2.0.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33000
BitDefender -> Gen:Variant.Razy.760416
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/WPlague.DB!MTB
Qihoo-360 -> Win32/Trojan.fc8
Rising -> Ransom.Agent!1.CE87 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WK620
Discord: bl4ack#1337
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33009
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Microsoft -> Ransom:MSIL/WPlague.DB!MTB
Rising -> Ransom.Agent!1.CE87 (CLASSIC)
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom_WPlague.R002C0CKA20
Самоназвание: NIGGERWARE
Email: niggapoopoo123@protonmail.com
Файл: Rasomware2.0.exe
Результаты анализов: VT
Вариант от 20 декабря 2020:
Самоназвание: ExciteRAN Ransomware
Название (ещё): Instant Ransomware (Winlock) by Alexgamer5516
Email: lnstantRansom@gmail.com
Файл: SubmitSoftware.exe
➤ Обнаружения:
DrWeb > Trojan.EncoderNET.31372
ESET-NOD32 > A Variant Of MSIL/Filecoder.ACE
Malwarebytes > Ransom.Instant.MSIL
Microsoft > Ransom:MSIL/FileCryptor.PG!MTB
Tencent > Msil.Trojan.Diztakun.Wqww
TrendMicro > Ransom.MSIL.CRYPTOLOCKER.SM.hp
Вариант от 23 декабря 2020:
Самонавание: ExciteRAN Ransomware
➤ Обнаружения:
DrWeb > Trojan.EncoderNET.31372
ESET-NOD32 > A Variant Of MSIL/Filecoder.ACE
Malwarebytes > Ransom.FileCryptor
Microsoft > Ransom:Win32/ExciteRAN.SL!MTB
Tencent > Msil.Trojan.Diztakun.Svrp
Вариант от 23 декабря 2020:
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32644
ESET-NOD32 -> RA Variant Of MSIL/Filecoder.ACE
TrendMicro -> Ransom.MSIL.CLAY.SMJCDP
=== 2021 ===
Вариант от 7 января 2021:
Самоназвание: vGriefferS
Email: vgrieffers@gmail.com
Discord: Stiv0 Hacker#9030 TheeEnder#6971
Email: vgrieffers@gmail.com
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32861
ESET-NOD32 -> RA Variant Of MSIL/Filecoder.ACE
TrendMicro -> Ransom_Filecoder.R002C0DA721
Вариант от 6 февраля 2021:
Файл проекта: D:\D\ezz\Backup\Compressed\Ezz ransomware\Alinsr70 ransomware\Ransomware_visual_items\Rasomware2.0\Rasomware2.0\obj\Debug\Alo Minegames ransomware.pdb
Файл: Mionoho.exe, Alo Minegames ransomware.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33461
BitDefender -> Gen:Heur.Ransom.MSIL.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Вариант от 27 февраля 2021:
Самоназвание: Fancy Bears Ransomware
Делает вид, что шифрует файлы, а затем требует выкуп в $3000 в BTC.
Использует скомпрометированный инструмент удаленного администрирования от Televes Internacional S.A. de C.V.. Является явной фальшивкой, причем корявой и неумелой.
Email: thefancybears@protonmail.com
BTC: 1CZ1tgrssT96L29JSLJ5SecqtgCyayALXi
➤ Содержание текста с экрана:
Fancy Bears Russia
Российская хакерская группа
ALL YOUR FILES IS LOCKED!
PAY US TO UNLOCK YOUR FILES.
EMAIL: thefancybears@protonmail.com
PAY $3,000 USD TO UNLOCK ALL FILES.
BITCOIN ADDRESS (BTC)
1CZ1tgrssT96L29JSLJ5SecqtgCyayALXi
We are the most powerful hacker in this Planet!
➤ Перевод текста на русский язык:
Fancy Bears Россия
Российская хакерская группа
ВСЕ ТВОИ ФАЙЛЫ БЛОКИРОВАНЫ!
ПЛАТИ НАМ ЗА РАЗБЛОКИРОВКУ СВОИХ ФАЙЛОВ.
EMAIL: thefancybears@protonmail.com
ПЛАТИ $3000 ЗА РАЗБЛОКИРОВКУ ВСЕХ ФАЙЛОВ
БИТКОИН-АДРЕС (BTC)
1CZ1tgrssT96L29JSLJ5SecqtgCyayALXi
Мы самый могущественный хакер на этой планете!
---
Вариант от 2 марта 2021:
Самоназвание: Mionoho (1.0.0.0)
Файл: Mionoho.exe
Вариант от 20 марта 2021:
Сообщение >>
Файл: Rasomware2.0.exe
Результаты анализов: VT + IA + VMR
Файл: Rasomware2.0.exe
Результаты анализов: VT + IA + VMR
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Gen:Heur.Variadic.A.175.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Ebgj
TrendMicro -> Ransom_FileCryptor.R002C0DCK21
Вариант от 31 марта 2021:
Самоназвание: FridayProject.0
Email: 6281fjds93hdfj5396dfgk@gmail.com
Результаты анализов: VT
Qвспышка'Q@D#h{KYy#FG+гранулярностьуровень%h7|пределы!k'нетQ*6<усыновитель]'дешифратор$@axcLG7L[D>ao9D^epnh4Xn{глюглоу$rDYn(7LbGQ1aGZHNDMySC1QNGR6MWtsOXQz~C##{DiQ+d_головакибернетика(GgC%7&,M+небрежный|X<1ZG5HN2&Gy/t})T]B53]L|q|03am/e<X;QKn*C!mNqnS6[DJIa2RqYg
Вариант от 7 апреля 2021:
Самоназвание: NIGGERWARE
Результаты анализов: VT
Вариант от 26 апреля 2021:
Расширение: .kfuald
Файл нового проекта: C:\Users\aaa\source\repos\Ransom\Ransom\obj\Debug\Ransom.pdb
Файл: Ransom.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33858
BitDefender -> Gen:Heur.Ransom.MSIL.1
ESET-NOD32 -> MSIL/Filecoder.AHZ
Вариант от 4 мая 2021:
Расширение: .clay
Записка: ___RECOVER__FILES__.clay.txt
Результат ынализов: VT
Вариант от 7 мая 2021:
Файл: NewRanSmWare.exe
Вариант от 5 июня 2021:
D:\Camera\Ransomeware2.0\Ransomeware2.0\obj\x86\Debug\Ransomeware2.0.pdb
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Trojan.GenericKD.46433004
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> Trojan.Gen.MBT
TrendMicro -> Ransom.MSIL.CRYPTOLOCKER.SM.hp
Сообщение от 24 июня 2021:
Самоназвание: Mionoho
Идентификация на сайте ID-Ransomware: Mionoho
Записка: OPEN ME!!!!!!.txt
Email: CryptoPrivacyRecovery@protonmail.com
Вариант от 1 августа 2021:
Самоназвание: WannaMad2.0
Примечательно, что внешне больше похож на WannaMad из группы CobraLocker, но антивирусные обнаружения говорят в пользу Clay Ransomware. Или они друг у друга копируют или они связаны.
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Microsoft -> Ransom:MSIL/FileCryptor.AB!MTB
Вариант от 3 августа 2021:
Файл проекта: C:\Users\polem\OneDrive\Desktop\Ransomware_visual_items\launcher2.0\launcher2.0\obj\Debug\DCQPKX.pdb
Файл: Clownic1.0.exe
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
TrendMicro -> Ransom.MSIL.CLAY.SMJCDP
Вариант от 8 августа 2021:
Самоназвание: Ulitsa Crypter
Результаты анализов: VT
Вариант от 9 августа 2021:
Самоназвание: Rasomware2.0
Результаты анализов: VT
Вариант от 29 октября 2021:
Файл проекта: C:\Users\rober\Desktop\Ransomware_source_code-master\Rasomware2.0\Rasomware2.0\obj\Release\Rasomware2.0.pdb
Файл: Rasomware2.0.exe
Результаты анализов: VT
Вариант от 4 декабря 2021:
Записка: README.txt
Файлы: Argos.exe (Rasomware2.0), ._cache_ARGOS.exe
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
BitDefender -> Gen:Heur.Variadic.A.175.1
Microsoft -> Ransom:MSIL/CryptoLocker.DD!MTB
Symantec -> ML.Attribute.HighConfidence
Вариант от 23 января 2022:
Файл проекта: C:\Users\Monster\source\repos\txt_to_rtf_converter\txt_to_rtf_converter\obj\Debug\txt_to_rtf_converter.pdb
Вариант от 29 января 2022:
Самоназвание: Argos 2.0
Файлы: Argos 2.0.exe, Argos 2.0.pdb, @argosd3crypter.exe, Ransom.png
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Gen:Variant.Ransom.MSILHeracles.4
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ANJ
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.AI.3357312952
Microsoft -> Ransom:MSIL/ArgosCrypt.MAK!MTB
Rising -> Trojan.Generic/MSIL@AI.94 (RDM.MSIL:5sf*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Pkgv
TrendMicro -> Ransom_ArgosCrypt.R002C0DAT22
Вариант от 14 марта 2022:
Самоназвание: SusLocker Ransomware
Email: sukablyat.hardbas@gmail.com
Файл: SusLocker.exe
Файл проекта: C:\Users\vinze\source\repos\SusLocker\SusLocker\obj\Debug\SusLocker.pdb"
Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
Avast -> Win32:RansomX-gen [Ransom]
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SusLocker.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Microsoft -> Ransom:MSIL/Filecoder!MSR
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:sYn*
TrendMicro -> TROJ_GEN.R002H09CE22
Вариант от 19 марта 2022:
Самоназвания: Sus, Goose Ransomware
Email: sukablyat.hardbas@gmail.com
Файл: sus.exe
Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> DeepScan:Generic.Ransom.Hiddentear.A.2F5E16F0
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Rising -> Trojan.Generic/MSIL@AI.96 (RDM.MSIL:S4GfFF
Tencent -> Win32.Trojan.Generic.Lpll
TrendMicro -> Ransom_Encoder.R002C0WCJ22
Вариант от 13 июня 2022:
Распроcтраняется из Польши.
Файлы: bv_vector1_1.scr, GHJWARE.exe
Файл проекта: C:\Users\rober\source\repos\Rasomware2.0\Rasomware2.0\obj\Debug\GHJWARE.pdb
Результаты анализа: VT
Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Kangxiaopao, 0x4143, S!Ri Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.