Если вы не видите здесь изображений, то используйте VPN.

вторник, 20 октября 2020 г.

Clay CryptoToys

Clay Ransomware

Clay 2.0 Ransomware

Clay "CryptoToys" Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Clay Ransomware. На файле написано: Rasomware2.0.exe. В разделе обновлений есть код разблокировки. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32644, Trojan.Encoder.32943, 
Trojan.Encoder.33000, Trojan.Encoder.33009, Trojan.Encoder.33461, Trojan.EncoderNET.31372
BitDefender -> Gen:Variant.Razy.760416, Gen:Heur.Ransom.RTH.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1137051
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Encoder!8.FFD4 (TFE:C:zNi2QAPrs7T)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Een
TrendMicro -> Ransom.MSIL.CLAY.THJBABO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: OnyxLocker > Clay > Clay 2.0 > CryptoToys

Изображение — логотип статьи

К зашифрованным или фейк-зашифрованным файлам никакое расширение не 
добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 


Содержание текста о выкупе: 
/////////////////////////////////////////////////////CLAY RANSOMWARE///////////////////////////////////////////////////////////
All your documents, videos, pictures, music and others files have been encrypted with a special encryption algorithm!!!
-------------------------------------------------------------------------------------------
Only way to restore you're files is to buy a key. You have to send 300$ worth in bitcoin to this bitcoing address = 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt and then send me a message on my tor mail = whoami98@mail2tor.com you can make you own tor mail but first you have to download tor browser, nand the go to mail2tor. 
To buy bitcoin search on web
-------------------------------------------------------------------------------------------
///////////////////////////////////////////////////////////////RULES//////////////////////////////////////////////////////////////////////
1. Do not turn off the computer
2. Don't try to kill ransomware
3. Do not turn on Task Manager
4. Don't try to break your password without paying
5. Do not try to open encrypted files
IF YOU DO THIS THINGS YOU'RE FILES WILL BE DESTROYED!!!
///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
[DECRYPT FILES]
REAMING TIME: 00:59:34

Перевод ткста на русский язык:
/////////////////////////////////////////////////////CLAY RANSOMWARE///////////////////////////////////////////////////////////
Все ваши документы, видео, изображения, музыкальные и другие файлы зашифрованы со специальным алгоритмом шифрования !!!
-------------------------------------------------- -----------------------------------------
Единственный способ восстановить свои файлы - это купить ключ. Вы должны отправить биткоины на сумму 300$ на этот биткойн-адрес = 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt, а затем отправить мне сообщение на мою tor-почту = whoami98@mail2tor.com, вы можете сделать свою собственную tor-почту, но сначала вы должны загрузить tor-браузер, и идти в mail2tor.
Чтобы купить биткойн, найдите в Интернете
-------------------------------------------------- -----------------------------------------
////////////////////////////////////////////////// ///////////// ПРАВИЛА //////////////////////////////////// //////////////////////////////////
1. Не выключайте компьютер
2. Не пытайтесь завершить вымогатель.
3. Не включайте диспетчер задач.
4. Не пытайтесь взломать пароль, не заплатив
5. Не пытайтесь открывать зашифрованные файлы.
ЕСЛИ ВЫ СДЕЛАЕТЕ ЭТО, ВАШИ ФАЙЛЫ БУДУТ УНИЧТОЖЕНЫ !!!
////////////////////////////////////////////////// ////////////////////////////////////////////////// ///////////////////////////////////////////
[РАСШИФРОВАТЬ ФАЙЛЫ]
ОСТАЛОСЬ ВРЕМЯ: 00:59:34



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Модифицирует 
Winlogon
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "empty"

➤ Отключает диспетчер задач через реестр.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Rasomware2.0.pdb - название файла проекта
Rasomware2.0.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\BracaPopovic\source\repos\Rasomware2.0\Rasomware2.0\obj\Debug\Rasomware2.0.pdb

Ошибки:


Записи реестра, связанные с этим Ransomware:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "empty"
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: whoami98@mail2tor.com
BTC: 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage 
analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Самоназвание: V3JS
Текст на английском и польском языках. 
BTC: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Результаты анализов: VT + VMR + IA




 

Код: minigames321
Результаты анализов: VT + IA


Разработчик снова назвался как bl4ack#1337.
C:\Users\aguim\Desktop\Ransomware_visual_items\Rasomware2.0\Rasomware2.0\obj\Debug\Rasomware2.0.pdb
Файл: Rasomware2.0.exe
Результаты анализов: VT + IA + AR + TG


➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33000
BitDefender -> Gen:Variant.Razy.760416
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/WPlague.DB!MTB
Qihoo-360 -> Win32/Trojan.fc8
Rising -> Ransom.Agent!1.CE87 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WK620


Discord: bl4ack#1337
Результаты анализов: VT + IA


➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33009
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Microsoft -> Ransom:MSIL/WPlague.DB!MTB
Rising -> Ransom.Agent!1.CE87 (CLASSIC)
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom_WPlague.R002C0CKA20


Самоназвание: NIGGERWARE
Email: niggapoopoo123@protonmail.com
Файл: Rasomware2.0.exe
Результаты анализов: VT 


Вариант от 20 декабря 2020: 
Самоназвание: ExciteRAN Ransomware 
Название (ещё): Instant Ransomware (Winlock) by Alexgamer5516
Email: lnstantRansom@gmail.com


Файл: SubmitSoftware.exe
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb > Trojan.EncoderNET.31372
ESET-NOD32 > A Variant Of MSIL/Filecoder.ACE
Malwarebytes > Ransom.Instant.MSIL
Microsoft > Ransom:MSIL/FileCryptor.PG!MTB
Tencent > Msil.Trojan.Diztakun.Wqww
TrendMicro > Ransom.MSIL.CRYPTOLOCKER.SM.hp


Вариант от 23 декабря 2020: 
Самонавание: ExciteRAN Ransomware
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb > Trojan.EncoderNET.31372
ESET-NOD32 > A Variant Of MSIL/Filecoder.ACE
Malwarebytes > Ransom.FileCryptor
Microsoft > Ransom:Win32/ExciteRAN.SL!MTB
Tencent > Msil.Trojan.Diztakun.Svrp


Вариант от 23 декабря 2020: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32644
ESET-NOD32 -> RA Variant Of MSIL/Filecoder.ACE
TrendMicro -> Ransom.MSIL.CLAY.SMJCDP




=== 2021 ===

Вариант от 7 января 2021: 
Самоназвание: vGriefferS
Email: vgrieffers@gmail.com
Discord: Stiv0 Hacker#9030 TheeEnder#6971
Email: vgrieffers@gmail.com
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32861 
ESET-NOD32 -> RA Variant Of MSIL/Filecoder.ACE 
TrendMicro -> Ransom_Filecoder.R002C0DA721 



Вариант от 6 февраля 2021: 
Файл проекта: D:\D\ezz\Backup\Compressed\Ezz ransomware\Alinsr70 ransomware\Ransomware_visual_items\Rasomware2.0\Rasomware2.0\obj\Debug\Alo Minegames ransomware.pdb

 

Файл: Mionoho.exe, Alo Minegames ransomware.exe
Результаты анализов: VT + AR + TG + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33461
BitDefender -> Gen:Heur.Ransom.MSIL.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE


Вариант от 27 февраля 2021: 
Самоназвание: Fancy Bears Ransomware
Делает вид, что шифрует файлы, а затем требует выкуп в $3000 в BTC.
Использует скомпрометированный инструмент удаленного администрирования от Televes Internacional S.A. de C.V.. Является явной фальшивкой, причем корявой и неумелой. 
Email: thefancybears@protonmail.com
BTC: 1CZ1tgrssT96L29JSLJ5SecqtgCyayALXi


➤ Содержание текста с экрана:
Fancy Bears Russia
Российская хакерская группа
ALL YOUR FILES IS LOCKED!
PAY US TO UNLOCK YOUR FILES.
EMAIL: thefancybears@protonmail.com
PAY $3,000 USD TO UNLOCK ALL FILES.
BITCOIN ADDRESS (BTC)
1CZ1tgrssT96L29JSLJ5SecqtgCyayALXi
We are the most powerful hacker in this Planet!
➤ Перевод текста на русский язык:
Fancy Bears Россия
Российская хакерская группа
ВСЕ ТВОИ ФАЙЛЫ БЛОКИРОВАНЫ!
ПЛАТИ НАМ ЗА РАЗБЛОКИРОВКУ СВОИХ ФАЙЛОВ.
EMAIL: thefancybears@protonmail.com
ПЛАТИ $3000 ЗА РАЗБЛОКИРОВКУ ВСЕХ ФАЙЛОВ
БИТКОИН-АДРЕС (BTC)
1CZ1tgrssT96L29JSLJ5SecqtgCyayALXi
Мы самый могущественный хакер на этой планете!
---
Результаты анализов: VT + IA



Вариант от 2 марта 2021: 
Самоназвание: Mionoho (1.0.0.0)
Файл: Mionoho.exe
Результаты анализов: VT + IA + AR + TG


Вариант от 20 марта 2021:
Сообщение >>
Файл: Rasomware2.0.exe
Результаты анализов: VT + IA + VMR



➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Gen:Heur.Variadic.A.175.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Ebgj
TrendMicro -> Ransom_FileCryptor.R002C0DCK21


Вариант от 31 марта 2021:
Самоназвание: FridayProject.0
Email: 6281fjds93hdfj5396dfgk@gmail.com
Результаты анализов: VT


Пароль разблокировки: 
Qвспышка'Q@D#h{KYy#FG+гранулярностьуровень%h7|пределы!k'нетQ*6<усыновитель]'дешифратор$@axcLG7L[D>ao9D^epnh4Xn{глюглоу$rDYn(7LbGQ1aGZHNDMySC1QNGR6MWtsOXQz~C##{DiQ+d_головакибернетика(GgC%7&,M+небрежный|X<1ZG5HN2&Gy/t})T]B53]L|q|03am/e<X;QKn*C!mNqnS6[DJIa2RqYg


Вариант от 7 апреля 2021:
Самоназвание: NIGGERWARE
Результаты анализов: VT



Вариант от 26 апреля 2021: 
Расширение: .kfuald


Файл нового проекта: C:\Users\aaa\source\repos\Ransom\Ransom\obj\Debug\Ransom.pdb
Файл: Ransom.exe
Результаты анализов: VT + AR + IA + VMR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33858
BitDefender -> Gen:Heur.Ransom.MSIL.1
ESET-NOD32 -> MSIL/Filecoder.AHZ


Вариант от 4 мая 2021: 
Расширение: .clay
Записка: ___RECOVER__FILES__.clay.txt
Результат ынализов: VT




Вариант от 7 мая 2021:
Файл: NewRanSmWare.exe
Результат анализов: VT + IA




Вариант от 5 июня 2021:
D:\Camera\Ransomeware2.0\Ransomeware2.0\obj\x86\Debug\Ransomeware2.0.pdb
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Trojan.GenericKD.46433004
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> Trojan.Gen.MBT
TrendMicro -> Ransom.MSIL.CRYPTOLOCKER.SM.hp




Сообщение от 24 июня 2021: 
Самоназвание: Mionoho
Идентификация на сайте ID-Ransomware: Mionoho
Записка: OPEN ME!!!!!!.txt
Email: CryptoPrivacyRecovery@protonmail.com




Вариант от 1 августа 2021:
Самоназвание: WannaMad2.0
Примечательно, что внешне больше похож на WannaMad из группы CobraLocker, но антивирусные обнаружения говорят в пользу Clay Ransomware. Или они друг у друга копируют или они связаны. 


Результаты анализов: VT + IA
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Microsoft -> Ransom:MSIL/FileCryptor.AB!MTB


Вариант от 3 августа 2021:


Файл проекта:  C:\Users\polem\OneDrive\Desktop\Ransomware_visual_items\launcher2.0\launcher2.0\obj\Debug\DCQPKX.pdb
Файл: Clownic1.0.exe
Результаты анализов: VT + VT
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
TrendMicro -> Ransom.MSIL.CLAY.SMJCDP


Вариант от 8 августа 2021:
Самоназвание: Ulitsa Crypter
Результаты анализов: VT



Вариант от 9 августа 2021:
Самоназвание: Rasomware2.0
Результаты анализов: VT



Вариант от 29 октября 2021:
Файл проекта: C:\Users\rober\Desktop\Ransomware_source_code-master\Rasomware2.0\Rasomware2.0\obj\Release\Rasomware2.0.pdb
Файл: Rasomware2.0.exe
Результаты анализов: VT



Вариант от 4 декабря 2021: 
Записка: README.txt
Файлы: Argos.exe (Rasomware2.0), ._cache_ARGOS.exe
Результаты анализов: VT + AR + TG
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
BitDefender -> Gen:Heur.Variadic.A.175.1
Microsoft -> Ransom:MSIL/CryptoLocker.DD!MTB
Symantec -> ML.Attribute.HighConfidence


 


=== 2022 === 

Вариант от 23 января 2022:
Файл проекта: C:\Users\Monster\source\repos\txt_to_rtf_converter\txt_to_rtf_converter\obj\Debug\txt_to_rtf_converter.pdb
Результаты анализов: VT + IA 




Вариант от 29 января 2022: 
Самоназвание: Argos 2.0

 

Файлы: Argos 2.0.exe, Argos 2.0.pdb, @argosd3crypter.exe, Ransom.png
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Gen:Variant.Ransom.MSILHeracles.4
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ANJ
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.AI.3357312952
Microsoft -> Ransom:MSIL/ArgosCrypt.MAK!MTB
Rising -> Trojan.Generic/MSIL@AI.94 (RDM.MSIL:5sf*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Pkgv
TrendMicro -> Ransom_ArgosCrypt.R002C0DAT22


Вариант от 14 марта 2022:
Самоназвание: SusLocker Ransomware
Email: sukablyat.hardbas@gmail.com



Файл: SusLocker.exe
Файл проекта: C:\Users\vinze\source\repos\SusLocker\SusLocker\obj\Debug\SusLocker.pdb" 
Результаты анализов: VT + IA + AR + TG
Обнаружения: 
DrWeb -> Trojan.EncoderNET.31372
Avast -> Win32:RansomX-gen [Ransom]
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SusLocker.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Microsoft -> Ransom:MSIL/Filecoder!MSR
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:sYn*
TrendMicro -> TROJ_GEN.R002H09CE22


Вариант от 19 марта 2022:
Самоназвания: Sus, Goose Ransomware
Email: sukablyat.hardbas@gmail.com



Файл: sus.exe
Результаты анализов: VT + IA 
Обнаружения: 
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> DeepScan:Generic.Ransom.Hiddentear.A.2F5E16F0
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Rising -> Trojan.Generic/MSIL@AI.96 (RDM.MSIL:S4GfFF
Tencent -> Win32.Trojan.Generic.Lpll
TrendMicro -> Ransom_Encoder.R002C0WCJ22


Вариант от 13 июня 2022: 
Распроcтраняется из Польши. 
Файлы: bv_vector1_1.scr, GHJWARE.exe
Файл проекта: C:\Users\rober\source\repos\Rasomware2.0\Rasomware2.0\obj\Debug\GHJWARE.pdb
Результаты анализа: VT
Обнаружения: 
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao, 0x4143, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 19 октября 2020 г.

LockDown, Bondy

LockDown Ransomware

Variants: Bondy, Connect, Sext

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $460 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Самый ранний оразец не обнаружен. 
---
Обнаружения (вариант с расширением .bondy):
DrWeb -> Trojan.Encoder.32963, Trojan.DownLoader22.27479
BitDefender -> Generic.Ransom.WCryG.7AD448F9, Dropped:Generic.Ransom.WCryG.FB385AEF
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1104384, TR/Ransom.bojsi
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CS, A Variant Of Generik.NRGUMMQ
Malwarebytes -> Ransom.FileCryptor, Ransom.Lockdown
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Delshad.Fsf, Win32.Trojan.Delshad.Wsjy
TrendMicro -> Ransom_Ryzerlo.R002C0DJT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> LockDown


Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.LockDown
.bondy
.Connect
.sext


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину и конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP_DECRYPT YOUR FILES


Содержание записки о выкупе: 
Oops All Of your important files were encrypted Like document pictures videos etc..
Don't worry, you can return all your files!
All your files, documents, photos, databases and other important files are encrypted by a strong encryption. 
How to recover files?
RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.
The only method of recovering files is to purchase an unique private key.Only we can give you this key and only we can recover your files.
What guarantees you have?
As evidence, you can send us 1 file to decrypt by email We will send you a recovery file  Prove that we can decrypt your file
Please You must follow these steps carefully to decrypt your files:
Send $460 worth of bitcoin to wallet: 3arsmgdD3tukQ7T7Wk9wZGCk24mU7XRR12
after payment,we will send you Decryptor software
contact email: help_recouver@protonmail.com
Your personal ID: u8xenEhnnEYWM2kC4DvEbETTOJlL1I2 [total 172 characters]

Перевод записки на русский язык:
Упс, все ваши важные файлы зашифрованы, например, документы, изображения, видео и т.д.
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы с помощью надежного шифрования.
Как восстановить файлы?
RSA - это асимметричный криптографический алгоритм, вам нужен один ключ для шифрования и один ключ для дешифрования, поэтому вам нужен закрытый ключ для восстановления ваших файлов. Без закрытого ключа восстановить файлы невозможно.
Единственный метод восстановления файлов - это покупка уникального закрытого ключа, который мы можем предоставить вам, и только мы можем восстановить ваши файлы.
Какие гарантии у вас есть?
В качестве доказательства вы можете отправить нам 1 файл для расшифровки по email. Мы отправим вам восстановленный файл. Докажите, что мы можем расшифровать ваш файл.
Пожалуйста, внимательно выполните следующие действия, чтобы расшифровать файлы:
Отправьте биткойны на сумму $460 в кошелек: 3arsmgdD3tukQ7T7Wk9wZGCk24mU7XRR12
после оплаты мы вышлем вам программу Decryptor
контактный email: help_recouver@protonmail.com
Ваш личный ID: u8xenEhnnEYWM2kC4DvEbETTOJlL1I2 [всего 172 символа]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые окпии файлов, пытается обойти UAC через настройки в реестре с помощью команд: 
"cmd.exe" /c vssadmin.exe delete shadows /all /quiet
"C:\Windows\System32\cmd.exe" C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_DECRYPT YOUR FILES - название файла с требованием выкупа
Host Process for Windows Services.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: help_recouver@protonmail.com
BTC: 3arsmgdD3tukQ7T7Wk9wZGCk24mU7XRR12 (фиктивный или некорректный адрес)
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 октября 2020:
Пост в Твиттере >>
Расширение: .bondy
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: bondbond1@protonmail.com
У разных пострадавших одинаковый BTC-адрес.
 
 


➤ Содержание записки:
Oops All Of your important files were encrypted Like document pictures videos etc..
Don't worry, you can return all your files!
All your files, documents, photos, databases and other important files are encrypted by a strong encryption. 
How to recover files?
RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.
The only method of recovering files is to purchase an unique private key.Only we can give you this key and only we can recover your files.
What guarantees you have?
As evidence, you can send us 1 file to decrypt by email We will send you a recovery file  Prove that we can decrypt your file
Please You must follow these steps carefully to decrypt your files:
Send $200 worth of bitcoin to wallet: 3GDa7CcSjsW7Q29b16NiZ6DKxWauhJmKKq
after payment,we will send you Decryptor software
contact email: bondbond1@protonmail.com
Your personal ID: d09TwldPIleGCR2Y1zdbtIoE64jLQ [всего 172 знака]
---

Схема запуска вредоносного файла


---
Открывает следующие адреса: 
xxxx://2no.co/1SHYt7
xxxxs://iplogger.org/1SHYt7
xxxxs://iplogger.org/favicon.ico


Файл EXE: Host Process for Windows Services.exe
Результаты анализов: VT + IA + AR + TG  / VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32963
BitDefender -> Generic.Ransom.WCryG.7AD448F9
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CS


Обновление от 28 октября 2020:
Расширение: .Connect
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: getyourdata@protonmail.com
BTC: 3GDa7CcSjsW7Q29b16NiZ6DKxWauhJmKKq


Файл EXE: Host Process for Windows Services.exe
Результаты анализов: VT + IA 
➤ Обнаружения:
DrWeb -> Trojan.DownLoader22.27479
ALYac -> Generic.Ransom.WCryG.48EE4AE4
Avira (no cloud) -> TR/Ransom.bzuzm
BitDefender -> Generic.Ransom.WCryG.48EE4AE4
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CS
Malwarebytes -> Ransom.Bondy
Rising -> Ransom.Ryzerlo!8.782 (TFE:C*
Tencent -> Msil.Trojan.Delshad.Dygr
TrendMicro -> Ransom_Ryzerlo.R002C0DJU20


Обновление от 3 октября 2020: 
Расширение: .sext
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: getyourdata@protonmail.com
BTC: 15zw6QrCbd5r8CD2eySMoTktstuEgD1Dzs
Файл EXE: Host Process for Windows Services.exe
Результаты анализов: VT +IA + VMR



=== 2022 ===

Вариант от 9 февраля 2022: 
Расширение: .cantopen
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: CCWhite@onionmail.org
BTC: bc1q6ug0vrxz66d564qznclu9yyyvn6zurskezmt64
Результаты анализов: VT + IA + TG



Вариант от 19 мая 2022:
Расширение: .ZareuS
Записка: HELP_DECRYPT_YOUR_FILES.txt
Файл: Host Process for Windows Services.exe
Результаты анализов: VT


Вариант от 20 мая 2022: 
Расширение: .lXXwXXXNQ
Записка: HELP_DECRYPT_YOUR_FILES.txt
Файл: Invoice-9128181.pdf.exe
Результаты анализов: VT + IA

Вариант от 20 мая 2022: 
Расширение: .Ehehehx12
Записка: HELP_DECRYPT_YOUR_FILES.txt
Файл: Host Process for Windows Services.exe
Результаты анализов: VT + IA

Вариант от 14 октября 2022: 
Расширение: .ESCANOR
Записка: HELP_DECRYPT_YOUR_FILES.txt
Результаты анализов: VT + IA

Вариант от 18 октября 2022: 
Расширение: .CMLOCKER
Записка: HELP_DECRYPT_YOUR_FILES.txt
Результаты анализов:  VT + IA


=== 2023 ===

Вариант от 25 января 2023 или раньше: 
Расширение: .PAYFAST
Записка: HELP_DECRYPT_YOUR_FILES.txt
BTC: bc1q6exhemyx28ffqqjzwqrnp332ruvf3tfgpmm9zf






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as LockDown)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 S!Ri, 0x4143, Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *