Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 25 октября 2020 г.

MetadataBin

MetadataBin Ransomware

Ransomware32 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $1000, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ransomware.exe, ransomware32.exe. Написан на языке Rust.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32937, Trojan.Encoder.32940
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.44206852
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.uxgkl
ESET-NOD32 -> A Variant Of Win32/Filecoder.OED
Kaspersky -> Trojan.Win32.Udochka.y, Trojan-Ransom.Win32.Encoder.klv
Malwarebytes -> ***
Rising -> Ransom.Agent!1.CDE5 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09JP20
---

© Генеалогия: ??? >> MetadataBin

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: _encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_encrypted.txt

Содержание записки о выкупе: 
ATTENTION!!! ALL YOUR FILES HAVE BEEN ENCRYPTED
YOU HAVE TO PAY $1000 DOLLARS TO UNLOCK YOUR FILES.
PLEASE CONTACT <insert onion site here>.onion using Tor Browser.
Make sure to provide the metadata.bin file that you can find in your user
folder.

Перевод записки на русский язык:
ВНИМАНИЕ!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ $1000 ДЛЯ РАЗБЛОКИРОВКИ ФАЙЛОВ.
КОНТАКТ НА <вставьте сюда onion-сайт>.onion, используя Tor Browser.
Убедитесь, что передали файл metadata.bin, который можно найти в папке пользователя.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
После доработки это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_encrypted.txt - название файла с требованием выкупа
ransomware.exe, ransomware.bin - названия вредоносного файла
ransomware32.exe - название вредоносного файла
metadata.bin - специальный файл

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >> IA>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 12 октября 2021:
Расширение: _encrypted
Записка: README_encrypted.txt

Tor-URL: hxxx://t2tqvp4pctcr7vxhgz5yd5x4ino5tw7jzs3whbntxirhp32djhi7q3id.onion
Файл: hptestu.exe
Результаты анализов: VT + TG + IA



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 xiaopao, 0x4143, Karsten Hahn
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 24 октября 2020 г.

InstallPay

InstallPay Ransomware

InstallPay Cover-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0026 BTC (30$), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.9
BitDefender -> Trojan.GenericKD.44233226
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.lwxhw
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACV
Malwarebytes -> 
Ransom.FileCryptor
Microsoft -> Ransom:MSIL/FileCoder.AB!MTB
Rising -> Ransom.Agent!1.CE20 (CLASSIC)
Symantec -> Downloader
TrendMicro -> TROJ_FRS.VSNW19J20


© Генеалогия: ??? >> InstallPay

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypted

Этимология названия и пояснения: 
Среди осмотренного "багажа" не было обнаружено никаких индивидуальных принадлежностей, которые могли бы идентифицировать программу и узнать ее название. Файл проекта и установочный файл называются Install.pdb и Install.exe соответственно. Визитная карточка - файл pay.jpg. Отсюда название InstallPay Ransomware. 
Cover-Ransomware — я ввел новое название для программ-вымогателей, которые являются прикрытием для установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя подобным образом, уже были описаны в нашем Дайджесте, но мы не выделяли это в отдельный вид. 
В различных Cover-Ransomware вредоносным компонентом могут быть трояны различного действия, банковские трояны (банкеры), инфостилеры (здесь — Echelon Stealer и Avalon Stealer), стиратели, деструкторы, doxware, майнеры и прочие. Описание смотрите в нашем Глоссарии

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных и испаноязычных пользователей, что позволяет распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, заменяющее обои Раббочего стола и экран блокировки, в поля которого нужно ввести KEY1 и KEY2. 


Содержание текста с экрана: 
HEY. AS YOU ALREADY UNDERSTOOD, I HAVE ALL THE
LOGINS/PASSWORDS FOR ALL YOUR ACCOUNTS
AND ENCRYPT SOME YOUR FILES.
I GIVE YOU A CHOICE:
1. I DELETE YOU FROM MY DATABASE AND UNLCOK YOUR FILES.
2. I SELL YOUR DATA AND EVERYTHING I FOUND
ON THE BLACK MARKET.
IF YOU CHOOSE 1 ST WAY - SEND 0,0026 BTC (30$) TO WALLET
1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
I GIVE YOU 40 HOURS
FOR MORE INFORMATION CHECK INSTALL.EXE

Перевод текста с экрана на русский язык
ПРИВЕТ. КАК ВЫ УЖЕ ПОНЯЛИ, У МЕНЯ ВСЕ ЛОГИНЫ / ПАРОЛИ ОТ ВСЕХ ВАШИХ АККАУНТОВ И ЗАШИФРОВАНЫ НЕКОТОРЫЕ ВАШИ ФАЙЛЫ.
Я ДАЮ ВАМ ВЫБОР:
1. Я УДАЛЮ ВАС ИЗ МОЕЙ БАЗЫ ДАННЫХ И РАСКРОЮ ВАШИ ФАЙЛЫ.
2. ПРОДАЮ ВАШИ ДАННЫЕ, ЧТО НАШЕЛ, Н
А ЧЕРНОМ РЫНКЕ.
ЕСЛИ ВЫ ВЫБИРАЕТЕ 1 ПУТЬ - ОТПРАВЬТЕ 0,0026 BTC (30 $) НА КОШЕЛЬК
1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
ДАЮ ВАМ 40 ЧАСОВ
ДЛЯ ИНФОРМАЦИИ ПРОВЕРЬТЕ INSTALL.EXE

 
 
Скриншоты, полученные из разных систем

---
Из того, что удалось найти, есть ещё двуязычный текст на английском и испанском, но некоторые испанские буквы искажены. 

Содержание текста о выкупе (из кода): 
HEY. AS YOU ALREADY UNDERSTOOD, I HAVE ALL THE LOGINS/PASSWORDS FOR ALL YOUR ACCOUNTS AND ENCRYPT SOME YOUR FILES.
I GIVE YOU A CHOICE:
1. I DELETE YOU FROM MY DATABASE AND UNLCOK YOUR FILES.
2. I SELL YOUR DATA AND EVERYTHING I FOUND ON THE BLACK MARKET.
IF YOU CHOOSE 1ST WAY - SEND 0,0026 BTC (30$) TO WALLET 
1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
I GIVE YOU 48 HOURS if you don't know how to buy bitcoin, just ask google or just follow the link https://bitcoin.org/en/buy and buy 0,0026 BTC on my wallet address after this send me your KEY1 on James.Roach.10@gmail.com


HOLA. COMO USTED YA ENTIENDE, SUS INICIOS DE SESIÓN/CONTRASEÑAS PARA TODAS LAS CUENTAS CONMIGO, TAMBIÉN ENCRIPTÉ ALGUNOS DE SUS ARCHIVOS.
 LE OFRECGO UNA OPCIÓN: 
1. ELIMINARÉ SUS DATOS DE MI BASE DE DATOS Y DESCODIFICARÉ SUS ARCHIVOS. 
2. VENDO TUS DATOS EN EL MERCADO NEGRO. 
SI ELIGE LA PRIMERA MANERA - ENVÍE 0.0026 BTC ($ 30) A WALLET 1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M 
TE DOY 48 HORAS si no sabes cómo comprar bitcoin - pregunta a google o simplemente sigue el enlace https://bitcoin.org/en/buy y comprar 0.0026 bitcoins a mi número de billetera. y luego envíeme su KEY1 a James.Roach.10@gmail.com


Перевод текста на русский язык: 
ПРИВЕТ. КАК ВЫ УЖЕ ПОНЯЛИ, У МЕНЯ ЕСТЬ ВСЕ ЛОГИНЫ/ПАРОЛИ ДЛЯ ВСЕХ ВАШИХ УЧЕТНЫХ ЗАПИСЕЙ И ЗАШИФРОВАНЫ НЕКОТОРЫЕ ВАШИ ФАЙЛЫ.
ДАЮ ВАМ ВЫБОР:
1. Я УДАЛЯЮ ВАС ИЗ МОЕЙ БАЗЫ ДАННЫХ И РАЗЛОЧУ ВАШИ ФАЙЛЫ.
2. Я ПРОДАЮ ВАШИ ДАННЫЕ И ВСЁ, ЧТО НАШЕЛ, НА ЧЕРНОМ РЫНКЕ.
ЕСЛИ ВЫ ВЫБИРАЕТЕ ПЕРВЫЙ СПОСОБ - ОТПРАВЬТЕ 0,0026 BTC (30$) НА КОШЕЛЕК
1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
Я ДАЮ ВАМ 48 ЧАСОВ, если вы не знаете, как купить биткойны, просто спросите Google или просто перейдите по ссылке https://bitcoin.org/en/buy и купите 0,0026 BTC на адрес моего кошелька, после этого отправьте мне свой KEY1 на James.Roach.10@gmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ В составе обнаружены инфостилеры (Echelon Stealer и Avalon Stealer), которые используюся для хищения информации. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pay.jpg - название файла-изображения с требованием выкупа
Install.pdb - название файла проекта 
Install.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Public\Documents\pay.jpg
%USERPROFILE%\Desktop\projects\Install\Install\obj\Release\Install.pdb"
C:\Users\google\Desktop\projects\Install\Install\obj\Release\Install.pdb

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-293278959-2699126792-324916226-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Public\\Documents\\pay.jpg"
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: James.Roach.10@gmail.com
BTC: 1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

Video demo of the attack
 Thanks: 
 S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Pizhon

Pizhon Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файлах написано: dwintl_x64.exe и gwintl.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32933
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Crypmod
Avira (no cloud) -> HEUR/AGEN.1119228
ESET-NOD32 -> A Variant Of Win64/Filecoder.O
Malwarebytes -> Ransom.DontWorry
Rising -> Trojan.Filecoder!8.68 (TFE:5*
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Crypmod.Loia, Win32.Trojan.Crypmod.Lnyb
TrendMicro -> Ransom_Crypmod.R011C0GJQ20, Ransom_Crypmod.R002C0WJP20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: 
Plague17 (2014-2016) > AMBA > Dont_Worry > Plague17 (2018-2019) > Pizhon 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pizhon-<random_ID{16}>



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на октябрь 2020 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README!!!.txt


Содержание записки о выкупе: 
Вся Ваша информация на этом компьютере была зашифрована.
Для расшифровки Вам нужно выполнить несложные действия:
--------------------------------------------------------------------------
1. Скачайте по ссылке тор-браузер, установите его:
https://www.torproject.org/download/download-easy.html
2. Откройте тор-браузер, перейдите по адресу и зарегистрируйте себе e-mail:
http://torbox36ijlcevujx7mjb4oiusvwgvmue7jfn2cvutwa6kl6to3uyqad.onion/signup-en.php
3. Войдите в почтовый ящик:
http://torbox36ijlcevujx7mjb4oiusvwgvmue7jfn2cvutwa6kl6to3uyqad.onion/wm/
4. Напишите письмо на e-mail:
e-mail: pizhon@torbox3uiot6wchz.onion
Укажите в письме Ваш код для разблокировки: 12345678
5. Ждите ответ.
--------------------------------------------------------------------------
Учтите, что письма с обычных email - мы не получим, кроме тех, которые есть в этом списке:
http://torbox36ijlcevujx7mjb4oiusvwgvmue7jfn2cvutwa6kl6to3uyqad.onion/relay-en.php


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файловый маркер "pizhon" (юникод) на -0x600 файла, там же, где его хранил Plauge17.

Файлы, связанные с этим Ransomware:
!!!README!!!.txt - название файла с требованием выкупа
dwintl_x64.exe - название вредоносного файла
gwintl.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pizhon@torbox3uiot6wchz.onion
BTC: 
URL: xxxx://torbox36ijlcevujx7mjb4oiusvwgvmue7jfn2cvutwa6kl6to3uyqad.onion/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage 
analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >>  IA>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Plague17 / AMBA Family (семейство  Plague17 / AMBA):
Plague17 Ransomware - март 2014 - 2016
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018
Plague17 Ransomware - май 2018-август 2019

Pizhon Ransomware - октябрь 2020



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as Plague17)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 23 октября 2020 г.

Skynet

Skynet Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в $30 на рублевый кошелек в Webmoney, чтобы вернуть файлы. Оригинальное название: Skynet system. На файле написано: SKYNET.exe.
---
Обнаружения:
DrWeb -> Trojan.Winlock.14436
Avira (no cloud) -> Trojan.GenericKD.44166766
BitDefender -> Trojan.GenericKD.44166766
ESET-NOD32 -> ***
Kaspersky -> Backdoor:Win32/Bladabindi!ml
Microsoft -> Backdoor:Win32/Bladabindi!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Diztakun.Woyy
TrendMicro -> TROJ_GEN.R002C0WGB21
---

© Генеалогия: ✂ HiddenTear + 
✂ Stupid >> Sapphire (LAG) > Skynet 

Изображение — логотип статьи

К зашифрованным (заблокированным) файлам добавляется расширение: .aes


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была во второй половине октября 2020 и в начале июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
 
Записка с требованием выкупа написана на экране блокировки: 


Скриншоты Рабочего стола с экраном блокировки для Windows 7 и Windows 10. Казалось бы совсем несложная программа, а тоже легко блокирует хвалёную "лучше защищенную" 10-ку и шифрует файлы. 




Содержание записки о выкупе:
Congratulations on joining the Skynet system!
Some files in YOUR PC has been ENCRYPTED, but don't worry, we can still FIX IT...
If you want RETURN your FILES , you must PAY for it.
Pay 30$ to the account R124623291982 in Webmoney system and specify
in the message translation address to contact you, where you will receive a PASSWORD.
Enter the password here: ***
Attention, you have only 3 attempts!  [ACCEPT]

Перевод записки на русский язык:
Поздравляем с присоединением к системе Скайнет!
Некоторые файлы на ВАШЕМ ПК были ЗАШИФРОВАНЫ, но не волнуйтесь, мы еще можем ИСПРАВИТЬ ЭТО...
Если вы хотите ВЕРНУТЬ ваши ФАЙЛЫ, вы должны ЗАПЛАТИТЬ за это.
Внесите 30$ на счет R124623291982 в Webmoney и укажите 
в сообщении перевода адрес для связи с вами, куда вы получите ПАРОЛЬ.
Введите пароль здесь: ***
Внимание, у вас всего 3 попытки! [ПРИНИМАТЬ]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию (блокировке):
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
SKYNET.exe - название вредоносного файла. 



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
Ⓗ Hybrid analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >> 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 1 марта 2024: 
Доп. название: Payuranson Ransomware
Расширение: .payuranson
Записка: SkynetData.txt
Email: imhere.ru@protonmail.com
Telegram: @payurransom
IOC: VT, TG 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
Внимание!  
Файлы можно расшифровать / разблокировать.
Код разблокировки: GENYSIS
Если код не подходит, пишите в Тему поддержки >>
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *