Pay2Key

Pay2Key Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA (для некоторых функций еще использует алгоритм RC4), а затем требует выкуп в 7-9 BTC (около 110-140 тысяч долларов), чтобы вернуть файлы. Оригинальное название: Pay2key (написано в заголовке записки). На файле написано: Cobalt.Client.exe. Написан на C++ и скомпилирован с использованием MSVC ++ 2015. Вероятно управляется из Ирана. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33027, Trojan.Encoder.33028, Trojan.Encoder.33029
BitDefender -> Trojan.GenericKD.35120498, Trojan.GenericKD.35120626, Trojan.GenericKD.35120535
Avira (no cloud) -> TR/AD.Pay2keyRansom.xdwes, TR/FileCryptor.gufqt, TR/FileCryptor.kykon
ESET-NOD32 -> A Variant Of Generik.DVXTLZU, A Variant Of Win32/Filecoder.OEU
Malwarebytes -> Ransom.FileCryptor, Ransom.Pay2Key

Microsoft -> Program:Win32/Wacapew.C!ml, Trojan:Win32/Ymacco.AA5B, Trojan:Win32/Wacatac.C!ml
Rising -> Trojan.Generic@ML.94 (RDML:z2R*, Trojan.Generic@ML.89 (RDMK:TFU*
Symantec -> Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.PAY2KEY.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Pay2Key

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pay2key


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые атаки были направлены против организаций в Израиле. Позже пришли сообщения о пострадавших организациях в Бразилии. 

Записка с требованием выкупа называется по шаблону: [ORGANIZATION]_MESSAGE.TXT

Содержание записки о выкупе: 

PAY2KEY

HELLO *** USERS!

Congratulations!

Your entire network and all your informations such as computers/ employees information/ users folders/ servers/ file-servers/

applications/ databases/etc... in your network has been successfully encrypted!

Some of your important information dumped and ready to leak, in case we can't make a good deal!

Don't modify encrypted files or you can damage them and decryption will be impossible!

Don't try unofficial decryptors to recover your files or you can damage them and decryption will be impossible!

There is only ONE possible way to get back your files! Pay and contact to receive your special decryptor!

You should pay 7 BTC to receive official decryptor and easily recover your files. ***special decryptor is now ready and

waiting for your payment, let's do it!

You can send 4 random files from any computers and receive decrypted data, just as a proof that works!

Your UserlD IS: ***

Your Network ID ***

| NOTICE |

Offer available until 11/08/2020. If you do not pay on time, price will be doubled!

Wallet: ***

E-mail: 

pay2key@tuta.io

pay2key@pm.me

Keybase: 

Pay2Key

Перевод записки на русский язык: 

Поздравляем!

Вся ваша сеть и вся ваша информация, такая как компьютеры / информация о сотрудниках / пользовательские папки / серверы / файловые серверы /

приложения / базы данных / и т.д ... в вашей сети были успешно зашифрованы!

Часть вашей важной информации сброшена и готова к утечке на случай, если мы не сможем заключить выгодную сделку!

Не изменяйте зашифрованные файлы, иначе вы можете повредить их и расшифровать будет невозможно!

Не пытайтесь восстановить файлы с помощью неофициальных дешифраторов, иначе вы можете повредить их и расшифровать будет невозможно!

Есть только ОДИН способ вернуть ваши файлы! Оплатите и свяжитесь, чтобы получить специальный дешифратор!

Вы должны заплатить 7 BTC, чтобы получить официальный дешифратор и легко восстановить свои файлы. *** специальный дешифратор готов и

ждем оплаты, давайте!

Вы можете отправить 4 случайных файла с любого компьютера и получить расшифрованные данные, что является доказательством того, что это работает!

Ваш UserlD: ***

Ваш Network ID ***

| УВЕДОМЛЕНИЕ |

Предложение действительно до 8.11.2020. Если вовремя не заплатить, цена удвоится!

Кошелек: ***

E-mail:

pay2key@tuta.io

pay2key@pm.me

Keybase:

Pay2Key

ASCII-арт в записке настраивается для каждой организации. 

Красным цветом выделены ошибки, харатерные для тех, кому английский язык неродной. 

Вместо звездочек *** должно быть то, что было скрыто исследователями. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP. Точнее: группа хакеров-вымогателей, которая получила название Pay2Key, осуществляет целевые атаки на израильские компании. Эта запущенная иранскими хакерами вредоносная кампания является частью продолжающейся киберконфронтации между Израилем и Ираном. Первоначальное атака происходит через RDP-соединение. Далее используется PsExec.exe для запуска программы-вымогателя (файл Cobalt.Client.exe) на разных машинах в организации. 

Хакеры-вымогатели, использующие Pay2Key, проникают в целевые сети быстро, в течение часа, распространяют программу-вымогатель по всей сети. Кроме того они устанавливают устройство, которое будет использоваться в качестве прокси для всех исходящих сообщений между компьютерами, инфицированные Pay2Key Ransomware и C&C. Это помогает им снизить риск обнаружения перед шифрованием всех доступных систем в сети.

Пока нет данных о других способах распространения, но после перенастройки вполне может начать распространяться помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ По данным исследователей, Pay2Key находится в стадии активной разработки и разработчики обновляют его дополнительными функциями. Например, в ранней версии программа-вымогатель не подчищала за собой следы активности и это позволила исследовать её работу, но в последней рассмотреной на момент написании статьи версии исследователи заметили, что злоумышленники добавили механизм самоуничтожения в дополнение к новому аргументу командной строки --noreboot.

На этом скриншоте представлена функция, которая отвечает за удаление программы-вымогателя и его файлов и перезапуск систем. Для выключения ПК используется команда: 

Shutdown /r /f /t 0

Подробности о шифровании:

Используется гибрид симметричной и асимметричной криптографии - с использованием алгоритмов AES и RSA. Сервер C&C генерирует и передает открытый ключ RSA во время выполнения. Это означает, что Pay2Key не выполняет шифрование в автономном режиме и если нет подключения к Интернету или C&C недоступен, то шифрование не произойдет. 

Исследователи заметили, что для некоторых криптографических функций (не для шифрования файлов) используется алгоритм RC4. Авторы Pay2Key использовали стороннюю реализацию (через Windows API).

Network ID из записки (формат GUID) сохраняется как ASCII в начале файла, за ним идут некоторые метаданные как [WORD length][data], включая исходное имя файла.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
[ORGANIZATION]_MESSAGE.TXT - название файла с требованием выкупа

Cobalt.Client.exe - исполняемый файл Pay2Key

Config.ini - файл конфигурации, в котором указаны "Сервер" и "Порт".

Cobalt-Client-log.txt - файл журнала, используется программой-вымогателем во время выполнения

ConnectPC.exe - файл подключения к компьютерам сети, используется для ретрансляции сообщений от жертв внутри организации на внешний сервер управления

Cobalt.Client.pdb - оригинальный файл проекта

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\Temp\[organization-name]tmp\Cobalt.Client.exe

F:\2-Sources\21-FinalCobalt\Source\cobalt\Cobalt\Cobalt\Win32\Release\Client\Cobalt.Client.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pay2key@tuta.io, pay2key@pm.me
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Некоторые другие образцы можно найти на сайте BA:

https://bazaar.abuse.ch/browse/tag/Pay2key/

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myTweet
 ID Ransomware (ID as Pay2Key)
 Write-up, Topic of Support
 Added later: Write-up by BC >> 

 Thanks: 
 CheckPoint, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SZ40, Lorenz

SZ40 Ransomware

Lorenz Ransomware

Lorenz (SZ40) Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов RSA + AES (режим CBC), а затем требует выкуп в 50 BTC, чтобы вернуть файлы. Угрожает опубликовать украденные данные в Интернете. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> *** / Trojan.Encoder.33931
BitDefender ->  Gen:Variant.Doina.12046
Avira (no cloud) -> TR/Ransom.Agent.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.D
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.THUNDERCRYPT.A, Ransom.Win32.THUNDERCRYPT.SM
---

© Генеалогия: ThunderCrypt >> SZ40 > Lorenz

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sz40

Неизвестно, статическое это название или изменяемое. Это может быть аббревиатура названия ПК или компании. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP_SECURITY_EVENT.html

Содержание записки о выкупе: 

.sz40

Good day!

We have download and encrypted all your company files!

We did this using hybrid RSA-2048 public key encryption. It basically means there is no way to decrypt your files without the private key. The private key is stored on our server.

Indeed, we can recover your files. You just have to pay us before the deadline.

If you don't, the private key will be securely erased from our server, you lose encrypted files forever and we will publish all the contents of your company includes client's databases with personal data on the internet.

Transfer required amount to the Bitcoin address below, wich was generated just for your payment. As soon as the transaction gets confirmed, leave your contact mail to hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (it's Tor site, use Tor Browser hxxxs://www.torproject.org/download/) to get instructions and key to restore all your files.

WARNING! Antivirus software, police or anyone can't decrypt your files. Also any attemps to modify files may damaged them and even we won't be able to recover them.

Bitcoin walet:

***

Amount:

50 Btc

Deadline:

11/03/2020

Перевод записки на русский язык: 

.sz40

Добрый день!

Мы скачали и зашифровали все файлы вашей компании!

Мы сделали это, используя гибридное шифрование с открытым ключом RSA-2048. По сути, это значит, что невозможно расшифровать ваши файлы без закрытого ключа. Закрытый ключ хранится на нашем сервере.

Да, мы можем восстановить ваши файлы. Вы просто должны заплатить нам до истечения срока.

Если вы этого не сделаете, закрытый ключ будет удален с нашего сервера, вы потеряете зашифрованные файлы навсегда, а мы опубликуем все содержимое вашей компании, включая клиентские базы данных с личными данными в Интернете.

Переведите нужную сумму на указанный ниже биткойн-адрес, который был сгенерирован только для вашего платежа. Как только транзакция будет подтверждена, оставьте свой контактный email-адрес на hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (это сайт Tor, используйте браузер Tor hxxxs://www.torproject.org/download/), чтобы получить инструкции и ключ. чтобы восстановить все ваши файлы.

ПРЕДУПРЕЖДЕНИЕ! Антивирусная программа, полиция или кто-то еще не смогут расшифровать ваши файлы. Также любые попытки изменить файлы могут повредить их, и даже мы не сможем их восстановить.

Биткойн-кошелек:

***

Количество:

50 Btc

Крайний срок:

11.03.2020

Скриншот указанного в записке Tor-сайта. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Очищает системыне журналы. 

Регистрируется как системная служба, чтобы обеспечить автоматический запуск вредоносного файла при каждом запуске системы, добавляет в реестр следующий ключ:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускает следующие директории: 

$Recycle.Bin

All Users

Local

Microsoft

Packages

Program Files

Program Files (x86)

ProgramData

Temp

WINDOWS

Windows

Маркер зашифрованных файлов:

Файлы, связанные с этим Ransomware:
HELP_SECURITY_EVENT.html - название файла с требованием выкупа;

<random>.js - вредоносный файл-скрипт;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123

Мьютексы:
sz40

Сетевые подключения и связи:
Tor-URL: hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php

Email:
BTC: скрыт исследователем
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

ThunderCrypt Ransomware - май 2017

SZ40 Ransomware - октябрь 2020

Lorenz Ransomware - март 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 4 марта 2021:

Описание >>

Самоназвание: Lorenz Ransomware

Расширение: аббревиатура названия ПК или компании. 

Замеченные расширения: .Lorenz или .Lorenz.sz40

Записка: HELP_SECURITY_EVENT.html

Файлы: %User Temp%\MoUsoCoreWorker.exe

%Windows%\dws.exe

%Windows%\tWjdf.js

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33931

BitDefender -> Gen:Variant.Johnnie.310333, Gen:Variant.Doina.12046

Rising -> Ransom.Gen!8.DE83 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> Ransom.Win32.THUNDERCRYPT.SM

---

Сообщение от 30 июня 2021: 

Tesorion выпустила бесплатный дешифратор для Lorenz Ransomware, который позволяет жертвам бесплатно восстанавить некоторые свои файлы (документы Office, файлы PDF, некоторые типы изображений и видеофайлы) без уплаты выкупа. Другие типы файлов не будут расшифрованы. 

Сообщение >>

Загрузить дешифровщик можно с сайта NoMoreRansom по ссылке >>

Вариант от 14 ноября 2021: 

Сообщение >>

Расширение: .Lorenz.sz40

Записка: HELP_SECURITY_EVENT.html

Файл изображения: ECes1Ma81x0h.bmp

Сайт: hxxx://lorenzezzket6afhfqfjagefsrjn44edsgi26kq4sfhqjal6wyneh4yd.onion

Сайт Leaks: hxxx://lorenzmlwpzgxq736jzseuterytjueszsvznuibanxomlpkyxk6ksoyd.onion

Результаты анализов: VT + TG

 

=== 2022 ===

Вариант от 2 марта 2022:

Статья о новом варианте >>

Расширение: .Lorenz.sz40

Записка: HELP.TXT

Tor-URL: hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion

hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion.ly

Результаты анализов: VT + IA + HA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.35136

BitDefender -> Trojan.GenericKD.39120532

ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.F

Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypren.gen

Malwarebytes -> Ransom.Lorenz

Microsoft -> Trojan:Win32/Tnega!ml

Rising -> Ransom.Convagent!8.123A1 (CLOUD)

TrendMicro -> Ransom_Crypren.R002C0WC522

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myTweet
 ID Ransomware (ID as ThunderCrypt / Lorenz)
 Write-up, Topic of Support
 * 

Внимание!
В некоторых случаях файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >> 
---
Загрузить дешифровщик для Lorenz можно по ссылке >>

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 Kangxiaopao
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CCECrypt

CCECrypt Ransomware

CCE Ransomware

AIEOU Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Описанный вариант предназначен для Windows x64. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32965
BitDefender -> Trojan.GenericKD.44254481
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.terpo
ESET-NOD32 -> A Variant Of Win64/Filecoder.CQ

Kaspersky -> Trojan.Win32.Udochka.ba
Malwarebytes -> Ransom.CCECrypt
Rising ->
Symantec -> Trojan.Gen.2

Tencent -> Win32.Trojan.Udochka.Lkdo
TrendMicro -> TROJ_GEN.R002C0WJV20


© Генеалогия: ??? >> CCECrypt (CCE) 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aieou
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

Your files were infected with ransomware and encrypted. If you wish to recover, please contact the email address below and pay 1 BTC or more.cce_2020_final@cce2020.kr

Перевод записки на русский язык:
Ваши файлы заражены ransomware и зашифрованы. Если хотите вернуть, пишите на email-адрес ниже и платите 1 BTC или more.cce_2020_final@cce2020.kr

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
<random>.exe - название вредоносного файла

n0tepad.exe - название вредоносного файла

20200824_112607.exe - название вредоносного файла

cce_final_ransom.pdb - файл оригинального проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\user\Desktop\n0tepad.exe

C:\Windows\system32\conhost.exe

C:\Users\Administrator\source\repos\cce_final_ransom\x64\Release\cce_final_ransom.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: more.cce_2020_final@cce2020.kr
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ScatterBrain

ScatterBrain Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+ChaCha, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ScatterBrain. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32967
BitDefender -> Trojan.GenericKD.44252380
Avira (no cloud) -> TR/Ransom.qzozq
ESET-NOD32 -> MSIL/Filecoder.ACY
Malwarebytes -> Ransom.FileCryptor
Symantec -> Ransom.Wannacry
TrendMicro -> TROJ_GEN.R069H0DJS20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> ScatterBrain

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: contactUs.txt

Содержание записки о выкупе: 

This is your decryption info-pack. Here you can find information on how to decrypt your files and continue with your business. 

FAQ: 

This decryption pack contains: contactUs.txt (this file), 

encryptedFiles.txt (files that have been encrypted) - do not delete this file if your wish to decrypt your files later on, 

RSA-EncryptedKey.txt - encrypted information containing the decryption password. Quote this key during any communication with us. 

====================================================================================================

Q: Why should I trust you? 

1) We guarantee that your files will be decrypted if you contact us within a reasonable timeframe. Nobody would do business with us if we could not deliver on this promise. 

Q: What is that you can do ? 

2) Our promise is that we WILL provide the decrypter and decryption keys to each of the affected workstations on your network and we WILL provide a proof of our words to you on request. 

Q: How much will it cost me to bring my files back ? 

3) Price for the decryption key and the deletion of your sensitive data from our servers can be negotiated over the contact details provided. We are happy to apply a discounted price if you contact us early. 

Q: How do I contact you ? 

4) Should you wish to proceed with our offer, please contact us at anon4113@protonmail.com. We will respond within reasonable time to set up the meeting and answer all your questions. 

====================================================================================================

Please note that a failure to respond within 7 days will have the consequences of your stakeholder data being released to the public which may damage your company trust and reputation. We hope to hear from you soon.

Перевод записки на русский язык: 

Это ваш информационный пакет для расшифровки. Здесь вы можете найти информацию о том, как расшифровать ваши файлы и продолжить свой бизнес.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:

Этот пакет расшифровки содержит: contactUs.txt (этот файл),

encryptedFiles.txt (файлы, которые были зашифрованы) - не удаляйте этот файл, если вы хотите расшифровать ваши файлы позже,

RSA-EncryptedKey.txt - зашифрованная информация, содержащая пароль для дешифрования. Процитируйте этот ключ при любом общении с нами.

================================================== ==================================================

В: Почему я должен вам доверять?

1) Мы гарантируем, что ваши файлы будут расшифрованы, если вы свяжетесь с нами в разумные сроки. Никто не стал бы вести с нами дела, если бы мы не смогли выполнить это обещание.

В: Что вы можете сделать?

2) Мы обещаем, что мы предоставим дешифратор и ключи дешифрования для каждой из затронутых рабочих станций в вашей сети, и мы предоставим вам подтверждение наших слов по запросу.

В: Сколько мне будет стоить вернуть мои файлы?

3) Стоимость ключа дешифрования и удаления ваших конфиденциальных данных с наших серверов может быть согласована по предоставленным контактным данным. Мы будем рады применить скидку, если вы свяжетесь с нами раньше.

Q: Как с вами связаться?

4) Если вы хотите продолжить работу с нашим предложением, свяжитесь с нами по адресу anon4113@protonmail.com. Мы ответим в разумные сроки, чтобы назначить встречу и ответить на все ваши вопросы.

================================================== ==================================================

Обратите внимание, что отсутствие ответа в течение 7 дней повлечет за собой разглашение данных ваших заинтересованных сторон, что может нанести ущерб доверию и репутации вашей компании. Мы надеемся услышать вас скоро.

---

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.

Содержание текста с этого изображения:

This company network was riddled with vulnerabilities and in consequence has suffered a breach. When you disregard the security of the system in favour of savings that is where bad things happen. We took advantage of that.

As you might have already noticed your important files have been encrypted, they can be recognized as having *.encrypted extension. Any tempering with these files will result in unrecoverable damage. Do not change the extensions if you wish to decrypt those files later on.

Windows restore points have been deleted, reverting to previous state is impossible unless you were keeping regular offline backups of your files from each of the workstations....

Your critical files such as clients information and your stakeholder data was exfiltrated. Ask for the sample if you need a proof.

This sensitive data has not been released to anyone, yet.

We are willing to work with you to maintain your company trust and reputation in the eyes of those who you do business with.

Our contact details and decryption instructions can be found in C:\ProgramData\DecryptionPack\contactUs.txt on each of the affected

workstations.

For us it is business and not personal.

Перевод текст ан арусский язык:

Сеть этой компании была пронизана уязвимостями и, как следствие, пострадала от взлома. Когда вы пренебрегаете безопасностью системы в пользу экономии, тогда случаются плохие вещи. Мы этим воспользовались.

Как вы, возможно, уже заметили, ваши важные файлы были зашифрованы, их можно распознать как имеющие расширение * .encrypted. Любое 

вмешательство в эти файлы приведет к невосстановимому ущербу. Не меняйте расширения, если вы хотите расшифровать эти файлы позже.

Точки восстановления Windows были удалены, возврат к предыдущему состоянию невозможен, если вы не делали регулярные автономные резервные копии ваших файлов с каждой из рабочих станций ....

Ваши важные файлы, такие как информация о клиентах и ​​данные ваших заинтересованных сторон, были украдены. Если вам нужны доказательства, попросите образец.

Эти конфиденциальные данные пока никому не переданы.

Мы готовы работать с вами, чтобы поддерживать доверие и репутацию вашей компании в глазах тех, с кем вы ведете бизнес.

Наши контактные данные и инструкции по расшифровке можно найти в C:\ProgramData\DecryptionPack\contactUs.txt на каждом из затронутых

рабочие станции.

Для нас это бизнес, а не личное.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
contactUs.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

ScatterBrain.pdb - оригинальное название проекта

filesToEncrypt.txt

encryptedFiles.txt

RSA-EncryptedKey.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\Desktop\ScatterBrain-slim\x64\Release\ScatterBrain.pdb

C:\ProgramData\DecryptionPack

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: anon4113@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.