Если вы не видите здесь изображений, то используйте VPN.

пятница, 20 ноября 2020 г.

FileEngineering

FileEngineering Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Файл оригинального дешифровщика написан на языке Python. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->


© Генеалогия: ??? >> FileEngineering

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted

Фактически используется составное расширение по шаблону: 
.id=[XXXXXXXX]  Email=[<email_ransom>].encrypted

Реальные примеры таких расширений
.id=[65499***]  Email=[FileEngineering@rape.lol].encrypted
.id=[BE38B***]  Email=[FileEngineering@mailfence.com].encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Среди первых, сообщивших о вымогательстве, пострадавшие из Франции и Украины. 

Записка с требованием выкупа называется: Get your files back!.txt

Записка от 20 ноября 2020 из Франции (2 email-адреса)

Записка от 23-24 ноября 2020 из Украины (3 email-адреса)

Содержание записки о выкупе: 
Hello
I am a security engineer.
I noticed that your system security is very weak and I hacked it.
And all your files are encrypted!
I can return your files for a fair amount of Bitcoin and also tell you your security vulnerabilities.
Send an email to this address : FileEngineering@mailfence.com
And write this ID in its subject : BE38B***
If I did not reply to you within 12 hours, send an email to : FileEngineering@tutanota.com
or this email : FileEngineering@elude.in
For more trust you can send a small file to me and I will show you Your files are decryptable
There is no way to decrypt your files, so pay attention to the following:
* Never change the name of your files, you may have problems with the decrypt
* Never try to decrypt files with another tool
* You may have a backup of your files but you will never notice your system bugs and I can hack your system again


Перевод записки на русский язык: 
Привет
Я инженер по безопасности.
Я заметил, что безопасность вашей системы очень слабый, и взломал ее.
И все ваши файлы зашифрованы!
Я могу вернуть ваши файлы за приличную сумму биткойнов, а также рассказать вам об уязвимостях вашей безопасности.
Отправьте email на этот адрес: FileEngineering@mailfence.com
И впишите этот ID в тему письма: BE38B ***
Если я не ответил вам в течение 12 часов, отправьте email на адрес: FileEngineering@tutanota.com
или на этом адрес: FileEngineering@elude.in
Для большего доверия вы можете отправить мне небольшой файл, и я покажу вам, что Ваши файлы можно расшифровать.
Нет способа расшифровать ваши файлы, поэтому платите внимание на следующее:
* Никогда не меняйте названия ваших файлов, вы получите проблемы с расшифровкой
* Никогда не пытайтесь расшифровать файлы другим инструментом
* У вас может быть резервная копия ваших файлов, но вы никогда не заметите системных ошибок, и я могу снова взломать вашу систему



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Get your files back!.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
5A24250C.exe - название файла оригинального дешифровщика

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
FileEngineering@rape.lol
FileEngineering@mailfence.com
FileEngineering@tutanota.com
FileEngineering@elude.in
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.




=== ДЕШИФРОВЩИК === DECRYPTOR ===

Файл оригинального дешифровщика

 
Окно оригинального дешифровщика



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 ноября 2020: 
Расширение: .encrypted
Составное расширение: .id=[XXXXXXXX]  Email=[ICanFixYourFiles@tutanota.com].encrypted
Записка: Get your files back!.txt
Email: ICanFixYourFiles@tutanota.com, ICanDecryptYourFiles@cock.li

➤ Содержание записки: 
Hello
I am a security engineer.
I noticed that your system security is very weak and I hacked it.
And all your files are encrypted!
I can return your files for a fair amount of Bitcoin and also tell you your security vulnerabilities.
Send an email to this address : ICanFixYourFiles@tutanota.com
And write this ID in its subject : 5A242***
If I did not reply to you within 12 hours, send an email to : ICanDecryptYourFiles@cock.li
For more trust you can send a small file to me and I will show you Your files are decryptable
There is no way to decrypt your files, so pay attention to the following:
* Never change the name of your files, you may have problems with the decrypt
* Never try to decrypt files with another tool
* You may have a backup of your files but you will never notice your system bugs and I can hack your system again





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 Comrade335, quitman7
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 19 ноября 2020 г.

Venom

Venom Ransomware

VenomRAT Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 
$999 BTC (в LTC или в ETH), чтобы вернуть файлы. Оригинальное название: Venom Software, VenomRAT. На файле написано: Lime_text.exe. Модуль шифрования файлов входит в состав VenomRAT и работает как ransomware. По предварительным данным, файлы можно расшифровать без уплаты выкупа. 
---
Обнаружения:
ALYac -> Backdoor.MSIL.Quasar.gen
Avira (no cloud) -> HEUR/AGEN.1123483
BitDefender -> Gen:Heur.MSIL.Krypt.6
DrWeb -> BackDoor.QuasarNET.1
ESET-NOD32 -> A Variant Of MSIL/Agent.AIA
Kaspersky -> HEUR:Trojan-Spy.MSIL.HiveMon.gen
Malwarebytes -> Backdoor.Venom
Rising -> Exploit.Uacbypass!1.C6DD (CLASSIC)
Symantec -> Trojan.Gen.MBT
Tencent -> Msil.Trojan-spy.Hivemon.Dvfu
TrendMicro -> TROJ_GEN.R054C0GJO20
---
ALYac -> Backdoor.MSIL.Quasar.gen
Avira (no cloud) -> TR/Kryptik.ffalg
BitDefender -> Trojan.GenericKD.44118579
DrWeb -> BackDoor.QuasarNET.1
ESET-NOD32 -> A Variant Of MSIL/Kryptik.YGJ
Kaspersky -> HEUR:Trojan-Spy.MSIL.Quasar.gen
Malwarebytes -> Trojan.MalPack.MSIL
Symantec -> Trojan.Gen.2
Tencent -> Msil.Trojan-spy.Quasar.Swkq
TrendMicro -> TrojanSpy.MSIL.QUASAR.ERSUSK620


© Генеалогия: VenomRAT >> Venom Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Venom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого VenomRAT с крипто-вымогателем в составе был обнаружен в середине ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-RECOVER-YOUR-FILES.txt



Содержание записки о выкупе: 
**INSTRUCTRIONS TO FOLLOW TO GET YOUR FILES BACK**
Go to blockchain.com create a bitcoin wallet if you do not possess one already...
Then proceed to your citys nearest Bitcoin ATM and deposit exactly $999 dollars usd *Heres a perk for you** you get to pick which cyrpto currency to send me wow im seriously in suspense qas to which one you pick:) here are your choices...
Bitcoin
Litecoin
Ethereum
once youve chosen follow the bitcoin atms directions to succesfully pay my bills
Once you've completed this daunting task send the crypto currency youve chosin to the following address corresponding to the crypto currency you purchased.

Перевод записки на русский язык: 
** ИНСТРУКЦИИ, ЧТОБЫ ВЕРНУТЬ ФАЙЛЫ **
Зайдите на blockchain.com и создайте биткойн-кошелек, если у вас его еще нет ...
Затем идите в ближайший к вашему городу биткойн-банкомат и внесите ровно $999 США *Вот вам бонус** вы можете выбрать, какую криптовалюту отправить мне, вау, я в ожидании, какую из них вы выберете :) вот ваш выбор. ..
Bitcoin
Litecoin
Ethereum
после того, как вы выбрали, следуйте инструкциям банкоматов с биткойнами, чтобы успешно оплатить мои счета
После того, как вы выполните эту непростую задачу, отправьте выбранную вами криптовалюту по следующему адресу, соответствующему приобретенной вами криптовалюте.


Технические детали

Распространяется через форумы киберандеграунда, в том числе на распродажах. 



После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Мы не нашли образца, где шифровальщик или ransomware-модуль входит в комплект, но нашли скриншоты более ранних версий. 
Возможно, что позже кто-нибудь предоставит дополнительный скриншот. 





Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-TO-RECOVER-YOUR-FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Скриншоты от ииследователя:

 

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 31 января 2022:
Расширение: .V3NOM
Файл: Venom.exe
Файлы проектов и другие: 
C:\Users\vampi\source\repos\Venom\Venom\obj\Debug\Venom.pdb
C:\Windows\Venom.pdb
C:\Windows\System.pdb
C:\Users\User\Desktop\Wallpaper.png
C:\Users\User\Documents\1.js
Файл для дешифровки: VenomD3crypt0r.exe




Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.KillMBRNET.1
BitDefender -> Trojan.Ransom.GenericKD.38821711
ESET-NOD32 -> A Variant Of MSIL/KillMBR.AB
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Rising -> Trojan.Generic/MSIL@AI.97 (RDM.MSIL:4nF*
Symantec -> ML.Attribute.HighConfide



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message
 ID Ransomware (ID as ***)
 Write-up (about VenomRAT), Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Andrew Ivanov (article author)
 MalwareLab
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 15 ноября 2020 г.

Joker Korean

Joker Korean Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 
ransom.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33213
BitDefender -> ***
ALYac -> Trojan.Ransom.Filecoder
ESET-NOD32 ->
Kaspersky -> Trojan-Ransom.PowerShell.Agent.af
Malwarebytes ->
Microsoft -> Trojan:Win32/Ymacco.AA0E
Qihoo-360 -> Generic/HEUR/QVM05.1.4CD7.Malware.Gen
Rising -> Trojan.Generic@ML.89 (RDMK:wL9MU5zyFw40
Symantec -> Trojan Horse
Tencent ->
TrendMicro ->


© Генеалогия: HiddenTear >> Joker Korean

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .joker


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя пришлась был найден в середине ноября 2020 г. Ориентирован на корейскоязычных пользователей, что не мешает распространять его по всему миру. Штамп даты: 18 апреля 2015 года. Значит исходники это вымогателя уже использовались ранее. 

Текстовой записки с требованием выкупа вероятно нет, т.к. используется экран блокировки. 



Исследователь прислал часть текста на корейском языке с переводом на английский. 


Нам удалось извлечь больше корейского текста и перевести его на русский язык, чтобы понять о чём там говорится.  

Содержание записки о выкупе: 
이랜섬웨어를실행해주
셔서 감사합니다.
당신의 컴퓨터는
JOKER 랜섬웨어에 의
해 암호화되었습니다.
이 창을 끈다면 당신의
파일들을 복구할 수 없을
것입니다.
복구를 하기 위해서는 복
구키를 입력하십시오.
복구키는 1부터 999999
까지의수중에서무작위
로생성됩니다.
복구키는
C:\Users\walterwhine
의 POWER-JOKER-PASSWORD.txt 파일
에 저장되어 있습니다.
컴퓨터의 전원을 꺼도
JOKER 랜섬웨어는돌
아올것입니다. 


Перевод записки на русский язык: 
Спасибо, что запустили этот ransomware.
Ваш компьютер был зашифрован JOKER Ransomware.
Если вы закроете это окно, то ваши файлы нельзя будет вернуть.
Введите ключ восстановления, чтобы запустить восстановление. 
Ключи восстановления генерируются случайно от 1 до 999999.
Ключ восстановления хранится в файле POWER-JOKER-PASSWORD.txt
Если даже выключите компьютер JOKER Ransomware вернется.


Также есть файл POWER-JOKER-PASSWORD.txt, в котором должен содержаться ключ восстановления. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Используются командный bat-файл и PowerShell для осуществления атаки.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
POWER-JOKER-PASSWORD.txt - название файла с требованием выкупа
ransom.exe - название вредоносного файла
clickme.bat - командный файл для запуска


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 0x4143
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 13 ноября 2020 г.

HolidayCheer

HolidayCheer Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $40 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: HolidayCheer.exe. Использует библиотеку Crypto++. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> ***
Kaspersky -> ***
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Vigorf.A, Ransom:Win32/FileCrypter.MK!MTB
Qihoo-360 -> Generic/Trojan.Ransom.ec8
Rising -> Trojan.Generic@AI.91 (RDML:v/cYWwuka*
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> CallTROJ_GEN.R002H09KD20


© Генеалогия: ??? >> HolidayCheer

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называются: от AttentionVictim1.txt до 
AttentionVictim20.txt

HolidayCheer Ransomware, записка

Содержание записки о выкупе: 
YOUR FILES HAVE BEEN ENCRYPTED!
Dear victim: 
Files have been encrypted! And Your computer has been limited!
To unlock your PC you must pay with one of the payment methods provided, we regularly check your activity of your screen and to see if you have paid. Paypal automatically sends us a notification once you've paid, But if it doesn't unlock your PC upon payment contact us (TheNorthPolean@protonmail.com)
Reference Number : CT - 8675***
When you pay via BTC, send us an email following your REF Number if your PC doesn't unencrypt. Once you pay, Your PC will de decrypted. However if you don't within 14 days we will continue to infect your PC and extract all your data and use it. 
Google 'how to buy / pay with Bitcoin' if you don't know how. To pay by Bitcoin : send $40 to our bitcoin wallet:
38ccq12hPFoiSksxUdr6SQ5VosyjY7s9AU
flag in base64: ZmxhZ3tUaGFua3NGb3JSZWFkaW5nVG9UaGVFb***

Перевод записки на русский язык: 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Уважаемая жертва:
Файлы зашифрованы! И ваш компьютер ограничен!
Чтобы разблокировать компьютер, вы должны заплатить одним из предложенных способов оплаты, мы регулярно проверяем активность вашего экрана и проверяем, заплатили ли вы. Paypal автоматически отправляет нам уведомление после оплаты, но если он не разблокирует ваш компьютер после оплаты, свяжитесь с нами (TheNorthPolean@protonmail.com)
Номер ссылки: CT - 8675 ***
При оплате через BTC отправьте нам email после вашего номера REF, если ваш компьютер не расшифруется. После оплаты ваш компьютер будет расшифрован. Однако, если вы этого не сделаете в течение 14 дней, мы продолжим заражать ваш компьютер, извлекать все ваши данные и использовать их.
Погуглите, "как купить / платить с помощью биткойнов", если вы не знаете, как это сделать. Для оплаты биткойнами: отправьте $40 на наш биткойн-кошелек:
38ccq12hPFoiSksxUdr6SQ5VosyjY7s9AU
флаг в base64: ZmxhZ3tUaGFua3NGb3JSZWFkaW5nVG9UaGVFb***


Кроме того HolidayCheer содержит скрытое сообщение. 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AttentionVictim1.txt - AttentionVictim30.txt - названия файлов с требованием выкупа 
HolidayCheer.exe - название вредоносного файла

 

По мнению исследователя похоже на вымогатель для CTF.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\<USER>\AppData\Local\Temp\AttentionVictim1.txt
***
C:\Users\<USER>\AppData\Local\Temp\AttentionVictim20.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: TheNorthPolean@protonmail.com
BTC: 38ccq12hPFoiSksxUdr6SQ5VosyjY7s9AU
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *