OCT Ransomware
OctEncrypt Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: OCT_RANSOMWARE 1.2V.exe
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31362
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UQ
Microsoft -> Ransom:MSIL/Stupid.G!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Stupid.R002C0DL820
---© Генеалогия: Hakbit >> OCT (OctEncrypt)
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .oct
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начала декабря 2020 г. Ориентирован на англоязычных и корейских пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: READ_ME.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
----------OCT_RANSOMWARE 1.2V--------------------------
============================
Warning! Warning! Your documents, photos, and other important files have been encrypted by a powerful algorithm.
Your files are stored on our server, and we can delete and change these files at any time.
But if you want to restore your file, you have to pay us for the decryption.
Follow the instructions to recover your files!!!
============================================
--------------INSTRUCTIONS----------------------
1. send a e-mail to octencrypt4444@gmail.com .
2. leave any messages, if you leave message, I will reply.
3. If you send your encrypted files, I will made you give me a money.
4. If you pay money by me, I will decrypted your files and return your decrypted files.
5. But you don't pay money, I will delete all your files.
====================================================
--------------------------MY MESSAGE----------------------------------------------------
If you can't pay the money to me, I will decrypt your files for free!!!
But, you should pay money in a week!!!!!!
If you don't pay tne money over two weeks, I will expose your privacy and delete all your files and data!!
=====================================
-------------------DOWNLOAD TOR BROWSER-------------------
https://tor-browser.softonic.kr/
------------------MY TOR BROWSER SITE------------------
octencrypt-1359BASK-yllqf.onion
octencrypt-1322FSQS-nngae.onion
Перевод записки на русский язык:
---------- OCT_RANSOMWARE 1,2 В --------------------------
============================
Предупреждение! Предупреждение! Ваши документы, фотографии и другие важные файлы зашифрованы с помощью мощного алгоритма.
Ваши файлы хранятся на нашем сервере, и мы можем удалить и изменить эти файлы в любое время.
Но если вы хотите восстановить свой файл, вы должны заплатить нам за расшифровку.
Следуйте инструкциям по восстановлению файлов !!!
============================================
--------------ИНСТРУКЦИИ----------------------
1. отправьте email на адрес octencrypt4444@gmail.com.
2. Оставьте какие-либо сообщения, если вы оставите сообщение, я отвечу.
3. Если вы отправите свои зашифрованные файлы, я заставлю вас заплатить мне деньги.
4. Если вы заплатите мне деньги, я расшифрую ваши файлы и верну вам расшифрованные файлы.
5. Но если вы не платите деньги, я удалю все ваши файлы.
================================================== ==
--------------------------МОЕ СООБЩЕНИЕ----------------------------------------------------
Если вы не можете мне заплатить, я бесплатно расшифрую ваши файлы !!!
Но, вы должны заплатить деньги через неделю !!!!!!
Если вы не заплатите деньги в течение двух недель, я раскрою вашу конфиденциальность и удалю все ваши файлы и данные !!
=====================================
------------------- СКАЧАТЬ БРАУЗЕР TOR -------------------
https://tor-browser.softonic.kr/
------------------ САЙТ МОЕГО БРАУЗЕРА TOR ------------------
octencrypt-1359BASK-yllqf.onion
octencrypt-1322FSQS-nngae.onion
---
Сайты в Tor-браузере не открываются.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ_ME.txt - название файла с требованием выкупа
OCT_RANSOMWARE 1.2V.exe - название вредоносного файла
무단_사진_도용_관련_탄원서.pdf .exe - название файла на корейском языке
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: octencrypt4444@gmail.com
Tor-URL: octencrypt-1359BASK-yllqf.onion
Tor-URL: octencrypt-1322FSQS-nngae.onion
BTC: - См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 19 мая 2021:
Сообщение:
https://twitter.com/Kangxiaopao/status/1396765718331281408
Расширение: .no_hacker
Записка: WWREAD_ME.txt
Email: movingman3000@gmail.com
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31362
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UQ
Malwarebytes -> Ransom.Hakbit
Microsoft -> Ransom:MSIL/Stupid.G!MTB
Symantec -> Trojan.Gen.MBT
TrendMicro -> Ransom_Stupid.R002C0DEJ21
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as Hakbit) Write-up, Topic of Support *
Thanks: S!Ri, Michael Gillespie Andrew Ivanov (article author) xiaopao to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
