Ziggy Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES-256 (режим GCM) + RSA-4096 (три ключа), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Ziggy Info.exe. Язык программирвоания: Python.
---
Обнаружения:
Обнаружения:
DrWeb -> Trojan.Encoder.33397, Trojan.Encoder.33492
BitDefender -> Gen:Variant.Bulz.250282
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dldr.Agent.leeix
ESET-NOD32 -> A Variant Of MSIL/TrojanDownloader.Agent.HCJ
Malwarebytes -> Ransom.Ziggy
Microsoft -> Trojan:Win32/Ymacco.AA07, Ransom:MSIL/ZiggyCrypter.PA!MTB
Rising -> Trojan.Generic@ML.97 (RDMK:lm*
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09LB20, Ransom_ZiggyCrypter.R002C0DLV20
---
© Генеалогия: ✂️ BlackHeart + njRAT >> Ziggy
К зашифрованным файлам добавляется расширение: .ziggy
BitDefender -> Gen:Variant.Bulz.250282
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dldr.Agent.leeix
ESET-NOD32 -> A Variant Of MSIL/TrojanDownloader.Agent.HCJ
Malwarebytes -> Ransom.Ziggy
Microsoft -> Trojan:Win32/Ymacco.AA07, Ransom:MSIL/ZiggyCrypter.PA!MTB
Rising -> Trojan.Generic@ML.97 (RDMK:lm*
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09LB20, Ransom_ZiggyCrypter.R002C0DLV20
---
© Генеалогия: ✂️ BlackHeart + njRAT >> Ziggy
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .ziggy
Фактически используется составное расширение по шаблону: .id=[<ID>].email=[EnceryptedFiles@tutanota.com].ziggy
Пример такого расширения:
.id=[234B6543].email=[EnceryptedFiles@tutanota.com].ziggy
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: ## HOW TO DECRYPT ##.exe
При запуске она встает как экран блокировки.
Содержание записки о выкупе:
All your files have been encrypted!
Ziggy Ransomware
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail:
EnceryptedFiles@tutanota.com
Write this ID in the title of your message : 80120***
In case of no answer in 12 hours write us to this e-mail: ReturnEncerypted@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable
information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
# Do not rename encrypted files.
# Do not try to decrypt your data using third party software, it may cause permanent data loss.
# Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Ziggy Ransomware
Все ваши файлы были зашифрованы из-за проблемы с безопасностью вашего ПК. Если вы хотите их вернуть, напишите нам на email:
EnceryptedFiles@tutanota.com
Напишите этот ID в заголовке сообщения: 80120***
Если за 12 часов не ответите, напишите нам на этот email-адрес: ReturnEncerypted@tutanota.com
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов не должен превышать 4 МБ (без архива), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т.д.)
Как получить биткойны
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вам надо зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
# Не переименовывайте зашифрованные файлы.
# Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.
# Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою плату к нашей) или вы можете стать жертвой мошенничества.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
## HOW TO DECRYPT ##.exe - название файла с требованием выкупа
Ziggy Info.exe - название того же файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
<random>.dll - случайное название вредоносного файла
Ziggy ransomware decrypt.exe - файл оригинального дешифровщика
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\Desktop\## HOW TO DECRYPT ##.exe
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://fixfiles.xyz/ziggy/api/info.php?id=80120***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://fixfiles.xyz/ziggy/api/info.php?id=80120***
Email: EnceryptedFiles@tutanota.com
ReturnEncerypted@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
𝚺 VirusTotal analysis (original decryptor) >>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
Обновление от 7 февраля 2021:
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ОРИГИНАЛЬНЫЙ ДЕШИФРОВЩИК === ORIGINAL DECRYPTOR ===
=== БЕЗОПАСНЫЙ ДЕШИФРОВЩИК === EMSISOFT DECRYPTOR ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 7 января 2021:
Расширение: .ziggy
Составное расширение: .id=[XXXXXXXX].email=[khomeyni@yahooweb.co].ziggy
Записка: ## HOW TO DECRYPT ##.exe
Email: khomeyni@yahooweb.co, khomeyni@tatanota.de
Файл: COM Surrogate.exe, robosta.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33492
BitDefender -> Gen:Variant.Zusy.365365
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Ziggy.B
Malwarebytes -> Ransom.Ziggy
Microsoft -> Ransom:Win32/Ziggy.PAA!MTB
Rising -> Ransom.Ziggy!8.124BE (CLOUD)
Tencent -> Win32.Trojan.Generic.Wtec
TrendMicro -> Ransom_Ziggy.R002C0DBK21
Вариант января-февраля 2021:
Расширение: .ziggy
Составное расширение: .id=[XXXXXXXX].email=[lilmoon1@criptext.com].ziggy
Записка: ## HOW TO DECRYPT ##.exe
Email: lilmoon1@criptext.com, lilmoon0@criptext.com
Вымогатели объявили о том, что они закрыли свою вредоносную компанию, опубликовали ключи и дешифровщик: статья на сайте BleepingComputer >>
После этого объявления администратор Ziggy Ransomware опубликовал SQL-файл, содержащий 922 ключа дешифрования, 340 из которых являются уникальными идентификаторами.
Зашифрованные файлы могут быть расшифрованы, кроме тех, которые были повреждены.
Вариант от 10 февраля 2021:
Новая версия: Ziggy v2.2
Расширение: .ziggy
Новый шаблон расширения: -<id>-[<email>].ziggy
Пример такого расширения: -<id>-[artemis@cock.email].ziggy
Записка: ## HOW TO DECRYPT ##.hta
Email: artemis@cock.email, falcon360@cock.li
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно расшифровать! Вымогатели опубликовали оригинальный дешифровщик. Но мы рекомендуем безопасный дешифровщик от Emsisoft. Скачайте этот Emsisoft Decryptor по ссылке >> Инструкция прилагается.
Read to links: myMessage + Message + Message ID Ransomware (ID as Ziggy) Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author) Michael Gillespie *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.