Если вы не видите здесь изображений, то используйте VPN.

пятница, 11 декабря 2020 г.

Ziggy

Ziggy Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES-256 (режим GCM) + RSA-4096 (три ключа), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано:
Ziggy Info.exe. Язык программирвоания: Python.
---
Обнаружения
DrWeb -> Trojan.Encoder.33397, Trojan.Encoder.33492
BitDefender -> Gen:Variant.Bulz.250282
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dldr.Agent.leeix
ESET-NOD32 -> A Variant Of MSIL/TrojanDownloader.Agent.HCJ
Malwarebytes -> Ransom.Ziggy
Microsoft -> Trojan:Win32/Ymacco.AA07, Ransom:MSIL/ZiggyCrypter.PA!MTB
Rising -> Trojan.Generic@ML.97 (RDMK:lm*
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09LB20, Ransom_ZiggyCrypter.R002C0DLV20
---

© Генеалогия: ✂️ BlackHeart + njRAT >> Ziggy

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ziggy

Фактически используется составное расширение по шаблону: .id=[<ID>].email=[EnceryptedFiles@tutanota.com].ziggy

Пример такого расширения: 
.id=[234B6543].email=[EnceryptedFiles@tutanota.com].ziggy



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: ## HOW TO DECRYPT ##.exe
При запуске она встает как экран блокировки. 



Содержание записки о выкупе:
All your files have been encrypted!
Ziggy Ransomware
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: 
EnceryptedFiles@tutanota.com
Write this ID in the title of your message : 80120***
In case of no answer in 12 hours write us to this e-mail: ReturnEncerypted@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable 
information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
# Do not rename encrypted files.
# Do not try to decrypt your data using third party software, it may cause permanent data loss.
# Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Ziggy Ransomware
Все ваши файлы были зашифрованы из-за проблемы с безопасностью вашего ПК. Если вы хотите их вернуть, напишите нам на email:
EnceryptedFiles@tutanota.com
Напишите этот ID в заголовке сообщения: 80120***
Если за 12 часов не ответите, напишите нам на этот email-адрес: ReturnEncerypted@tutanota.com
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов не должен превышать 4 МБ (без архива), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т.д.)
Как получить биткойны
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вам надо зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
# Не переименовывайте зашифрованные файлы.
# Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.
# Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою плату к нашей) или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
## HOW TO DECRYPT ##.exe - название файла с требованием выкупа
Ziggy Info.exe - название того же файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
<random>.dll - случайное название вредоносного файла
Ziggy ransomware decrypt.exe - файл оригинального дешифровщика

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\Desktop\## HOW TO DECRYPT ##.exe
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://fixfiles.xyz/ziggy/api/info.php?id=80120***
Email: EnceryptedFiles@tutanota.com
ReturnEncerypted@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
𝚺  VirusTotal analysis (original decryptor) >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ОРИГИНАЛЬНЫЙ ДЕШИФРОВЩИК === ORIGINAL DECRYPTOR ===



=== БЕЗОПАСНЫЙ ДЕШИФРОВЩИК === EMSISOFT DECRYPTOR ===





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 января 2021:
Расширение: .ziggy
Составное расширение: .id=[XXXXXXXX].email=[khomeyni@yahooweb.co].ziggy
Записка: ## HOW TO DECRYPT ##.exe
Email: khomeyni@yahooweb.co, khomeyni@tatanota.de
Файл: COM Surrogate.exe, robosta.exe
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33492
BitDefender -> Gen:Variant.Zusy.365365
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Ziggy.B
Malwarebytes -> Ransom.Ziggy
Microsoft -> Ransom:Win32/Ziggy.PAA!MTB
Rising -> Ransom.Ziggy!8.124BE (CLOUD)
Tencent -> Win32.Trojan.Generic.Wtec
TrendMicro -> Ransom_Ziggy.R002C0DBK21



Вариант января-февраля 2021:
Расширение: .ziggy
Составное расширение: .id=[XXXXXXXX].email=[lilmoon1@criptext.com].ziggy
Записка: ## HOW TO DECRYPT ##.exe
Email: lilmoon1@criptext.com, lilmoon0@criptext.com




Обновление от 7 февраля 2021:
Вымогатели объявили о том, что они закрыли свою вредоносную компанию,  опубликовали ключи и дешифровщик: статья на сайте BleepingComputer >>


После этого объявления администратор Ziggy Ransomware опубликовал SQL-файл, содержащий 922 ключа дешифрования, 340 из которых являются уникальными идентификаторами. 

Майкл Гиллеспи сделал безопасный дешифровщик взамен того, что опубликовали сами вымогатели. 
Зашифрованные файлы могут быть расшифрованы, кроме тех, которые были повреждены. 


Вариант от 10 февраля 2021:
Новая версия: Ziggy v2.2
Расширение: .ziggy
Новый шаблон расширения: -<id>-[<email>].ziggy
Пример такого расширения: -<id>-[artemis@cock.email].ziggy
Записка: ## HOW TO DECRYPT ##.hta
Email: artemis@cock.email, falcon360@cock.li



Проект этого Ransomware закрыт и эта статья тоже закрыта. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно расшифровать! 
Вымогатели опубликовали оригинальный дешифровщик. 
Но мы рекомендуем безопасный дешифровщик от Emsisoft. 
Скачайте этот Emsisoft Decryptor по ссылке >>
Инструкция прилагается. 
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as Ziggy)
 Write-up, Topic of Support
 * 


 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 10 декабря 2020 г.

LuciferCrypt

LuciferCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LuciferCrypt, указано в конце записки. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> LuciferCrypt


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .LuciferCrypt

Фактически используется составное расширение по шаблону
.id=[XXXXXXXX].email=[cracker.irnencrypt@aol.com].LuciferCrypt

Пример такого расширения: 
.id=[0ED53ADA].email=[cracker.irnencrypt@aol.com].LuciferCrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HowToRecoverFiles.txt


Содержание записки о выкупе: 
What happened to my computer ?
Your important files are encrypted.
Many of your documents, photos, videos, database and other files no longer accessible because they have been encrypted.
Don't west time by trying to recover your files because its impossible to do that without our decryption service.
Can i recover my files ?
Sure. We guarantee that you can recover all of your files safely and easily. But you have not enough time.
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files
should not contain valuable information. (database, backups, large excel sheets, projects & etc..).
But if you want to decrypt all of your files, you need to pay.
You only have 7 days to pay. if you don't pay in 7days you won't able to recover your files forever.
How do i pay ?
Payment is accepted in Bitcoin only. The price depends on how fast you contact with us. 
After payments all of your files will be decrypt automatically.
What is the bitcoin : https://en.wikipedia.org/wiki/Bitcoin
How do i buy bitcoins : https://www.coindesk.com/faq-how-do-i-buy-bitcoins  
Attention :
● Do not rename encrypted files name.
● Do not try to decrypt your files with third party software's, it cause permanent data loss.
● Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of scam.
======================================
Contact us via email : cracker.irnencrypt@aol.com
If you do not receive a response within 24 hours, please contact this email : cracker.irnencrypt@protonmail.com
Unique id : 0ED53***
LuciferCrypt.

Перевод записки на русский язык: 
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие ваши документы, фото, видео, базы данных и другие файлы теперь недоступны, т.к. они зашифрованы.
Не теряйте время, пытаясь восстановить ваши файлы, потому что это невозможно сделать без нашей службы дешифрования.
Могу ли я восстановить свои файлы?
Конечно. Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы. Но у вас мало времени.
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки. Общий размер файлов не должен превышать 4 Мб (не в архиве), а файлы не должны содержать ценной информации. (база данных, резервные копии, большие таблицы Excel, проекты и т. д.).
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 7 дней на оплату. если вы не заплатите за 7 дней, вы не сможете восстановить свои файлы никогда.
Как мне оплатить ?
Оплата принимается только в биткойнах. Цена зависит от того, как быстро вы напишите нам.
После оплаты все ваши файлы будут расшифрованы автоматически.
Что такое биткойн: https://en.wikipedia.org/wiki/Bitcoin
Как купить биткойны: https://www.coindesk.com/faq-how-do-i-buy-bitcoins
Внимание:
● Не переименовывайте имя зашифрованных файлов.
● Не пытайтесь расшифровать ваши файлы с помощью сторонних программ, это приведет к безвозвратной потере данных.
● Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою плату к нашей) или вы можете стать жертвой мошенничества.
======================================
Свяжитесь с нами по email: cracker.irnencrypt@aol.com
Если вы не получили ответ за 24 часа, напишите этот email: cracker.irnencrypt@protonmail.com
Уникальный id: 0ED53***
LuciferCrypt.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Распространяется на форумах кибер-андеграунда. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HowToRecoverFiles.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cracker.irnencrypt@aol.com, cracker.irnencrypt@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as LuciferCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 mickeyftnt, Michael Gillespie, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 8 декабря 2020 г.

OCT, OctEncrypt

OCT Ransomware

OctEncrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: OCT_RANSOMWARE 1.2V.exe
---
Обнаружения:
DrWeb ->
 Trojan.EncoderNET.31362
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UQ
Microsoft -> Ransom:MSIL/Stupid.G!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Stupid.R002C0DL820
---

© Генеалогия: Hakbit >> OCT (OctEncrypt)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .oct 
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начала декабря 2020 г. Ориентирован на англоязычных и корейских пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: READ_ME.txt



Содержание записки о выкупе: 
----------OCT_RANSOMWARE 1.2V--------------------------
============================
Warning! Warning! Your documents, photos, and other important files have been encrypted by a powerful algorithm.
Your files are stored on our server, and we can delete and change these files at any time.
But if you want to restore your file, you have to pay us for the decryption.
Follow the instructions to recover your files!!!
============================================
--------------INSTRUCTIONS----------------------
1. send a e-mail to octencrypt4444@gmail.com .
2. leave any messages, if you leave message, I will reply.
3. If you send your encrypted files, I will made you give me a money.
4. If you pay money by me, I will decrypted your files and return your decrypted files.
5. But you don't pay money, I will delete all your files.
====================================================
--------------------------MY MESSAGE----------------------------------------------------
If you can't pay the money to me, I will decrypt your files for free!!!
But, you should pay money in a week!!!!!!
If you don't pay tne money over two weeks, I will expose your privacy and delete all your files and data!!
=====================================
-------------------DOWNLOAD TOR BROWSER-------------------
https://tor-browser.softonic.kr/
------------------MY TOR BROWSER SITE------------------
octencrypt-1359BASK-yllqf.onion
octencrypt-1322FSQS-nngae.onion

Перевод записки на русский язык: 
---------- OCT_RANSOMWARE 1,2 В --------------------------
============================
Предупреждение! Предупреждение! Ваши документы, фотографии и другие важные файлы зашифрованы с помощью мощного алгоритма.
Ваши файлы хранятся на нашем сервере, и мы можем удалить и изменить эти файлы в любое время.
Но если вы хотите восстановить свой файл, вы должны заплатить нам за расшифровку.
Следуйте инструкциям по восстановлению файлов !!!
============================================
--------------ИНСТРУКЦИИ----------------------
1. отправьте email на адрес octencrypt4444@gmail.com.
2. Оставьте какие-либо сообщения, если вы оставите сообщение, я отвечу.
3. Если вы отправите свои зашифрованные файлы, я заставлю вас заплатить мне деньги.
4. Если вы заплатите мне деньги, я расшифрую ваши файлы и верну вам расшифрованные файлы.
5. Но если вы не платите деньги, я удалю все ваши файлы.
================================================== ==
--------------------------МОЕ СООБЩЕНИЕ----------------------------------------------------
Если вы не можете мне заплатить, я бесплатно расшифрую ваши файлы !!!
Но, вы должны заплатить деньги через неделю !!!!!!
Если вы не заплатите деньги в течение двух недель, я раскрою вашу конфиденциальность и удалю все ваши файлы и данные !!
=====================================
------------------- СКАЧАТЬ БРАУЗЕР TOR -------------------
https://tor-browser.softonic.kr/
------------------ САЙТ МОЕГО БРАУЗЕРА TOR ------------------
octencrypt-1359BASK-yllqf.onion
octencrypt-1322FSQS-nngae.onion

---
Сайты в Tor-браузере не открываются. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.txt - название файла с требованием выкупа
OCT_RANSOMWARE 1.2V.exe - название вредоносного файла
무단_사진_도용_관련_탄원서.pdf .exe - название файла на корейском языке

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
octencrypt4444@gmail.com
Tor-URL: octencrypt-1359BASK-yllqf.onion
Tor-URL: octencrypt-1322FSQS-nngae.onion
BTC: -  
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 19 мая 2021: 
Сообщение: 
https://twitter.com/Kangxiaopao/status/1396765718331281408  
Расширение: .no_hacker
Записка: WWREAD_ME.txt
Email: movingman3000@gmail.com


Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31362
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UQ
Malwarebytes -> Ransom.Hakbit
Microsoft -> Ransom:MSIL/Stupid.G!MTB
Symantec -> Trojan.Gen.MBT
TrendMicro -> Ransom_Stupid.R002C0DEJ21





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Hakbit)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (article author)
 xiaopao
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 3 декабря 2020 г.

Pump

Pump Ransomware

Pump Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. 
Обнаружено сходство зашифрованных файлов с некоторыми вариантами Outsider-Mapo, поэтому в некоторых случаях файлы можно расшифровать
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: Outsider (Mapo) > Pump

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pump

В других случаях расширением может быть название скомпрометированного компьютера или пострадавшей компании. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README.txt


Содержание записки о выкупе: 
YOUR NETWORK HAS BEEN HACKED AND ALL DATA IS ENCRYPTED
Also a lot of sensitive data has been downloaded from your network
>>>>>>>>>>>>>idfgiughderighu@tutanota.com<<<<<<<<<<<<<
iPIVwCnwscGt9cSXFG [total 209 symbols]
nI7abty6Tgr5wf6TCFU [total 69 symbols]

Перевод записки на русский язык: 
ВАША СЕТЬ БЫЛА ВЗЛОМАНА, А ВСЕ ДАННЫЕ ЗАШИФРОВАНЫ
Также из вашей сети было загружено много конфиденциальных данных.
>>>>>>>>>>>>>idfgiughderighu@tutanota.com<<<<<<<<<<<<<<
iPIVwCnwscGt9cSXFG [всего 209 символов]
nI7abty6Tgr5wf6TCFU [всего 69 символов]


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: idfgiughderighu@tutanota.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 декабря 2020:
Расшиерние: .hub
Записка: CONTACT.txt
Email: Stevensons@tuta.io
➤ Содержание записки: 
YOUR NETWORK HAS BEEN HACKED AND ALL DATA IS ENCRYPTED
Also a lot of sensitive data has been downloaded from your network
------Stevensons@tuta.io------
7Ae1WusHy53HziEIfv6 [total 209 symbols]
nI7abty6Tgr5wf6TCFU [всего 69 символов]






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
В некоторых случаях файлы можно расшифровать!
Рекомендую обратиться по этим ссылкам к Demonslay335:
Ссылка №1 >> 
Ссылка №2 >>
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Mapo)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *