Если вы не видите здесь изображений, то используйте VPN.

понедельник, 4 января 2021 г.

Parasite

Parasite Ransomware

Aliases: SharpCrypter, Paralock

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 + RSA, а затем требует выкуп в 0.005-0.006 BTC, чтобы вернуть файлы. Оригинальное название: Parasite. На файле написано: Adobe Reader.exe. Язык программирования: C Sharp (C#). В течение первого месяца распространения несколько раз модифицировался. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.11, Trojan.EncoderNET.31371, Trojan.InjectNET.17
BitDefender -> Trojan.GenericKD.36013647, Generic.Ransom.HydraCrypt.93B1B43A
Avira (no cloud) -> TR/Ransom.Agent.nvgea, TR/Ransom.uuodh
ESET-NOD32 -> A Variant Of Generik.GITSGJW, A Variant Of MSIL/Filecoder.AFI
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.FileCryptor, Trojan.Crypt.Generic
Microsoft -> Ransom:MSIL/SharpCrypter.PA!MTB
Rising -> Ransom.Parasite!8.12369 (CLOUD)
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Wqmo, Msil.Trojan.Encoder.Eex
TrendMicro -> Ransom.MSIL.SHARPCRYPTER.A, Ransom.MSIL.FILELOCK.SM
---

© Генеалогия: безымянные варианты из 2020 г. >> Parasite (
SharpCrypter) > более новые варианты

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .parasite


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ранние варианты работали с ошибками и не шифровали файлы, потом это было исправлено. Ориентирован на англоязычных и французских пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: @READ_ME_FILE_ENCRYPTED@.html


Содержание записки о выкупе:
Your ID is: 42krc1sbp/vz0AZib35A!A***
All your files are encrypted !
Hello! All your files have been encrypted using RSA-2048 and RC4 encryption algorithm. You can learn about cryptography and encryption algorithm here RSA-2048 (Wikipedia) and RC4 (Wikipedia)
That's why your files are no longer readable.
It means that the contents of your files have been changed and you can't use them as before. It is like loosing your files forever.
How can I recover my files ?
If you understand the importance of the situation, Then you can ask for the decryption of your files.
To decrypt your files, you need to purchase your private key.
The price can change every day so don't waste your time ! You can ask for the payement (in bitcoin) by email: parasiteCIPH@tutanota.com
Please specify your ID in the subject of your message.
Once you paid, you will receive your key and the decryption tool.
How can I buy bitcoins ?
To buy bitcoins, you can follow these links:
https://localbitcoins.com
https://bitcoin.org
https://www.bitcoin.com
https://www.coinbase.com
You can learn more about the bitcoins here
Should I trust you ?
Yes, you can trust us.
Our mission is to decrypt your files. You pay, we help.
Remember that if you don't want to pay you will not be able to get you files back.
Attention !
Only communication through our email can guarantee file recover for you. We are not responsible for the actions of third parties who promise to help you most often they are scammers.
Please, do not try to rename encrypted files.
If you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
Our goal is to return your data, but if you don't contact us, we will not succeed.

Перевод записки на русский язык:
Ваш ID: 42krc1sbp / vz0AZib35A! A ***
Все ваши файлы зашифрованы!
Привет! Все ваши файлы зашифрованы с алгоритмами шифрования RSA-2048 и RC4. Вы можете узнать о криптографии и алгоритме шифрования здесь RSA-2048 (Википедия) и RC4 (Википедия)
Вот почему ваши файлы больше не читаются.
Это значит, что содержимое ваших файлов было изменено, и вы не сможете использовать их, как раньше. Это похоже на потерю файлов навсегда.
Как я могу восстановить свои файлы?
Если вы понимаете важность ситуации, то можете попросить расшифровать ваши файлы.
Чтобы расшифровать файлы, вам надо приобрести закрытый ключ.
Цена может меняться каждый день, не тратьте время зря! Вы можете запросить платеж (в биткойнах) по email: parasiteCIPH@tutanota.com
Пожалуйста, укажите свой ID в теме сообщения.
После оплаты вы получите ключ и инструмент для расшифровки.
Как я могу купить биткойны?
Чтобы купить биткойны, вы можете перейти по этим ссылкам:
https://localbitcoins.com
https://bitcoin.org
https://www.bitcoin.com
https://www.coinbase.com
Вы можете узнать больше о биткойнах здесь
Должен ли я вам доверять?
Да, вы можете нам доверять.
Наша миссия - расшифровать ваши файлы. Вы платите, мы помогаем.
Помните, что если вы не хотите платить, вы не сможете вернуть свои файлы.
Внимание!
Только общение по email может гарантировать вам восстановление файла. Мы не несем ответственности за действия третьих лиц, которые обещают вам помочь, но чаще всего являются мошенниками.
Пожалуйста, не переименовывайте зашифрованные файлы.
Если хотите убедиться, что невозможно восстановить файлы с помощью сторонних программ, делайте это не для всех файлов, иначе вы можете потерять все данные.
Наша цель - вернуть ваши данные, но если вы не свяжетесь с нами, мы не сможем помочь.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Схема запуска и поведения (см. целиком в отчёте AnyRun)


➤ Удаляет теневые окпии файлов
, используя команду:
vssadmin.exe  delete shadows /all /quiet

➤ После выполнения своих задач самоудаляется, используя команду:
choice  /C Y /N /D Y /T 1 & Del 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
x65454.pdb - оригинальное название проекта
@READ_ME_FILE_ENCRYPTED@.html - название файла с требованием выкупа
<random>.exe - временные файлы с разным названием
Adobe Reader.exe - название вредоносного файла
Adobe Reader.pdb - название файла проекта
Использует файлы с названием легитимных файлов Windows и различных приложений: TaskHost.exe, Adobe Reader.exe и другие. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
E:\@56\x65454\x65454\x65454\obj\Debug\x65454.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: parasiteCIPH@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 января 2021:
Видимо тот же вариант. 
Email: parasiteCIPH@tutanota.com
Файл: 98561.exe
Результаты анализов: VT + IA + HA


Вариант от 1 февраля 2021: 
Самоназвание в заголовке экрана: CryptoLocker
Расширение: .betarasite
Email: в тексте не указан. 
Файл: X.exe
Результаты анализов: VT + AR + JSB / VT + ARIA + JSB + HA
➤ Обнаружения: 
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tztsb
BitDefender -> Gen:Variant.Razy.559943
DrWeb -> Trojan.MulDrop11.26182, TR/Ransom.qzqjq
ESET-NOD32 -> A Variant Of MSIL/Agent.TET
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/FileCoder!MTB
Qihoo-360 -> Win32/Ransom.Filecoder.HwM*
Rising -> Ransom.Agent!1.D220 (CLOUD)
Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Egnw, Msil.Trojan.Encoder.Aosw
TrendMicro -> Ransom_FileCoder.R002C0DB121
---
 





Вариант от 9 февраля 2021:
Расширение: .paras1te
Записка: info.hta
Email: parasite@cock.li, para5ite@tutanota.com
Файл: speedo.exe
Результаты анализов: VT + AR + IA + TG / VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.InjectNET.17
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tkpny
BitDefender -> Gen:Variant.Razy.685068
ESET-NOD32 -> A Variant Of MSIL/Kryptik.YDU
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Paradise
Microsoft -> Trojan:Win32/Ymacco.AA1B
Qihoo-360 -> Win32/Ransom.Encoder.HwMAKqAA
Rising -> Exploit.Uacbypass!1.C9A2 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Aihr
TrendMicro -> Ransom_Encoder.R002C0PB921
---

 

➤ Содержание записки: 
🔒 ALL YOUR DATA TURNED TO USELESS BINARY CODE 🔒
Your computer is infected with a virus.
Send an email parasite@cock.li, specify in the subject your unique identifier 13W95 and you will definitly be helped to recover.
NOTE:
You can send 2 files as proof that we can return all your data.
If the provided email doesn't work, please contact us at para5ite@tutanota.com
Algorithms used are AES and RSA. 
IMPORTANT:
1. The infection was due to vulnerabilities in your software.
2. If you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
3. Only communication through our email can guarantee file recover for you. We are not responsible for the actions of third parties who promise to help you - most often they are scammers.
4. Please, do not try to rename encrypted files.
5. Our goal is to return your data, but if you don't contact us, we will not succeed.


Вариант от 12 февраля 2021: 
Расширение: .paralock
Email: paracrypt@cock.li, p4r4l0ck@tutanota.com
Записка: info.hta
Файл: 有和人这中大为上个国.exe
Результаты анализов: VT + AR + TG + IA
➤ Обнаружения: 
Avira (no cloud) -> TR/Dropper.MSIL.Gen
BitDefender -> Gen:Variant.Razy.559943
DrWeb -> Trojan.MulDrop11.26182
ESET-NOD32 -> A Variant Of MSIL/Agent.TET
Malwarebytes -> Generic.Malware/Suspicious
Qihoo-360 -> Trojan.Generic
Rising -> Exploit.Uacbypass!1.C9A2 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Hnbj
TrendMicro -> Ransom_FileCoder.R002C0DBC21
---

 

 Содержание записки: 
🔒 ALL YOUR DATA TURNED TO USELESS BINARY CODE 🔒
Your computer is infected with a virus.
Send an email paracrypt@cock.li, specify in the subject your unique identifier J1ZED1AM and you will definitly be helped to recover.
NOTE:
You can send 2 files as proof that we can return all your data.
If the provided email doesn't work, please contact us at p4r4l0ck@tutanota.com
Algorithms used are AES and RSA. 
IMPORTANT:
1. The infection was due to vulnerabilities in your software.
2. If you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
3. Only communication through our email can guarantee file recover for you. We are not responsible for the actions of third parties who promise to help you - most often they are scammers.
4. Please, do not try to rename encrypted files.
5. Our goal is to return your data, but if you don't contact us, we will not succeed.


Вариант от 13 февраля 2021: 
Расширение: .arazite
Записка: info.hta
Email: parazite@tutanota.com, alcmalcolm@cock.li 
Файл: $.exe
Результаты анализов: VT + AR + TG + IA / VT + AR
➤ Обнаружения: 
Avira (no cloud)TR/Dropper.MSIL.Gen
BitDefenderGen:Variant.Razy.685068
DrWebTrojan.InjectNET.17
ESET-NOD32A Variant Of MSIL/Kryptik.YDU
MicrosoftTrojan:Win32/Wacatac.B!ml
Qihoo-360HEUR/QVM03.0.426B.Malware.Gen
RisingExploit.Uacbypass!1.C9A2 (CLASSIC)
---
 

🔒 ALL YOUR DATA TURNED TO USELESS BINARY CODE 🔒
Your computer is infected with a virus.
Send an email parazite@tutanota.com, specify in the subject your unique identifier ZKGQFGVW and 
you will definitly be helped to recover.
NOTE:
You can send 2 files as proof that we can return all your data.
If the provided email doesn't work, please contact us at alcmalcolm@cock.li
Algorithms used are AES and RSA. 
IMPORTANT:
1. The infection was due to vulnerabilities in your software.
2. If you want to make sure that it is impossible to recover files using third-party software, do this 
not on all files, otherwise you may lose all data.
3. Only communication through our email can guarantee file recover for you. We are not responsible 
for the actions of third parties who promise to help you - most often they are scammers.
4. Please, do not try to rename encrypted files.
5. Our goal is to return your data, but if you don't contact us, we will not succeed.


Вариант от 1 марта 2021 / Возможно относится к Crypt3r Ransomware
Расширение-1: .vjiszy1lo
Расширение-2: .vjiszy1lo.1lo_decryptkey.vjiszy1lo
Расширение с повтором: .vjiszy1lo.1lo_decryptkey.vjiszy1lo.1lo_decryptkey.vjiszy1lo 
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: shadowghosts@tutanota.com, fortihooks@protonmail.com



➤ Содержание записки: 
==================================================
YOUR ID : {2e8d8b9a-affa-4b20-ad9d-25302f64cb55}
++++++++++++++++++++++++++++++++++++++++++++++++++
OOPS! YOUR IMPORTANT F1LES HAS BEEN ENC:(RYPTED !!!
DO NOT WORRY! FILES ARE SAFE! JUST MODIFIED ONLY. (RSA + AES)
++++++++++++++++++++++++++++++++++++++++++++++++++
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY
SOFTWARE WILL PERMENANTLY DESTORY YOUR FILE !!!
NO SOFTWARE AVALIABLE ON INTERNET CAN HELP YOU!
ONLY WE HAVE SOLUTION TO YOUR PROBLEM.
WE ONLY SEEK MONEY AND DO NOT WANT TO DAMAGE YOUR REPUTATION.
----------------------------------------------------------------
YOU NEED TO PAY 2.0 BITCOINS TO OUT ACCOUNT, AFTER THE PAYMENT
IS CONFIRMED, WE WILL IMMEDIATELY DELETE ALL OF YOUR FILES ON
OUR SERVER AND SEND THE DECRYPTION PROGRAM AND PRIVATE KEY TO YOU.
IF YOU DECIDE TO NOT PAY OR THERE IS NO PAYMENT WITHIN 7-DAYS,
WE WILL DELETE THE DECRYPTION KEY FROM OUT DATABASE, AND SOME 
OF YOUR IMPORTANT DATA WILL BE RELEASE TO PUBLIC OR RE-SELL!
DO NOT KNOW HOW TO BUY BITCOIN ? JUST GOOGLE IT:)
----------------------------------------------------------------
CONTACT US FOR PAYMENT CONFIRMTION AND GET DECRYPTION SOFTWARE :
shadowghosts@tutanota.com
fortihooks@protonmail.com (IF NO ANSWER WITHIN 24-HOURS)
==================================================
---
Файл: SchoolPrject1.exe
Результаты анализов: VT + IA
 Обнаружения: 
DrWeb -> Trojan.EncoderNET.31371
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.vbfqb
BitDefender -> Generic.Ransom.HydraCrypt.9A3E2D9A
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFI
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.KillFiles
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Anql
TrendMicro -> Ransom_RAMSIL.SM


Вариант от 3 марта 2021:
Расширение: .RansomTrojanLock
Записка: ___RECOVER__FILES__.RansomTrojanLock.txt
Результаты анализов: VT + IA
 Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Disabler.BX
Microsoft -> Ransom:MSIL/LockCrypt.PA!MTB
Rising -> Ransom.DaddyCrypt!1.D2A1 (CLOUD)
Tencent -> Msil.Trojan.Diztakun.Dzao


Вариант от 14 марта 2021 / Возможно относится к Crypt3r Ransomware
Расширение: .jpghosts
Записки: HOW_CAN_GET_FILES_BACK.rtf, HOW_CAN_GET_FILES_BACK.txt
Файл: Ghost.exe
Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33817, Trojan.Encoder.33818
BitDefenderTrojan.GenericKD.45914521, Trojan.GenericKD.45940669
ESET-NOD32MSIL/Filecoder.AGT
MalwarebytesRansom.Parasite
MicrosoftTrojanDownloader:O97M/Obfuse.TB!MTB
RisingRansom.Agentb!8.1139A (CLOUD)
SymantecTrojan Horse
TencentMsil.Trojan.Agentb.Lned
TrendMicroRansom.Win32.GHOST.ZTIC


Вариант от 17 марта 2020 / Возможно относится к Crypt3r Ransomware
Кроме того используется название: Ghost. 
Расширение: .phantom
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: rsaecho@tutanota.com, shadowghosts@tutanota.com

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Parasite)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Petrovic, 0x4143, Michael Gillespie
 Andrew Ivanov (article author)
 Fabian Wosar
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Knot

Knot Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 350$ в BTC, чтобы вернуть файлы. Оригинальное название: в записке указано Knot. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33364
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Downloader.Gen
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/KnotedCrypt.SN!MTB
Rising -> Ransom.Knot!1.D03C (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Szmb
TrendMicro -> Mal_DLDER
---

© Генеалогия: ✂️ Rhino (Marvel) >> Knot

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 
2020 - начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Создает записку для каждого зашифрованного файла по шаблону: <filename>-HELP.txt
Например, Chrysanthemum.jpg-HELP.txt


Содержание записки о выкупе: 
!!! ALL YOUR FILES ARE ENCRYPTED !!!
To decrypt all your files you have to buy our software: KnotDecryptor, it will automatically scan and decrypt all encrypted files.
1. Register your Bitcoin (BTC) wallet here: https://login.blockchain.com/#/signup
2. Buy Bitcoin (BTC) here: http://exbase.io, https://paxful.om/buy-bitcoin, or find another exchanger on google.
3. Send 350$ in Bitcoin (BTC) to our Bitcoin (BTC) wallet: 1JPXx7iDdW6oSXA6sf2t2gGm21HyqLe2Bp
4. Send email to: knotdecryptor@secmail.pro, with the transaction link, you will receive it automatically after payment and we will send you our software: KnotDecryptor.
You also can send one encrypted file with filesize not bigger than 1MB, to our email: knotdecryptor@secmail.pro, we will decrypt and sent it back to you, this is for proof that we can decrypt all files.
!!! DO NOT TRY TO DECRYPT YOUR FILES WITH ANY OTHER SOFTWARE, IT CAN DAMAGE THEM AND YOU WILL LOSE THEM FOREVER !!!

Перевод записки на русский язык: 
!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!
Чтобы расшифровать все ваши файлы, вам нужно купить нашу программу: KnotDecryptor, она автоматически сканирует и расшифрует все зашифрованные файлы.
1. Зарегистрируйте свой биткойн-кошелек (BTC) здесь: https://login.blockchain.com/#/signup
2. Купите биткойны (BTC) здесь: http://exbase.io, https://paxful.om/buy-bitcoin или найдите другой обменник в Google.
3. Отправьте 350$ в биткойнах (BTC) на наш биткойн-кошелек (BTC): 1JPXx7iDdW6oSXA6sf2t2gGm21HyqLe2Bp.
4. Отправьте email на адрес: knotdecryptor@secmail.pro, со ссылкой на транзакцию, вы получите ее автоматически после оплаты, и мы отправим вам нашу программу: KnotDecryptor.
Вы также можете отправить один зашифрованный файл с размером не более 1 МБ на наш email: knotdecryptor@secmail.pro, мы расшифруем и отправим его вам, это для доказательства того, что мы можем расшифровать все файлы.
!!! НЕ ПЫТАЙТЕСЬ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ ДРУГИМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ, ЭТО МОЖЕТ ИХ ПОВРЕДИТЬ, И ВЫ ПОТЕРЯЕТЕ ИХ НАВСЕГДА !!!


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки с помощью команды:
vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures

➤ Распространяется в составе с Phorpiex Malware

➤ Загружает ключевые данные из xxxx://45.182.189.251/a в "number" + ".jpg" в %Temp%.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KnotDecryptor
<ransom_note>.txt - название файла с требованием выкупа
killswitch - специальный файл
mymonero.exe - название вредоносного файла
exodus.exe - название вредоносного файла
mysqld_opt.exe
mysqld_nt.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Скриншоты от исследователя:

 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
killswitch
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: knotdecryptor@secmail.pro
BTC: 1JPXx7iDdW6oSXA6sf2t2gGm21HyqLe2Bp
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Knot)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 3 января 2021 г.

XD Locker

XD Locker Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: XD Locker. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.MulDrop8.721
BitDefender -> Gen:Variant.Ulise.107709
ESET-NOD32 -> A Variant Of Generik.GZTCIFL
Malwarebytes -> Malware.AI.4150062690
Microsoft -> Trojan:Win32/Ymacco.AAEE
Qihoo-360 -> Generic/Trojan.db9
Rising -> Trojan.Generic@ML.99 (RDML:eA*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ulise.Pdcp
TrendMicro -> Ransom.Win32.XDLOCKER.THAABBA
---

© Генеалогия: ??? >> XD Locker

Изображение — логотип статьи

Файлы переименовываются случайным образом, а затем к им добавляется расширение: .XL

Заданный формат для файлов: %RANDOM%.XL

Примеры таких файлов: 
31726.XL
11484.XL
1037.XL


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в начале января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Выглядит неудачной попыткой вымогательства или злой шуткой.

Записки с требованием выкупа называются: 
Oops1.txt 
Oops2.txt

Запиской с требованием выкупа также является экран блокировки (сообщение PowerShell): 



Содержание текста на экране:
Administrator:  XD Locker
---
Ooops your file have been encrypted
The encrypted files
.zip .rar .gif .ink .txt .pdf 
.vbs .doc .mp4 .mp3 .wav .docx 
.jpg .png .htm .url .html
++++++++++++++++++++++++++++
+XD Locker encrypt file XD +
++++++++++++++++++++++++++++
============time============+
+                          90                              +
++++++++++++++++++++++++++++
Send $ 0.9 Bitcoin worth of Bitcoin to this address:
Ur183IenOeJVZX5OeBMewJn55Lo
Press any key to continue . . . 

Перевод текста на русский язык:
Администратор: XD Locker
---
Ой, ваш файл был зашифрован
Зашифрованные файлы
.zip .rar .gif .ink .txt .pdf
.vbs .doc .mp4 .mp3 .wav .docx
.jpg .png .htm .url .html
+++++++++++++++++++++++++++++
+ XD Locker зашифровал файл XD +
+++++++++++++++++++++++++++++
============время============+
+                          90                              +
++++++++++++++++++++++++++++
Отправьте $ на 0.9 биткойн в биткойн на этот адрес:
Ur183IenOeJVZX5OeBMewJn55Lo
Нажмите любую клавишу для продолжения . . .


Технические детали

Известно, что распространяется с фальшивыми (перепакованными, заражёнными, пиратскими) инсталляторами приложений MS Office, в частности это файл Microsoft Word 2010.exe или какой-то другой.  

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.zip, .rar, .gif, .ink, .txt, .pdf, .vbs, .doc, .mp4, .mp3, .wav, .docx, .jpg, .png, .htm, .url, .html
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, html-файлы образов, архивы. ярлыки и пр.

Файлы, связанные с этим Ransomware:
Oops1.txt, Oops2.txt - названия файлов с требованием выкупа
CAS5AY8X.bat - командный вредоносный файл
Tr0MJ09gRmWhPOHs.exe - вредоносный файл
<random>.exe - случайное название вредоносного файла
Microsoft Word 2010.exe - распространяемый вредоносный файл


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\5P5NRG~1\AppData\Local\Temp\CAS5AY8X.bat
C:\Users\5p5NrGJn0jS HALPmcxz\Desktop\Tr0MJ09gRmWhPOHs.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: Ur183IenOeJVZX5OeBMewJn55Lo - фиктивный
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *