Если вы не видите здесь изображений, то используйте VPN.

четверг, 14 января 2021 г.

Cring, Crypt3r

Cring Hand-Ransomware

Crypt3r Ransomware

Variants: CRING, RSA, Vjiszy1lo, Ghost, Phantom, VnBeHa99y, Pay4it

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей и серверов с помощью AES-256 + RSA-8192, а затем требует выкуп в ~2 BTC, чтобы вернуть файлы. Оригинальное название проекта: cring.pdb. На файле написано: cring.exe и Crypt3r. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop15.64785
BitDefender -> Gen:Variant.Bulz.259226
Avira (no cloud) -> TR/Ransom.knziq
ESET-NOD32 -> MSIL/Filecoder.AEJ
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Cring
Microsoft -> Ransom:MSIL/Filecoder.EL!MTB
Qihoo-360 -> Generic/Trojan.4ac
Rising -> Ransom.Filecoder!8.55A8 (TFE:C:c*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Taex
TrendMicro -> Ransom_Filecoder.R002C0DLM20
---

© Генеалогия: ??? >> Cring (
Crypt3r)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .cring
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась начало декабря 2020 - середину января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Сообщается, что жертвами этих атак являются промышленные предприятия некторых стран Европы. 

Записка с требованием выкупа называется: deReadMe!!!.txt


Содержание записки о выкупе:
Sorry, your network is encrypted, and most files are encrypted using special technology. The file cannot be recovered by any security company. If you do not believe that you can even consult a security company, your answer will be that you need to pay the corresponding fees, but we have a good reputation. After receiving the corresponding fee, we will immediately send the decryption program and KEY. You can contact us to get two file decryption services, and then you will get all decryption services after paying our fee, usually the cost is about 2 bitcoins.    Contact: eternalnightmare@tutanota.com     qkhooks0708@protonmail.com

Перевод записки на русский язык:
Извините, ваша сеть зашифрована, а большинство файлов зашифрованы, по специальной технологии. Ни одна компания по безопасности не сможет восстановить файл. Если вы не верите, что можете проконсультироваться в компании по безопасности, ваш ответ будет в том, что вам нужно заплатить соответствующий взнос, но у нас хорошая репутация. После получения соответствующего взноса мы сразу же вышлем программу расшифровки и КЛЮЧ. Вы можете написать нам, чтобы получить 

расшифровку двух файлов, и тогда после оплаты нашей комиссии вы получите все услуги по расшифровке, обычно стоимость около 2 биткойнов. Контакт: eternalnightmare@tutanota.com qkhooks0708@protonmail.com



Технические детали

Для распространения используется язвимость в серверах Fortigate VPN. Подробнее смотрите в отчёте специалистов Kaspersky. С помощью устройства Fortinet VPN операторы Cring перемещаются по корпоративной целевой сети, похищая учетные данные пользователей Windows с помощью инструмента Mimikatz, чтобы получить доступ к аккаунта администратора домена. Затем "полезные нагрузки" этого Ransomware доставляются на устройства жертв с помощью фреймворка Cobalt Strike, развернутого с помощью вредоносного сценария PowerShell.

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Согласно информации от пострадавших от 7 декабря 2020, ранняя версия шифровала только файлы DOC и TXT. 
Январская версия шифровала документы MS Office, а также файлы: .csv, .db, .dwg, .mdb, .pdf, .rar, .txt, .xml, .zip,

После доработки среди зашифрованных оказались: все документы MS Office, PDF, текстовые файлы, файлы образов, архивы и пр.

Доработанная версия вредоноса удаляла файлы резервных копий с расширениями: .VHD, .bac, .bak, .wbcat, .bkf, .set, .win, .dsk. Кроме того удалялись файлы и папки, расположенные в корневой папке диска, если их имена включали "Backup" или "backup". Эти команды выполнялись файлом kill.bat, который потом тоже удалялся.  

➤ В атаке используется PowerShell и CobaltStrike (VT + VT + IA). Как известно, 
CobaltStrike — это дорогой коммерческий фреймворк для эксплуатации и постэксплуатации ($3500 на 1 год на 1 пользователя), но на GitHub есть репозиторий, который содержит исходные коды CobaltStrike, потому он может использоваться небольшой группой вымогателей без покупки. 

Файлы, связанные с этим Ransomware:
deReadMe!!!.txt - название файла с требованием выкупа;
kill.bat - специальный файл с командами для остановки некоторых процессов и очищения бекапов на всех дисках:
@echo off net stop BMR Boot Service /y net stop NetBackup BMR MTFTP Service /y sc config SQLTELEMETRY start= disabled sc config SQLTELEMETRY$ECWDB2 start= disabled sc config SQLWriter start= disabled sc config SstpSvc start= disabled taskkill /IM mspub.exe /F taskkill /IM mydesktopqos.exe /F taskkill /IM mydesktopservice.exe /F del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk del %0 
cring.pdb - оригинальное название файла проекта; 
cring.exe - название вредоносного файла.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\FuckCrowStrike\Desktop\NewCring\Crypt3r\obj\Release\cring.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: eternalnightmare@tutanota.com, qkhooks0708@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 26 января 2021:
Впервые видим программу, использующую алгоритм RSA-8192.
Расширение: .RSA
Записка: !!!!deReadMe!!!.txt
Email: poolhackers@tutanota.com, eternalnightmare@tutanota.com 
➤ Содержание записки: 
Sorry, your network is encrypted, and encryption is achieved through rsa, which means that the decryption service can only be provided by us. You cannot decrypt data through a security company. They will only contact us to pay the fee. We recommend that you pay 2 bitcoins directly to us , Or send two files to confirm whether we can decrypt, you need to deal with it as soon as possible, because the key file necessary for decryption will not be kept.    Contact:   poolhackers@tutanota.com    eternalnightmare@tutanota.com 


Обновление от 26 января 2021:
Образцы: 
38217fa569df8f93434959c1c798b29d
8d156725c6ce172b59a8d3c92434c352
8d1650e5e02cd1934d21ce57f6f1af34
d8415a528df5eefcb3ed6f1a79746f40

Вариант от 1 марта 2021:
Точное родство не установлено, может быть вариантом Crypt3r Ransomware или Parasite Ransomware
Расширение-1: .vjiszy1lo
Расширение-2: .vjiszy1lo.1lo_decryptkey.vjiszy1lo
Расширение с повтором: .vjiszy1lo.1lo_decryptkey.vjiszy1lo.1lo_decryptkey.vjiszy1lo 
И далее, добавляя дальше то же самое. 
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: shadowghosts@tutanota.com, fortihooks@protonmail.com



➤ Содержание записки: 
==================================================
YOUR ID : {2e8d8b9a-affa-4b20-ad9d-25302f64cb55}
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
OOPS! YOUR IMPORTANT F1LES HAS BEEN ENC:(RYPTED !!!
DO NOT WORRY! FILES ARE SAFE! JUST MODIFIED ONLY. (RSA + AES)
++++++++++++++++++++++++++++++++++++++++++++++++++
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY
SOFTWARE WILL PERMENANTLY DESTORY YOUR FILE !!!
NO SOFTWARE AVALIABLE ON INTERNET CAN HELP YOU!
ONLY WE HAVE SOLUTION TO YOUR PROBLEM.
WE ONLY SEEK MONEY AND DO NOT WANT TO DAMAGE YOUR REPUTATION.
----------------------------------------------------------------
YOU NEED TO PAY 2.0 BITCOINS TO OUT ACCOUNT, AFTER THE PAYMENT
IS CONFIRMED, WE WILL IMMEDIATELY DELETE ALL OF YOUR FILES ON
OUR SERVER AND SEND THE DECRYPTION PROGRAM AND PRIVATE KEY TO YOU.
IF YOU DECIDE TO NOT PAY OR THERE IS NO PAYMENT WITHIN 7-DAYS,
WE WILL DELETE THE DECRYPTION KEY FROM OUT DATABASE, AND SOME 
OF YOUR IMPORTANT DATA WILL BE RELEASE TO PUBLIC OR RE-SELL!
DO NOT KNOW HOW TO BUY BITCOIN ? JUST GOOGLE IT:)
----------------------------------------------------------------
CONTACT US FOR PAYMENT CONFIRMTION AND GET DECRYPTION SOFTWARE :
shadowghosts@tutanota.com
fortihooks@protonmail.com (IF NO ANSWER WITHIN 24-HOURS)
==================================================
---
Файл: SchoolPrject1.exe
Результаты анализов: VT + IA
 Обнаружения: 
DrWeb -> Trojan.EncoderNET.31371
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.vbfqb
BitDefender -> Generic.Ransom.HydraCrypt.9A3E2D9A
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFI
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.KillFiles
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Anql
TrendMicro -> Ransom_RAMSIL.SM


Вариант от 14 марта 2021:
Точное родство не установлено, может быть вариантом Crypt3r Ransomware или Parasite Ransomware
Расширение: .jpghosts
Записки: HOW_CAN_GET_FILES_BACK.rtf, HOW_CAN_GET_FILES_BACK.txt
Файл: Ghost.exe
Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33817, Trojan.Encoder.33818
BitDefender -> Trojan.GenericKD.45914521, Trojan.GenericKD.45940669
ESET-NOD32 -> MSIL/Filecoder.AGT
Malwarebytes -> Ransom.Parasite
Microsoft -> TrojanDownloader:O97M/Obfuse.TB!MTB
Rising -> Ransom.Agentb!8.1139A (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Agentb.Lned
TrendMicro -> Ransom.Win32.GHOST.ZTIC

Вариант от 17 марта 2021: 
Точное родство не установлено, может быть вариантом Crypt3r Ransomware или Parasite Ransomware
Используется шифрование: AES-256 + RSA-8192
Кроме того используется название: Ghost. 
В IDR записан как Crypt3r / Ghost
Расширение: .phantom
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: rsaecho@tutanota.com, shadowghosts@tutanota.com


Вариант от 30 марта 2021:
Расширение: .VnBeHa99y
В оригинальных файлах стерто содержимое.  
Записка: HOW_TO_GET_FILES_BACK.txt
Email: securityaccounts@tutanota.com, brendasrivera@tutanota.com


Вариант от 11 апреля 2021:
Расширение: .pay4it


Вариант от 28 апреля 2021: 
Расширение: .lldc
Записки: LOOK_THIS_BACK_FILE.rtf, LOOK_THIS_BACK_FILE.txt 
Email: takunoya@tutanota.com, etira@tutanota.com
➤ Содержание записки: 
Guide: 3a449598-1ac0-46aa-8fb8-673c88c92***
Don't worry, your files can be recovered!
You can seek support from security vendors, but they will definitely contact us because (AES + RSA) cannot be recovered by other means
You need to send us your ID so that we can confirm the recovery process
Your important documents have been specially processed
We only need money and will not expose or damage your reputation
____________________________________________________________________
You need to pay $50,000
After confirming the receipt, we will send you the recovery procedure and private key.
If you do not reply within three days, the decryption fee will increase by 0.5btc per day
If there is no contact for more than 7 days, we will publish all the data obtained from your network on the dark web, and there will usually be suitable buyers!
After paying the fee, we will notify you of serious vulnerabilities in the system!
We will also delete the data stored on our servers!
Please contact us after careful consideration
Guide: 3a449598-1ac0-46aa-8fb8-673c88c92***
takunoya@tutanota.com  
etira@tutanota.com

 



Вариант от 2 июня 2021: 
Расширение: .locked
HOW_CAN_RECOVERY.txt
Email: JulioErick@tutanota.com, payorleak@cock.li


Вариант от 5 сентября 2021:
Расширение: .sg-ghosts
Результаты анализов: VT


Вариант от 9 октября 2021: 
Расширение: .just4money
Записка: HOW_CAN_RECOVERY.txt
Email: Just4money@TUTANOTA.COM, payorleak@cock.li





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as Crypt3r, new: Crypt3r/Ghost/Cring)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 quietman7, Karsten Hahn, Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 13 января 2021 г.

Lucy

Lucy Ransomware

Lucy Mobile Ransomware

(шифровальщик-вымогатель для Android) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные на мобильных устройствах с помощью AES, а затем требует выкуп выкуп в $200 через карту OneVanilla, чтобы расшифровать файлы. Предназначен только для Android-устройств. 
---
Обнаружения:
Avast-Mobile -> APK:Locker [Trj]
BitDefenderFalx -> Android.Trojan.Botnet.F
DrWeb -> Android.BankBot.787.origin
ESET-NOD32 -> A Variant Of Android/Spy.Banker.AKI
Fortinet -> Android/Banker.AKI!tr
MaxSecure -> Android.fakeinst.a
Qihoo-360 -> Trojan.Android.Gen
Sophos -> Andr/SLocker-CZ
Symantec -> Trojan.Gen.2
Tencent -> Dos.Backdoor.Lucbot.Hsiy
ZoneAlarm by Check Point -> HEUR:Backdoor.AndroidOS.Lucbot.e
---

© Генеалогия: Удобная ниша (CNAM) >> Lucy 2017Lucy 2021

CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств. 
Я придумал этот термин, чтобы в культурной форме назвать это злачное место. 
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Lucy
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Скриншоты: экран блокировки, ввод данных, зашифрованные файлы. 

  


Содержание записки о выкупе: 
DEPARTMENT OF JUSTICE
FEDERAL BUREAU OF INVESTIGATION
FBI HEADQUARTERS
WASHINGTON DC DEPARTMENT, USA
AS A RESULT OF FULL SCANNING OF YOUR DEVICE, SOME SUSPICIOUS FILES HAVE BEEN FOUND AND YOUR ATTENDANCE OF THE FORBIDDEN PORNOGRAPHIC SITES HAS BEEN FIXED. FOR THIS REASON YOUR DEVICE HAS BEEN LOCKED AND DATA ENCRYPTED. INFORMATION ON YOUR LOCATION AND SNAPSHOTS CONTAINING YOUR FACE HAVE BEEN UPLOADED ON THE FBI CYBER CRIME DEPARTMENTS DATACENTER.
FIRST OF ALL, FAMILIARISE WITH THE POSI-
---
WHERE BUY PAY FINE INFO

Перевод записки на русский язык: 
ДЕПАРТАМЕНТ ПРАВОСУДИЯ 
ФЕДЕРАЛЬНОЕ БЮРО РАССЛЕДОВАНИЙ 
ШТАБ-КВАРТИРА ФБР ВАШИНГТОН, 
ОКРУГ КОЛУМБИЯ, США 
В РЕЗУЛЬТАТЕ ПОЛНОГО СКАНИРОВАНИЯ ВАШЕГО УСТРОЙСТВА БЫЛИ НАЙДЕНЫ НЕКОТОРЫЕ ПОДОЗРИТЕЛЬНЫЕ ФАЙЛЫ И ЗАФИКСИРОВАНО ВАШЕ ПРИСУТСТВИЕ НА ЗАПРЕЩЕННЫХ ПОРНОСАЙТАХ. ПО ЭТОЙ ПРИЧИНЕ ВАШ УСТРОЙСТВО БЛОКИРОВАНО, ДАННЫЕ ЗАШИФРОВАНЫ. ИНФОРМАЦИЯ О ВАШЕМ МЕСТОНАХОЖДЕНИИ И СНИМКИ С ВАШИМ ЛИЦОМ БЫЛИ ЗАГРУЖЕНЫ В ЦЕНТР ДАННЫХ ОТДЕЛА КИБЕРПРЕСТУПНОСТИ, ФБР
СНАЧАЛА ОЗНАКОМЬТЕСЬ С ПОЛОЖЕНИЕМ -
--- 
ГДЕ КУПИТЬ ОПЛАТИТЬ ШТРАФ ИНФО


Еще одно сообщение: 
ATTENTION! 
To view this video, please turn on "18+ AGE PHONE CHILDREN GUARD" in phone settings. * Because video contains adult content 
OK

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
все популярные форматы файлов. 
Это документы могут быть файлы документов, PDF, текстовые файлы, фотографии, музыка, видео и пр. 

Главной целью являются не файлы на мобильных устройствах, а данные карт пользователей, которые вымогатели просто украдут. 


Проверяет страну пользователя по списку:
ru - Россия
az - Азербайджан
by - Беларусь
kz - Казахстан
kg - Киргизия
md - Молдова
tj - Таджикистан
tm - Туркменистан
uz - Узбекистан
ua - Украина

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
app-release.apk - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Lucy Mobile Ransomware - 2017
Lucy Mobile Ransomware - 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lukas Stefanko, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CNH, CNHelp

CNHelp Ransomware

Aliases: CNH, ChinaHelper

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует написать на email, что узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. Использован язык программирования RUST. Для Windows x64 систем. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33411, Trojan.Encoder.33484
BitDefender -> Trojan.GenericKD.45588801, Trojan.GenericKD.45457808
Avira (no cloud) -> TR/Redcap.ppfuv, TR/FileCoder.pyvoq
ESET-NOD32 -> A Variant Of Generik.JBWWFIT, Win64/Filecoder.DC
Kaspersky -> Trojan.Win32.Bingoml.acxz, Trojan-Ransom.Win32.Crypmod.adps
Malwarebytes -> Ransom.FileCryptor, Ransom.FileLocker
Microsoft -> Trojan:Win32/Ymacco.AA2A, Trojan:Win32/Filecoder!MSR
Qihoo-360 -> Win32/Trojan.ac7, Win32/Ransom.Filecoder.H8oANFsA
Rising -> Trojan.Bingoml!8.1226A (CLOUD), Ransom.Crypmod!8.DA9 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Bingoml.Ehib, Win32.Trojan.Crypmod.Phqd
TrendMicro -> TROJ_GEN.R002C0WAO21, Ransom_Crypmod.R002C0PAG21
---

© Генеалогия: Ransomnix >> CNH

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .cnh
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: README.txt


Содержание записки о выкупе:

Hello.
If you want back your files write to: helper.china@aol.com
Your ID: n/QJMEGxceL7nGsO2RkkaYL5/pFw9BtuRmu80jN0H7onxgz0aXv4z+3SlUt2mw
+phd/GwWDN4WKyiOztTLGIv+3r25VHw9FV4SHLPykdoFMflCT5mCg+/NtvKzlEWC*** [всего 684 знака]

Перевод записки на русский язык:
Привет.
Если хотите вернуть файлы, пишите: helper.china@aol.com
Ваш ID: n/QJMEGxceL7nGsO2RkkaYL5/pFw9BtuRmu80jN0H7onxgz0aXv4z+3SlUt2mw
+phd/GwWDN4WKyiOztTLGIv+3r25VHw9FV4SHLPykdoFMflCT5mCg+/NtvKzlEWC*** [всего 684 знака]


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt

Скриншоты от исследователя:



Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helper.china@aol.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 февраля 2021: 
Расширение: .cnhelp
Записка: HOW_TO_RETURN_FILES.txt
Стали использовать текст записки от Ransomnix-Charm с расширением .charm
Email: helper.china@aol.com
Результаты анализов: VT + HA + IA + TG







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as CNHelp)
 Write-up, Topic of Support
 * 
 Thanks: 
 0x4143, Michael Gillespie, xXToffeeXx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *