Tortoise Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Tortoise Ransomware. На файле написано: Ransomware Tortoise.exe, tort2.exe. Язык программирования: Python.
---
Обнаружения:
DrWeb -> Python.Encoder.22
BitDefender -> Trojan.Agent.FDCC
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.gxzly
ESET-NOD32 -> Python/Filecoder.GC
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Malware.AI.4095169426
Microsoft -> Program:Win32/Wacapew.C!ml
Qihoo-360 -> Trojan.Generic
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Swun
TrendMicro -> TROJ_FRS.VSNTB921
---
© Генеалогия: предыдущие Python ransomware >> Tortoise
К зашифрованным файлам добавляется расширение: .TORTOISE
В рассматриваемом примеры файлы не были зашифрованы.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Swun
TrendMicro -> TROJ_FRS.VSNTB921
---
© Генеалогия: предыдущие Python ransomware >> Tortoise
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .TORTOISE
В рассматриваемом примеры файлы не были зашифрованы.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Oops look like you hit tortoise ransomware
Your files has been encrypted with (AES)-256 algorithm (MILITARY GRADE)
all files like, photos, excels, documents, databases, and almost everything..
Don't worry you can get your files back
There is no other way to recover your files
If you think this is a scam then check your files
Encrypted files are name as .TORTOISE
Don't try to rename or delete the encrypted files
Don't try to Scan with Antivirus programmes this will corrupt the decrypter tool.
if your using office or company PC/Laptop your at great risk
take the screenshot of this window and send to tortoisesupport@protonmail.com
you will get instructions to decrypt at there
if you accidently close this windows go to where you get this file
else you may not get your files back
As allways don't try to put in quarantine this may corrupt your files....
14687
Enter the key got from support team
Перевод записки на русский язык:
Ой, похоже, вас ударила tortoise ransomware
Ваши файлы зашифрованы с алгоритмом (AES)-256 (ВОЕННЫЙ УРОВЕНЬ)
все файлы, например, фото, Excel, документы, базы данных и почти все ...
Не волнуйтесь, вы можете вернуть свои файлы
Другого способа восстановить ваши файлы нет
Если вы думаете, что это афера, проверьте свои файлы
Зашифрованные файлы называются .TORTOISE
Не пытайтесь переименовать или удалить зашифрованные файлы
Не пытайтесь сканировать антивирусными программами, это повредит инструмент дешифрования.
если вы используете офисный или корпоративный ПК / ноутбук, вы подвергаетесь большому риску
сделайте снимок экрана этого окна и отправьте на tortoisesupport@protonmail.com
там вы получите инструкции по расшифровке
если вы случайно закроете это окно, перейдите туда, где вы получили этот файл
иначе вы не сможете вернуть свои файлы
Также не пытайтесь поместить в карантин, это повредит ваши файлы....
14687
Введите ключ, полученный от службы поддержки
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Ransomware Tortoise.exe (tort2.exe) - название вредоносного файла
crash.txt - файл с ключом
%TEMP%\crash.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: tortoisesupport@protonmail.com
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: tortoisesupport@protonmail.com
bsbasim2017@gmail.com
programmingmyst@gmail.com
BTC: - См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 13 февраля 2021:
Сообщение >>
Файлы можно расшифровать, если не выключать и не перезагружать компьютер.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Danus, JAMESWT Andrew Ivanov (article author) c3rb3ru5d3d53c to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.