Epically Ransomware
Epically Hand-Ransomware
Epically Doxware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: HelloKitty >> Epically
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: *нет данных*.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: read_me_unlock.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
@
!!!!!!!!!!!!!!!!!! Hello CD PROJEKT !!!!!!!!!!!!!!!!!!
Your have been EPICALLY pwned!!
We have dumped FULL copies of the source codes from your Perforce server for Cyberpunk 2077, Witcher 3, Gwent and the unreleased version of Witcher 3!!!
We have also dumped all of your documents relating to accounting, administration, legal, HR, investor relations and more!
Also, we have encrypted all of your servers, but we understand that you can most likely recover from backups.
If we will not come to an agreement, then your source codes will be sold or leaked online and your documents will be sent to our contacts in gaming journalism. Your public image will go down the shitter even more and people will see how you shitty your company functions. Investors will lose trust in your company and the stock will dive even lower!
You have 48 hours to contact us.
Перевод записки на русский язык:
@
!!!!!!!!!!!!!!!!!! Привет CD PROJEKT !!!!!!!!!!!!!!!!!!
Вас СКАЗОЧНО хакнули!!
Мы взяли ПОЛНЫЕ копии исходных кодов с вашего Perforce-сервера для Cyberpunk 2077, Witcher 3, Gwent и неизданной версии Witcher 3!!!
Мы также взяли все ваши документы, касающиеся бухгалтерии, администрации, права, кадров, инвестиций и прочего!
Ещё мы зашифровали все ваши серверы, но понимаем, что вы сможете восстановить данные из бэкапов.
Если мы не договоримся, ваши исходники будут проданы или выложены в сеть, а ваши документы отправлены нашим контактам в игровой журналистике. Ваш публичный имидж пострадает ещё больше, а люди увидят, как дерьмово работает ваша компания. Инвесторы потеряют доверие к вашей компании, а акции упадут ещё ниже!
У вас 48 часов для связи с нами.
---
К чести сказать, представители пострадавшей компании CD Projekt Red (Польша), известного разработчика игр, сами сообщили об атаке и заявили, что не намерены платить вымогателям и будут восстаналиваться из резерных копий, которые не были зашифрованы.
Содержание заявления:
Yesterday we discovered that we have become a victim of a targeted cyber attack, due to which some of our internal systems have been compromised.
An unidentified actor gained unauthorized access to our internal network, collected certain data belonging to CD PROJEKT capital group, and left a ransom note the content of which we release to the public. Although some devices in our network have been encrypted, our backups remain intact. We have already secured our IT infrastructure and begun restoring the data.
We will not give in to the demands nor negotiate with the actor, being aware that this may eventually lead to the release of the compromised data. We are taking necessary steps to mitigate the consequences of such a release, in particular by approaching any parties that may be affected due to the breach.
We are still investigating the incident, however at this time we can confirm that — to our best knowledge — the compromised systems did not contain any personal data of our players or users of our services.
We have already approached the relevant authorities, including law enforcement and the President of the Personal Data Protection Office, as well as IT forensic specialists, and we will closely cooperate with them in order to fully investigate this incident.
Перевод на русский язык:
Вчера мы обнаружили, что стали жертвой целевой кибератаки, в результате были взломаны некоторые наши внутренние системы.Неизвестные получили неправомочный доступ к нашей внутренней сети, собрали некоторые данные, принадлежащие основной группе CD PROJEKT, и оставили записку о выкупе, содержание мы публикуем. Хотя некоторые устройства в нашей сети зашифрованы, наши резервные копии нетронуты. Мы уже защитили нашу ИТ-инфраструктуру и начали восстановление данных.
Мы не уступим требованиям и не пойдем на переговоры с субъектом, зная, что это в итоге может привести к раскрытию скомпрометированных данных. Мы делаем всё для смягчения последствий, в частности, обращаясь к любым сторонам, которые могут пострадать из-за атаки.
Мы пока еще расследуем инцидент, но уже сейчас можем подтвердить, насколько нам известно, в скомпрометированных системах не было никаких личных данных наших игроков или пользователей наших сервисов.
Мы уже обратились в правоохранительные органы и к руководству Управления защиты персональных данных, а также к экспертам в области ИТ, чтобы тесно сотрудничать с ними в расследовании этого инцидента.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
read_me_unlock.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + myMessage + Message ID Ransomware (ID as HelloKitty) Write-up, Write-up, Topic of Support *
Thanks: CD Projekt Red, Jirehlov Solace Andrew Ivanov (article author) Fabian Wosar to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.