Anton-Artemon Ransomware
Variants: Anton, Artemon, AutoHello
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Anton Ransomware и Artemon Ransomware. Вымогатели используют два названия одновременно. Видимо они очень хотели замаскироваться под русских вымогателей, что не смогли выбрать имя. Для пользователей некоторых неевропейских алфавитов и иероглифов такая путаница в порядке вещей. Имя Anton написано на экране. Имя Artemon написано в текстовой записке. На исполняемом файле написано: WORD и Word document.exe. Кроме того есть файлы с названиями, в которых есть Petya, Mischa и WNCRY. В заголовке окна ещё написано "Trojan.Ransom.Anton.A".
---
Обнаружения:
DrWeb -> Trojan.Encoder.33478
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/Agent.rkywk
ESET-NOD32 -> MSIL/Filecoder.AFY
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/ArtemonCrypt.PA!MTB
Rising -> Ransom.ArtemonCrypt!8.12494 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Lmaq
TrendMicro -> TROJ_GEN.R002H09BF21
---
© Генеалогия: HiddenTear + (Petya+Mischa=WNCRY) >> Anton, Artemon и вся их компания
Обнаружения:
DrWeb -> Trojan.Encoder.33478
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/Agent.rkywk
ESET-NOD32 -> MSIL/Filecoder.AFY
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/ArtemonCrypt.PA!MTB
Rising -> Ransom.ArtemonCrypt!8.12494 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Lmaq
TrendMicro -> TROJ_GEN.R002H09BF21
---
© Генеалогия: HiddenTear + (Petya+Mischa=WNCRY) >> Anton, Artemon и вся их компания
Изображение — логотип статьи
К зашифрованным файлам никакое расширение не добавляется или файлы вообще не шифруются.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: Artemon.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
4744b7794744b7799b9946468040822243e318299b9946468040822243e31829.pdb - оригинальное название файла проекта;
Hello! You victim on ARTEMON RANSOMWARE!
your files encrypted
For decryption, you must send us 0.001 BTC
For decryption, you must send us 0.001 BTC
For decryption, you must send us 0.001 BTC
For decryption, you must send us 0.001 BTC
Adress BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X
Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X
Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X
Within 1-2 days, we will send you a password and instructions for decryption.
Copyring 2020-2021
Перевод записки на русский язык:
Привет! Вы жертва ARTEMON RANSOMWARE!
ваши файлы зашифрованы
Для расшифровки надо отправить нам 0,001 BTC
Для расшифровки надо отправить нам 0,001 BTC
Для расшифровки надо отправить нам 0,001 BTC
Для расшифровки надо отправить нам 0,001 BTC
Адрес BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X
Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X
Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X
В течение 1-2 дней мы пришлем вам пароль и инструкцию по расшифровке.
Copyring 2020-2021
Запиской с требованием выкупа также выступает экран блокировки:
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
4744b7794744b7799b9946468040822243e318299b9946468040822243e31829.pdb - оригинальное название файла проекта;
Artemon.txt - название файла с требованием выкупа;
Word document.exe - название вредоносного файла;
Word document.exe - название вредоносного файла;
a.MischaMyFriend - бинарный файл в анализе;
b.PetyaMyFriend - бинарный файл в анализе;
exeexeexe1.ArtemonTrojan - бинарный файл в анализе;
encrypt.Ransom - бинарный файл в анализе.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\server33\исходники\ИСХОДНИКИ\AutoHello\AutoHello\obj\Debug\4744b7794744b7799b9946468040822243e318299b9946468040822243e31829.pdb
Ошибки в программе:
Ошибки в программе:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Petrovic Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.