Если вы не видите здесь изображений, то используйте VPN.

среда, 3 марта 2021 г.

IQ, HelpYou

IQ Ransomware

HelpYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: enc_IQ_IQ.exe. Разработка: Visual C++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33543 
BitDefender -> Trojan.GenericKD.45827119 
ALYac -> Trojan.Ransom.Filecoder 
Avira (no cloud) -> TR/Crypt.XPACK.Gen2 
ESET-NOD32 -> A Variant Of Win32/Filecoder.OFO 
Kaspersky -> HEUR:Trojan.Win32.Generic 
Malwarebytes -> Malware.Heuristic.1004 
Microsoft -> Trojan:Win32/Glupteba!ml 
Rising -> Ransom.HelpYou!1.D28C (CLOUD) 
Symantec -> ML.Attribute.HighConfidence 
Tencent -> Win32.Trojan.Raas.Auto 
TrendMicro -> Trojan.Win32.GLUPTEBA.THCODBA 
---

© Генеалогия: ✂️ Balaclava + другой код >> IQ (HelpYou)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: 
.IQ_IQ
.IQ1, .IQ2, 
.IQ0001 ...

Фактически используется составное расширение:
К зашифрованным файлам добавляется составное расширение по шаблону: .

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW_TO_RECOVERY_FILES.txt


Содержание записки о выкупе:
It's your IDENTIFER:
C3C47BF13D675BB03BE76A5***
HELLO
All YOU FILES ENCRYPTED
If you need recover your files:
1) send message with your personal IDENTIFER to
helpyouhelpyou@cock.li or helpyou2helpyou@cock.li
and add 1 infected files from your server!
2) speak only by ENGLISH!
3) doesn't use free decryption tools, you can damage your files!
ONLY helpyouhelpyou@cock.li or helpyou2helpyou@cock.li can HELP YOU!
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li 

Перевод записки на русский язык:
Это ваш ИДЕНТИФИКАТОР:
C3C47BF13D675BB03BE76A5***
ПРИВЕТ
Все ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Если вам нужно восстановить ваши файлы:
1) отправьте сообщение со своим личным ИДЕНТИФИКАТОРОМ на адрес
helpyouhelpyou@cock.li или helpyou2helpyou@cock.li
и добавьте 1 зараженный файл со своего сервера!
2) говорите только на АНГЛИЙСКОМ!
3) не использует бесплатные инструменты дешифрования, вы можете повредить свои файлы!
ТОЛЬКО helpyouhelpyou@cock.li или helpyou2helpyou@cock.li могут помочь ВАМ!
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVERY_FILES.txt - название файла с требованием выкупа
enc_IQ_IQ.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as IQ)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 28 февраля 2021 г.

TheWarehouse

TheWarehouse Ransomware

(шифровальщик-вымогатель, стиратель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: TheWarehouse (
github.com) >> TheWarehouse Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется настраиваемое расширение.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в конце февраля - начале марта 2021 г. Исходники опубликованы на GitHub два года назад. Кто-то воспользовался ими для создания программы-вымогателя. На момент написания статьи ничего не было известно о распространении. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 


Содержание записки о выкупе:
Your important files have been encrypted!
Most of your files are no longer accessible or usable due to them being encrypted. You are probably searching for a way to recover them, but do not waste your time. You can only recover your files with our decryption service.
To decrypt all of your files, you will have to pay for a password. Take note that every hour, a random amount of your files will be deleted, from random directories on your computer. If you value these files, pay the needed amount and decrypt these files.
Payments are accepted only in BTC to the address below (BTC Price: 300$). Beware, you only have some time left before all your files get deleted.
After the time goes out, this tool will proceed to destroy and corrupt all of the necessary files needed for the computer to run, hence bricking your computer and making it useless.
BTC Address: 
1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
[Encrypt] [Decrypt]

Перевод записки на русский язык:
Ваши важные файлы зашифрованы!
Многие ваши файлы теперь недоступны или непригодны, т.к. они зашифрованы. Вы, вероятно, хотите восстановить их, но не тратьте зря время. Вы можете вернуть свои файлы только с помощью нашей службы дешифрования.
Для расшифровки всех файлов вам придется заплатить за пароль. Заметьте, что каждый час случайное количество ваших файлов будет удаляться из случайных папок на вашем компьютере. Если ваши файлы важны, заплатите нужную сумму и расшифруйте эти файлы.
Платежи принимаются только в BTC на адрес, указанный ниже (BTC цена: 300$). Осторожно, у вас мало времени, прежде чем все ваши файлы будут удалены.
По истечении времени этот инструмент продолжит уничтожение и повреждение всех файлов, нужных для работы компьютера, тем самым блокируя ваш компьютер и делая его бесполезным.
Адрес BTC:
1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
[Encrypt] [Decrypt]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
TheWarehouse.exe - название вредоносного файла; 
TheWarehouse.pdb - оригинальное название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\gigaz\Downloads\TheWarehouse-master\TheWarehouse-master\TheWarehouse2\obj\Debug\TheWarehouse.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: github.com/TheSynt4x/TheWarehouse
Email: - 
BTC: 1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis: 3729FEA74EC3A3081A1EE7E92BA2BB64
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 26 февраля 2021 г.

JesusCrypt-2021

Jesus Ransomware

JesusCrypt-2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Jesus Ransomware и JesusCrypt. На файле написано: Jesus Ransom.exe. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.21
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/Ransom.yecpv
BitDefender -> Trojan.GenericKD.45838451
ESET-NOD32 -> MSIL/Filecoder.AGC
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.PDO!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.JESUSCRYPT.A
---

© Генеалогия: ✂ HiddenTear >> JesusCrypt-2021

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Содержит ошибки в работе, из-за этого исследование затруднено. 

Записка с требованием выкупа называется: *нет данных*.


Содержание записки о выкупе:
All Your Files Encrypted By Jesus Ransomware :) .
Your Unique_ID : [SYSID]
Write Email To [EMAIL1] Or [EMAIL2] If You Want To Decrypt Your Files .

Перевод записки на русский язык:
Все ваши файлы зашифрованы Jesus Ransomware :).
Ваш уникальный_ID: [SYSID]
Пишите email на [EMAIL1] или [EMAIL2], если хотите расшифровать файлы.



Содержание записки о выкупе:
All your files have been encrypted by JesusCrypt!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the E-mail : ***
Write this ID in the title of your message : ***
In case of no answer in 24 hours write us to this E-mail : ***
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 fifes for free decryption. The total size of fifes must be less than 4Mb (non archived), and files should not contain valuable info ***
How to obtain Bitcoins
The easiest way to buy bitcoins s LocalBitcoins site. You have to register, clck 'Buy bitcoins', and select the seller by payment method and price.
http://www.localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
• Do not rename encrypted fies.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your fifes with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы зашифрованы JesusCrypt!
Все ваши файлы были зашифрованы из-за проблем безопасности вашего ПК. Если вы хотите их вернуть, напишите нам на E-mail: ***
Напишите этот ID в теме сообщения: ***
В случае без ответа за 24 часа напишите нам на этот E-mail: ***
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 4 МБ (без архива), а файлы не должны содержать ценной информации ***
Как получить биткойны
Самый простой способ купить биткойны на сайте LocalBitcoins. Вам надо зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.
http://www.localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может повредить данные.
• Расшифровка ваших фишек с помощью третьих лиц может привести к удорожанию (они прибавят свой гонорар к нашему) или вы можете стать жертвой мошенничества.


Технические детали

Пока находится в разработке и не распрсотраняется. После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
Jesus Ransom.exe - случайное название вредоносного файла; 
Jesus Ransom.pdb  - название файла проекта. 




Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Soheil\Desktop\Jesus Ransom\Jesus Ransom\obj\Debug\Jesus Ransom.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: eiklot@hi2.in, SendServerInfo@hitler.rocks
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 18 февраля 2021 г.

Pay2Decrypt

Pay2Decrypt Ransomware

Aliases: BatFilecoder, BleachGap, RenderGraphics, LeakGap, Humble, Onim

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0002 BTC, чтобы вернуть файлы. Оригинальное название: Pay2Decrypt. Написан на AutoIt. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33479, Trojan.Encoder.33489, Trojan.Encoder.33569, Trojan.Encoder.33680
BitDefender -> Dropped:Trojan.GenericKD.45329011
ALYac -> Trojan.Ransom.Filecoder
ESET-NOD32 -> A Variant Of Generik.NTEPZQT, BAT/Filecoder.DT, BAT/Filecoder.DR
Ikarus -> Trojan-Ransom.FileCrypter
Jiangmin -> Trojan.PowerShell.ev
Kaspersky -> HEUR:Trojan-Downloader.BAT.Generic
Malwarebytes -> Ransom.FileCryptor, Ransom.BleachGap
Microsoft -> Ransom:Win32/Filecoder.PAA!MTB
Rising -> Ransom.Filecoder!8.55A8 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Bat.Trojan-downloader.Generic.Chn, Bat.Trojan-downloader.Generic.Pdwb
TrendMicro -> Ransom.Win32.MENOPE.THBAGBA, Ransom_Filecoder.R002C0DBI21
---

© Генеалогия: неизвестная разработка 2018 года >> Pay2Decrypt > более новые варианты (в этой статье)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lck
Может шифровать файлы и добавлять к ним это расширение несколько раз.
 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на началу - середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Один из ранних вариантов (14-15 февраля) не содержал контактов и адреса кошелька для уплаты выкупа, поэтому добавлен только после основной статьи. 

Записки с требованием выкупа называются одинаково, но имеют порядковые номера от 1 до 100: 
Pay2Decrypt1.txt
Pay2Decrypt2.txt
***
Pay2Decrypt100.txt


Содержание записки о выкупе:
DONT TRY TO REBOOT, YOUR FILES ARE ENCRYPTED AND MBR OVERWRITTEN
PAY 0.0002 BTC IN 4JhPxp6KylbSeVnOA1Nr2BeT5ZXYNxGe7jhyQ3
SEND US AN EMAIL TO NK125@S0NY.NET WITH THIS KEY:P1Cf1syaijhNsFjkC9sH2O7hgvRiq4ZGTFaHs4eZoJas
YOU HAVE TODAY (Thu 02/18/2021) TO PAY, IF YOU TRY TO REBOOT ONLY YOU LOST ALL YOUR FILES

Перевод записки на русский язык:
НЕ ПЕРЕЗАГРУЖАЙТЕСЬ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, А MBR ПЕРЕЗАПИСАН
ПЛАТИТЕ 0.0002 BTC НА 4JHPXP6KYLBSEVNOA1NR2BET5ZXYNXGE7JHYQ3
ПИШИТЕ НА EMAIL NK125@S0NY.NET С ЭТИМ КЛЮЧОМ: P1Cf1syaijhNsFjkC9sH2O7hgvRiq4ZGTFaHs4eZoJas
У ВАС ЕСТЬ СЕГОДНЯ (ЧТ, 18.02.2021) ДЛЯ ОПЛАТЫ, ЕСЛИ ВЫ  ПЕРЕЗАГРУЗИТЕСЬ, ПОТЕРЯЕТЕ ВСЕ СВОИ ФАЙЛЫ



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Деструктивные функции: 
Обходит защиту UAC. 
Отключает инструменты базопасности.
Модифицирует ключи реестра. 
Удаляет теневые копии файлов. 
Завершает работу браузеров (Chrome, Firefox).

➤ Использует утилиту ps2exe и PowerShell (в составе Windows) для того, чтобы скопилировать скрипт в исполняемый файл и запустить его с административными правами на выполнение. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, исполняемые и установочные файлы программ и пр.

Файлы, связанные с этим Ransomware:
Pay2Decrypt1.txt, Pay2Decrypt2.txt ... Pay2Decrypt100.txt - названия файлов с требованием выкупа; 
RenderGraphics.exe - название распространяемого вредоносного файла; 
aescrypt.exe - название вредоносного файла, который выполняет шифрование; 
ransom.exe, BleachGap.exe - вредоносный файл; 
extd.exe - название вредоносного файла; 
final.exe - название вредоносного файла; 
leakgap.exe - название вредоносного файла; 
6A82.bat - командный файл вымогателя; 
kill.bat - командный файл вымогателя; 
p2d.bat - командный файл вымогателя; 
<random>.exe - случайное название вредоносного файла;
DiscordSendWebhook.exe - программа для отправки сообщений в Discord через командный файл, подбрасывается вымогателем;
Gameover.exe - еще один файл, который подбрасывается вымогателем;
и другие файлы.  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\2AA9.tmp\2AAA.tmp\extd.exe
C:\Users\User\AppData\Local\Temp\CDB.tmp\CDC.tmp\CDD.bat 
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RenderGraphics.exe
C:\Users\Admin\AppData\Local\Temp\final.exe
C:\Users\User\AppData\Local\Temp\CDB.tmp\DiscordSendWebhook.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: NK125@S0NY.NET
BTC: 4JhPxp6KylbSeVnOA1Nr2BeT5ZXYNxGe7jhyQ3 - кажется недействительным
URL исполняемого файла: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>  AR>
ⴵ  VMRay analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предварительная разработка от 9 октября 2020:
Самоназвание: MBR - Note Builder
Файл: MBR_Note_Builder.exe
Результаты анализов: VT + AR

Предварительная разработка от 21 января 2021:
Файл: gameover.exe (KillMBR)
URL исполняемого файла
Результаты анализов: VT + AR

Ранний вариант от 31 января 2021: 
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33569
BitDefender -> Dropped:Trojan.GenericKD.45329011
ESET-NOD32 -> BAT/Filecoder.DR
Malwarebytes -> Malware.AI.4193686271
Microsoft -> Ransom:Win32/Filecoder.P!MSR
Rising -> Dropper.Generic!8.35E (CLOUD)
Tencent -> Bat.Trojan-dropper.Generic.Lmul
TrendMicro -> Ransom.Win32.HUMBLE.THBAGBA

Ранний вариант от 14-15 февраля 2021:
Расширение: .lck
Записки: Pay2Decrypt1.txt - Pay2Decrypt100.txt
В этом более раннем образце записки нет email и BTC-кошелька вымогателей. 


➤ Содержание записки:
Pay us 0.0002 BTC to 
Your personal key is: rxGB4fEkDwDxLoESpI1MRq2LlbTJlgEQN6rRrQ7esp24vlL
You have 5 days to pay, if the time elapse, your files will be deleted.
The time start now: D:Sun 02/14/2021 T:23:10:24.53.
---
Файл: BleachGap.exe
Результаты анализов: VT + TG + AR + ARIA 


Статья от TrendMicro 4 марта 2021 >>
См. описание как Humble Ransomware. 


Вариант от 20 марта 2021:
Самоназвание: Onim и Onim 1.4 Ransomware
Расширение: .aes
Записка: Readme.txt
Также используется изображением с текстом, заменяющее обои Рабочего стола. 


Email: omm72031@yandex.ru, onimransom@cock.li, onimransom@protonmail.com
Файл: Setup.exe
На файле написано: MalwareBytes Corporation и MalwareBytes 2021 Crack

Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33680
BitDefender -> Trojan.GenericKD.36564795
ESET-NOD32 -> BAT/Filecoder.DW
Qihoo-360 -> Win32/Trojan.Generic.HgIASRIA
Rising -> Trojan.Generic@ML.98 (RDMK:PRSWFe/DG0mfY1sECTIgMg)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.ONIM.THCBCBA


Вариант от 14 мая 2021:
Расширение: .h$
Записка: Pay2Decrypt1.txt
Результаты анализов: VT + AR + IA



=== 2022 ===

Вариант от 4 июня 2022: 
Расширение: .PAY2DECRYPT + random string
Пример расширениея: .PAY2DECRYPTRLDwcYuR13f3VWL6crJ0rFV
Записки: 100 записок на Рабочем столе (Pay2Decrypt1.txt -> Pay2Decrypt100.txt)


Email: P2DqZHMg28A265z@postheo.de, 2DoTJ6L16H1q7a@mail.a1.wtf
Файл: ransomito.exe
Результаты анализа: VT + IA + TG + AR
Обнаружения: 
DrWeb -> Trojan.Encoder.35421
BitDefender -> Trojan.Agent.FWQR
ESET-NOD32 -> Win32/Filecoder.GC
Malwarebytes -> Malware.AI.985833973
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.86 (RDML:ze4RDK+d6iIUDLnlecZk/A)
Tencent -> Win32.Trojan.Filecoder.Ectu




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic, 0x4143
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *