DearCry Ransomware
DEARCRY! Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (для файлов) + RSA-2048 (для ключей), а затем требует выкуп в 3000 - , чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: s1.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33592
BitDefender -> Gen:Variant.Zusy.370753
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGE
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/DoejoCrypt.A
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/DoejoCrypt.A
Qihoo-360 -> Win32/Ransom.Encoder.HgIASQoA
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11baf414
TrendMicro -> Ransom.Win32.DEARCRY.THCABBA
---
© Генеалогия: ??? >> DearCry
К зашифрованным файлам добавляется расширение .CRYPT
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11baf414
TrendMicro -> Ransom.Win32.DEARCRY.THCABBA
---
© Генеалогия: ??? >> DearCry
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение .CRYPT
В начало кода зашифрвоанных файлов добавлется маркер DEARCRY!
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые сообщения поступили от пострадавших из США, Канады, Австралии, Индонезии, Индии.
Записка с требованием выкупа называется: readme.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Ранее в этом месяце Microsoft сообщила, что злоумышленники скомпрометировали почтовые серверы Microsoft Exchange с помощью новых уязвимостей нулевого дня, получивших название ProxyLogon. После этого злоумышленники стали развертывать новый DearCry Ransomware.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые сообщения поступили от пострадавших из США, Канады, Австралии, Индонезии, Индии.
Записка с требованием выкупа называется: readme.txt
Your file has been encrypted!
If you want to decrypt, please contact us.
konedieyp@airmail.cc or uenwonken@memail.com
And please send me the following hash!
638428e5021d4ae247b21acf9c0bf***
Перевод записки на русский язык:
Ваш файл зашифрован!
Если вы хотите расшифровать, напишите нам.
konedieyp@airmail.cc или uenwonken@memail.com
И пришлите мне следующий хэш!
638428e5021d4ae247b21acf9c0bf***
Технические детали
Ранее в этом месяце Microsoft сообщила, что злоумышленники скомпрометировали почтовые серверы Microsoft Exchange с помощью новых уязвимостей нулевого дня, получивших название ProxyLogon. После этого злоумышленники стали развертывать новый DearCry Ransomware.
Инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065). Эксплуатация этих уязвимостей позволит злоумышленникам пройти аутентификацию на сервере Exchange, получить права администратора, установить вредоносные программы и похитить данные.
К атакам на уязвимые серверы, администраторы которых не установили выпущенный патч или не смогут в ближайшее время установить его, присодинились по меньшей мере 10 группировок, и их число будет только расти.
Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Подробности шифрования:
Использует OpenSSL's RAND_bytes() для генерации криптографически уникального ключа и IV (вектора инициализации) для каждого файла для AES-256. Ключи защищены с помощью RSA-2048.
Список файловых расширений, подвергающихся шифрованию:
.7Z, .APK, .APP, .ASPX, .BAK, .BAT, .BIN, .C, .CAD, .CER, .CFM, .CGI, .CONFIG, .CPP, .CSS, .CSV, .DAT, .DB, .DBF, .DOC, .DOCX, .EDB, .EML, .GO, .HTM, .HTML , .INI, .ISO, .JS, .JSP, .KEYCHAIN, .LOG, .MDB, .MDF, .MSG, .ORA, .PDB, .PDF, .PEM, .PGD , .PHP, .PPS, .PPT, .PPTX, .PS, .PST, .RAR, .RTF, .SQL, .STM, .TAR, .TEX, .TIF, .TIFF, .TXT, .WPS, .XHTML, .XLS, .XLSX, .XLTM, .ZIP, .ZIPX (64 расширения).
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Подробности шифрования:
Использует OpenSSL's RAND_bytes() для генерации криптографически уникального ключа и IV (вектора инициализации) для каждого файла для AES-256. Ключи защищены с помощью RSA-2048.
Список файловых расширений, подвергающихся шифрованию:
.7Z, .APK, .APP, .ASPX, .BAK, .BAT, .BIN, .C, .CAD, .CER, .CFM, .CGI, .CONFIG, .CPP, .CSS, .CSV, .DAT, .DB, .DBF, .DOC, .DOCX, .EDB, .EML, .GO, .HTM, .HTML , .INI, .ISO, .JS, .JSP, .KEYCHAIN, .LOG, .MDB, .MDF, .MSG, .ORA, .PDB, .PDF, .PEM, .PGD , .PHP, .PPS, .PPT, .PPTX, .PS, .PST, .RAR, .RTF, .SQL, .STM, .TAR, .TEX, .TIF, .TIFF, .TXT, .WPS, .XHTML, .XLS, .XLSX, .XLTM, .ZIP, .ZIPX (64 расширения).
Это документы MS Office, PDF, текстовые файлы, файлы веб-страниц, веб-серверов, базы данных, файлы образов, сценарии, журналы, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
s1.exe, s2.exe, s3.exe - названия вредоносных файлов;
<random>.exe - случайное название вредоносного файла;
<random>.exe - случайное название вредоносного файла;
EncryptFile.exe.pdb - название файла проекта.
C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: konedieyp@airmail.cc, uenwonken@memail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >> JSB>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: konedieyp@airmail.cc, uenwonken@memail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >> JSB>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as DearCry) Write-up, Topic of Support *
Thanks: Michael Gillespie, Lawrence Abrams, MalwareHunterTeam Andrew Ivanov (article author) Palo Alto Networks, Intezer to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.