Если вы не видите здесь изображений, то используйте VPN.

понедельник, 8 марта 2021 г.

DearCry

DearCry Ransomware

DEARCRY! Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (для файлов) + RSA-2048 (для ключей), а затем требует выкуп в 3000 - , чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: s1.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33592
BitDefender -> Gen:Variant.Zusy.370753
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGE
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/DoejoCrypt.A
Qihoo-360 -> Win32/Ransom.Encoder.HgIASQoA
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11baf414
TrendMicro -> Ransom.Win32.DEARCRY.THCABBA
---

© Генеалогия: ??? >> DearCry

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .CRYPT

В начало кода зашифрвоанных файлов добавлется маркер DEARCRY!


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые сообщения поступили от пострадавших из США, Канады, Австралии, Индонезии, Индии. 

Записка с требованием выкупа называется: readme.txt


Содержание записки о выкупе:

Your file has been encrypted!
If you want to decrypt, please contact us.
konedieyp@airmail.cc or uenwonken@memail.com
And please send me the following hash!
638428e5021d4ae247b21acf9c0bf***

Перевод записки на русский язык:
Ваш файл зашифрован!
Если вы хотите расшифровать, напишите нам.
konedieyp@airmail.cc или uenwonken@memail.com
И пришлите мне следующий хэш!
638428e5021d4ae247b21acf9c0bf***



Технические детали

Ранее в этом месяце Microsoft сообщила, что злоумышленники скомпрометировали почтовые серверы Microsoft Exchange с помощью новых уязвимостей нулевого дня, получивших название ProxyLogon. После этого злоумышленники стали развертывать новый DearCry Ransomware.

Инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065). Эксплуатация этих уязвимостей позволит злоумышленникам пройти аутентификацию на сервере Exchange, получить права администратора, установить вредоносные программы и похитить данные.

К атакам на уязвимые серверы, администраторы которых не установили выпущенный патч или не смогут в ближайшее время установить его, присодинились по меньшей мере 10 группировок, и их число будет только расти. 

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробности шифрования: 
Использует OpenSSL's RAND_bytes() для генерации криптографически уникального ключа и IV (вектора инициализации) для каждого файла для AES-256. Ключи защищены с помощью RSA-2048.

Список файловых расширений, подвергающихся шифрованию:
.7Z, .APK, .APP, .ASPX, .BAK, .BAT, .BIN, .C, .CAD, .CER, .CFM, .CGI, .CONFIG, 
.CPP, .CSS, .CSV, .DAT, .DB, .DBF, .DOC, .DOCX, .EDB, .EML, .GO, .HTM, .HTML , .INI, .ISO, .JS, .JSP, .KEYCHAIN, .LOG, .MDB, .MDF, .MSG, .ORA, .PDB, .PDF, .PEM, .PGD , .PHP, .PPS, .PPT, .PPTX, .PS, .PST, .RAR, .RTF, .SQL, .STM, .TAR, .TEX, .TIF, .TIFF, .TXT, .WPS, .XHTML, .XLS, .XLSX, .XLTM, .ZIP, .ZIPX (64 расширения). 
Это документы MS Office, PDF, текстовые файлы, файлы веб-страниц, веб-серверов, базы данных, файлы образов, сценарии, журналы, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
s1.exe, s2.exe, s3.exe - названия вредоносных файлов;
<random>.exe - случайное название вредоносного файла;
EncryptFile.exe.pdb - название файла проекта. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: konedieyp@airmail.cc, uenwonken@memail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>  IA> IA> 
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
JOE Sandbox analysis >>  JSB>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as DearCry)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Lawrence Abrams, MalwareHunterTeam
 Andrew Ivanov (article author)
 Palo Alto Networks, Intezer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 3 марта 2021 г.

KhalsaCrypt, Sarbloh

KhalsaCrypt Ransomware

Sarbloh Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем выдвигает требования в поддержку фермеров в Индии. Оригинальное название: KhalsaCrypt. На файле написано: profile16146815778005vw0qb.exe или что-то другое. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33546
BitDefender -> Gen:Variant.Razy.849331
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGB
Kaspersky -> Trojan-Ransom.Win32.Agent.azsx
Malwarebytes -> Ransom.Sarbloh
Microsoft -> Trojan:Win32/Ymacco.AAAC
Rising -> Ransom.Agent!1.D360 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Dzjp
TrendMicro -> TrojanSpy.Win32.POSSIBLETHREAT.USMANC321
---

© Генеалогия: безымянный OSR >> KhalsaCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sarbloh


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных и индийских пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README_SARBLOH.txt


Содержание записки о выкупе:
YOUR FILES ARE GONE!!!
THEY WILL NOT BE RECOVERABLE UNTIL THE DEMANDS OF THE FARMERS HAVE BEEN MET
WHAT HAPPENED TO THEM?
Using military grade EnCryPtiOn all the files on your system have been made useless.
India, Sikhs have long been the face against the oppression placed upon them.
Each time we have resisted.
Today you come for the very throats of Hindu, Sikh, and Muslim farmers by trying to take their livelihood.
You will not succeed in your sinister ways.
The two-sided sword of the Khalsa is at any moments notice. Tyaar bar tyaar.
Wherever our blood is spilled, the tree of Sikhi uproots from there.
If your intentions for the farmer's are pure and
you wish to help them, this is not the way.
Halemi Raj, Sikh Raj, was not this way.
If the laws are not repealed. Your fate is no
different to what the Khalsa did to Sirhind.
Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh
Khalsa Cyber Fauj

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ПРОПАЛИ !!!
ИХ НЕЛЬЗЯ ВОССТАНОВИТЬ, ПОКА НЕ ВЫПОЛНЕНЫ ТРЕБОВАНИЯ ФЕРМЕРОВ.
ЧТО С НИМИ СЛУЧИЛОСЬ?
При использовании ШиФроВанИя военного уровня все файлы в вашей системе стали бесполезными.
В Индии сикхи долгое время были лицом к лицу с наложенным на них угнетением.
Каждый раз мы сопротивлялись.
Сегодня вы попадаете в самое горло индуистских, сикхских и мусульманских фермеров, пытаясь лишить их средств к существованию.
Вы не добьетесь успеха на своем зловещем пути.
Двусторонний меч Хальсы заметен в любой момент. Всегда наготове.
Где бы ни пролилась наша кровь, дерево Сикхи вырывается с корнем.
Если ваши намерения относительно фермера чисты и
вы хотите им помочь, это не выход.
Халеми Радж, сикхский Радж, не был таким.
Если законы не отменят. Твоя судьба нет отличается от того, что Хальса сделала с Сирхиндом.
Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh
Khalsa Cyber Fauj


Другим информатором жертвы выступает экран с текстом.
Текст почти аналогичен тому, что есть в текстовой записке. 



Нет никаких контактов и адресов для уплаты выкупа. 

По всей видимости это сообщение направлено в поддержку протестов индийских фермеров. В 2020 году правительство Индии приняло новые "Законы о сельском хозяйстве Индии 2020 года", которые, по мнению правительства, нужны для модернизации сельскохозяйственной отрасли. Фермеры считают, что эти новые законы нанесут ущерб их средствам к существованию и затруднят получение доходов от продажи товаров. С ноября 2020 года тысячи индийских фермеров протестуют против этих законопроектов. 

Но данные действия не оправдывают вымогателей, которые из активистов стали хактивистами. Вымогатели, даже требующие принятия каких-то мер, вместо выплаты выкупа, всё равно являются преступниками, т.к. причиняют вред файлам пользователей. Политическая позиция не оправдывает их действий, а только увеличивает вину. 


Технические детали

Распространяется с помощью 
email-спама и вредоносных вложений в виде документов Word с вредоносными макросами. 



Кроме того, может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



Схема запуска вредоносного файла:
Если разрешить содержимое, то, макросы загружают файл с именем putty.exe с помощью bitsadmin.exe в папку "Документы" и запускают.

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .dat, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (179 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_SARBLOH.txt - название файла с требованием выкупа;
profile16146815778005vw0qb.exe (profile16146815778005vw0qb.png) - название вредоносного файла, который загружается как файл изображения;
putty.exe - исполняемый вредоносный файл; 
bitsadmin.exe - программа администрирования BITS в составе Windows, используемая для загрузки обновлений безопасности; это свойство службы использует киберпреступники.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Documents\putty.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs3.ap-south-1.amazonaws.com/ans.video.input/***
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
JOE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 Added later: Write-up by BC 
 Added later: Write-up, Write-up, 
 Thanks: 
 MBThreatIntel, Petrovic, Michael Gillespie
 Andrew Ivanov (article author)
 Lawrence Abrams, 
Tejaswini Sandapolla (QuickHeal), cybleinc (Cyble)
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

IQ, HelpYou

IQ Ransomware

HelpYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: enc_IQ_IQ.exe. Разработка: Visual C++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33543 
BitDefender -> Trojan.GenericKD.45827119 
ALYac -> Trojan.Ransom.Filecoder 
Avira (no cloud) -> TR/Crypt.XPACK.Gen2 
ESET-NOD32 -> A Variant Of Win32/Filecoder.OFO 
Kaspersky -> HEUR:Trojan.Win32.Generic 
Malwarebytes -> Malware.Heuristic.1004 
Microsoft -> Trojan:Win32/Glupteba!ml 
Rising -> Ransom.HelpYou!1.D28C (CLOUD) 
Symantec -> ML.Attribute.HighConfidence 
Tencent -> Win32.Trojan.Raas.Auto 
TrendMicro -> Trojan.Win32.GLUPTEBA.THCODBA 
---

© Генеалогия: ✂️ Balaclava + другой код >> IQ (HelpYou)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: 
.IQ_IQ
.IQ1, .IQ2, 
.IQ0001 ...

Фактически используется составное расширение:
К зашифрованным файлам добавляется составное расширение по шаблону: .

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW_TO_RECOVERY_FILES.txt


Содержание записки о выкупе:
It's your IDENTIFER:
C3C47BF13D675BB03BE76A5***
HELLO
All YOU FILES ENCRYPTED
If you need recover your files:
1) send message with your personal IDENTIFER to
helpyouhelpyou@cock.li or helpyou2helpyou@cock.li
and add 1 infected files from your server!
2) speak only by ENGLISH!
3) doesn't use free decryption tools, you can damage your files!
ONLY helpyouhelpyou@cock.li or helpyou2helpyou@cock.li can HELP YOU!
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li 

Перевод записки на русский язык:
Это ваш ИДЕНТИФИКАТОР:
C3C47BF13D675BB03BE76A5***
ПРИВЕТ
Все ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Если вам нужно восстановить ваши файлы:
1) отправьте сообщение со своим личным ИДЕНТИФИКАТОРОМ на адрес
helpyouhelpyou@cock.li или helpyou2helpyou@cock.li
и добавьте 1 зараженный файл со своего сервера!
2) говорите только на АНГЛИЙСКОМ!
3) не использует бесплатные инструменты дешифрования, вы можете повредить свои файлы!
ТОЛЬКО helpyouhelpyou@cock.li или helpyou2helpyou@cock.li могут помочь ВАМ!
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVERY_FILES.txt - название файла с требованием выкупа
enc_IQ_IQ.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as IQ)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 28 февраля 2021 г.

TheWarehouse

TheWarehouse Ransomware

(шифровальщик-вымогатель, стиратель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: TheWarehouse (
github.com) >> TheWarehouse Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется настраиваемое расширение.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в конце февраля - начале марта 2021 г. Исходники опубликованы на GitHub два года назад. Кто-то воспользовался ими для создания программы-вымогателя. На момент написания статьи ничего не было известно о распространении. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 


Содержание записки о выкупе:
Your important files have been encrypted!
Most of your files are no longer accessible or usable due to them being encrypted. You are probably searching for a way to recover them, but do not waste your time. You can only recover your files with our decryption service.
To decrypt all of your files, you will have to pay for a password. Take note that every hour, a random amount of your files will be deleted, from random directories on your computer. If you value these files, pay the needed amount and decrypt these files.
Payments are accepted only in BTC to the address below (BTC Price: 300$). Beware, you only have some time left before all your files get deleted.
After the time goes out, this tool will proceed to destroy and corrupt all of the necessary files needed for the computer to run, hence bricking your computer and making it useless.
BTC Address: 
1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
[Encrypt] [Decrypt]

Перевод записки на русский язык:
Ваши важные файлы зашифрованы!
Многие ваши файлы теперь недоступны или непригодны, т.к. они зашифрованы. Вы, вероятно, хотите восстановить их, но не тратьте зря время. Вы можете вернуть свои файлы только с помощью нашей службы дешифрования.
Для расшифровки всех файлов вам придется заплатить за пароль. Заметьте, что каждый час случайное количество ваших файлов будет удаляться из случайных папок на вашем компьютере. Если ваши файлы важны, заплатите нужную сумму и расшифруйте эти файлы.
Платежи принимаются только в BTC на адрес, указанный ниже (BTC цена: 300$). Осторожно, у вас мало времени, прежде чем все ваши файлы будут удалены.
По истечении времени этот инструмент продолжит уничтожение и повреждение всех файлов, нужных для работы компьютера, тем самым блокируя ваш компьютер и делая его бесполезным.
Адрес BTC:
1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
[Encrypt] [Decrypt]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
TheWarehouse.exe - название вредоносного файла; 
TheWarehouse.pdb - оригинальное название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\gigaz\Downloads\TheWarehouse-master\TheWarehouse-master\TheWarehouse2\obj\Debug\TheWarehouse.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: github.com/TheSynt4x/TheWarehouse
Email: - 
BTC: 1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis: 3729FEA74EC3A3081A1EE7E92BA2BB64
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *