Gopher Ransomware
Bad-Gopher Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Bad-Gopher. На файле написано: restore your files.exe. Написан на языке Go.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33593, Trojan.Encoder.33610
BitDefender -> Trojan.GenericKD.45868804, Trojan.GenericKD.45882308
Avira (no cloud) -> TR/AD.RansomHeur.yqazp
ESET-NOD32 -> WinGo/Filecoder.H, A Variant Of Win64/Filecoder.BA
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor
Qihoo-360 -> Win32/Ransom.Generic.HgIASQcA
Rising -> Ransom.Agent!1.D392 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Delshad.Eerv
TrendMicro -> Ransom.Win32.BADGOPHER.THCAOBA
---
© Генеалогия: Bad-Gopher >> Gopher
К зашифрованным файлам добавляется расширение: .gopher
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: BAD_GOPHER.txt
Rising -> Ransom.Agent!1.D392 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Delshad.Eerv
TrendMicro -> Ransom.Win32.BADGOPHER.THCAOBA
---
© Генеалогия: Bad-Gopher >> Gopher
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .gopher
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: BAD_GOPHER.txt
В распространяемом варианте запиской с требованием выкупа также выступает изображение BAD_GOPHER.jpg с текстом, заменяющее обои Рабочего стола:
Содержание записки о выкупе:
Перевод записки на русский язык:
Your important files have been encrypted!
Most of your files are no longer accessible or usable due to them being encrypted
You can only recover your files with our decryption service.
To decrypt Your files send $ 400 usd in BITCOIN to
Address: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye
Visit hxxxs://buy.bitcoin.com/ Register Buy Bitcoins Send $400
After payment contact manager@outlookpro.net
for the decryption KEY before YOUR DATA IS LEAKED ONLINE,
FBI YOU WILL END UP IN JAIL
THE EALIER THE BETTER
YOU KNOW YOUR ACTIVITIES ARE PUNISHABLE BY LAW
Перевод записки на русский язык:
Ваши важные файлы зашифрованы!
Многие ваши файлы теперь недоступны или непригодны, т.к. зашифрованы.
Вы можете вернуть файлы только с нашей службой дешифрования.
Для расшифровки Ваших файлов пошлите $400 в биткойнах на
Адрес: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye
Посетите hxxxs://buy.bitcoin.com/ Register Buy Bitcoins Отправить $400
После оплаты пишите на manager@outlookpro.net
для КЛЮЧА дешифрования перед УТЕЧКОЙ ВАШИХ ДАННЫХ ОНЛАЙН,
ФБР, ВЫ ПОПАДЕТЕ В ТЮРЬМУ
ЧЕМ РАНЬШЕ, ТЕМ ЛУЧШЕ
ЗНАЙТЕ, ВАША ДЕЯТЕЛЬНОСТЬ НАКАЗУЕМА ПО ЗАКОНУ
Еще одно изображение, из кода исходника.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
restore your files.exe - название вредоносного файла;
bad_gopher.txt - название файла с требованием выкупа;
BAD_GOPHER.jpg, bad_gopher.jpg - изображение, заменяющее обои.
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
/home/onebuoy/Desktop/RANSOMEme/Bad-Gopher-master/main.go
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Исходники: hxxxs://github.com/andyjsmith/Bad-Gopher
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Исходники: hxxxs://github.com/andyjsmith/Bad-Gopher
Email: manager@outlookpro.net
BTC: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
BTC: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 11 марта 2021:
Расширение: .NASAcry
Записка: READ_TO_DECRYPT.html
Список зашифрованных файлов: FILES ENCRYPTED.html
Файл: ransomw.exe
Расположение файла: C:\Users\Admin\AppData\Local\Temp\ransomw.exe
Файл проекта: /home/onebuoy/Desktop/RANSOMEme/ransomware-master/ransomw.go
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33610
Avira (no cloud) -> TR/FileCoder.pudeg
BitDefender -> Trojan.GenericKD.45882308
ESET-NOD32 -> A Variant Of Win64/Filecoder.BA
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/Vigorf.A
Qihoo-360 -> Win32/Ransom.Generic.HgIASQkA
Rising -> Ransom.Agent!1.D392 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Dxwd
TrendMicro -> CallTROJ_GEN.R002H0DCB21
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as Gopher) Write-up, Topic of Support *
Thanks: S!Ri, Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.