Если вы не видите здесь изображений, то используйте VPN.

пятница, 16 апреля 2021 г.

Nitro

Nitro Ransomware

GiveMeNitro Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в денежной сумме с подарочных карт Discord Nitro. Оригинальное название: Nitro Ransomware. Использует Discord для вымогательства. На файле написано: NitroRansomware.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33865
BitDefender -> Gen:Heur.Ransom.MSIL.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.jwrcw
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AHT
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DL!MTB
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom.MSIL.NITRO.A
---

© Генеалогия: ??? >> Nitro

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .givemenitro


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в середине апреля 2021 г.  Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает следующий экран блокировки: 


Содержание записки о выкупе:
Oh no! Your files have been encrypted.
Info
All of your important documents have been locked and have
been AES encrypted. There is no other way to open it unless you have the decryption key. You have under 3 hours to give us Discord nitro. If you fail to do so, all files will be lost forever.
How do I get the decryption key?
Buy a Discord nitro gift subscription and paste the gift link in the text box. After submitting a valid gift link, you should be able to see the decryption key. Copy the decryption key and click on decrypt files. When decrypting, make sure Windows defender/ any antivirus is off. If you don't turn it off, not all files will be able to decrypt correctly.
Do not rename the files or try guessing the decryption key. If you do so, your files may get corrupted.

Перевод записки на русский язык:
О нет! Ваши файлы зашифрованы.
Инфо
Все ваши важные документы блокированы и зашифрованы AES. Нет другого способа открыть его, если у вас нет ключа дешифрования. У вас меньше 3 часов, чтобы передать нам Discord nitro. Если вы этого не сделаете, все файлы будут потеряны навсегда.
Как получить ключ дешифрования?
Купите подарочную подписку Discord nitro и введите подарочную ссылку в текстовое поле. После отправки валидной подарочной ссылки вы должны увидеть ключ дешифрования. Скопируйте ключ дешифрования и нажмите "Расшифровать файлы". При расшифровке убедитесь, что защитник Windows / любой антивирус выключен. Если вы не отключите его, не все файлы смогут правильно расшифроваться.
Не переименовывайте файлы и не пытайтесь угадать ключ дешифрования. Иначе ваши файлы могут повредиться. 
---

Кроме того, вымогатели заменяют на ПК обои Рабочего стола следующим изображением: 

Кроме того, как аватар используется онлайн-изображение с чёрным  логотипом Discord на красном фоне. 


Таймер, который стоит на экране программы-вымогателя, видимо стоит для того, чтобы запугать жертву и заставить скорее заплатить выкуп. По истечении времени файлы не удаляются. Подтверждено опутным путем. 
Когда пользователь вводит URL-адрес подарочного кода discord.com/***, программа-вымогатель проверяет его, используя URL-адрес Discord API. Если введена валидная ссылка на подарочный код, программа-вымогатель расшифрует файлы с помощью встроенного статического ключа дешифрования. 


Поскольку ключи дешифрования статичны и содержатся в исполняемом файле программы-вымогателя, можно расшифровать файлы, не платя выкуп в виде подарочного кода Discord Nitro.

Что такое Discord Nitro? 
Чтобы не делать бесплатную рекламу платным функциям, просто посмотрите на скриншот. Рекламодатели читайте здесь >>



С помощью этой программы злоумышленники пытаются украсть информацию из браузеров и токены Discord. Токены Discord - это ключи аутентификации, привязанные к конкретному пользователю, которые в случае кражи позволяют злоумышленнику войти в систему как сам скомпрометированный пользователь. 
Когда Nitro Ransomware запускается, оно будет искать путь установки Discord жертвы, а затем извлекать токены пользователей из файлов *.ldb, расположенных в папке Local Storage \ leveldb. Затем эти токены переправляются злоумышленнику через веб-перехватчик Discord. 


Nitro Ransomware также содержит возможности бэкдора, которые позволяют злоумышленнику удаленно выполнять команды, а затем отправлять выходные данные через свой веб-перехватчик на канал Discord злоумышленника.


Пострадавшим рекомендуется проверить ПК на наличие другого вредоносного ПК и сменить пароль от учетной записи Discord на более сложный. 


Технические детали

Распространяется как поддельный инструмент, заявляющий, что может генерировать бесплатные подарочные коды Nitro. 

После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
NitroRansomware.pdb - название файла проекта; 
NitroRansomware.exe - название вредоносного файла; 
<random>.exe - случайное название вредоносного файла; 
NR_decrypt.txt - файл с кодом для расшифровки. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\coazy\Desktop\Source Codes\Nitro-Ransomware-master\NitroRansomware\obj\Debug\NitroRansomware.pdb





Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL Discord Nitro: hxxxs://discord.com/nitro
URL изображения: hxxxs://i.ibb.co/0frTD92/discord-avatar-512.png
URL для определения IP-адреса: hxxxs://api.ipify.org/
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 августа 2021:
Ключ дешифрования: forzanapolisemprenelcuore
Результаты анализов: VT + IA



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + Message
 ID Ransomware (ID as Nitro)
 Write-up, Topic of Support
 ***
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (article author)
 Petrovic
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Combo13

Combo13 Ransomware

Combo13 Wiper Ransomware


(шифровальщик-вымогатель, деструктор, стиратель) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. На самом деле файлы перезаписываются случайными символами. Оригинальное название: в записке не указано. На файле написано: IS_room_start.exe. Уплата выкупа бесполезна! 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33875
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> MSIL/Filecoder.AHV
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:Win32/Higuniel.A
Rising -> Malware.Undefined!8.C (CLOUD)
Qihoo-360 -> Win32/Trojan.Generic.HgIASS4A
Symantec -> Trojan.Gen.MBT
Tencent -> Msil.Trojan.Agent.Efbo
TrendMicro -> TROJ_GEN.R002H09DG21
---

© Генеалогия: ✂️ HiddenTear >> Combo13


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .combo13

Фактически используется составное расширение: .id-1E192D2A.[xmmh@tutanota.com].combo13

Используется формат расширения из Dharma Ransomware, вероятно для прикрытия, чтобы обмануть пострадавших. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: FILES ENCRYPTED.TXT



Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supportdata@cock.li
Write this ID in the title of your message 1E192***
In case of no answer in 24 hours write us to theese e-mails:xmmh@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
How Can I Buy Bitcoin?
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы зашифрованы! 
Все ваши файлы зашифрованы из-за проблемы с безопасностью вашего ПК. Если вы хотите их вернуть, пишите нам на почту supportdata@cock.li 
Напишите этот ID в теме сообщения 1E192***
В случае отсутствия ответа за 24 часа пишите нам на эти email-адреса:xmmh@tutanota.com 
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы напишите нам. После оплаты мы вышлем вам расшифровщик, который расшифрует все ваши файлы. 
Бесплатная расшифровка как гарантия 
Перед оплатой вы можете прислать нам 1 файл для бесплатной  расшифровки. Общий размер файлов не более 1 Мб (без архива), и в файлах не должно быть ценной информации. (базы данных, бэкапы, большие таблицы excel и т.д.) 
Как получить биткойны 
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Купить биткойны' и выбрать продавца по способу оплаты и цене. 
https://localbitcoins.com/buy_bitcoins 
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь: 
Как я могу купить биткойн? 
Внимание! 
Не переименовывайте зашифрованные файлы. 
Не пробуйте расшифровать ваши данные сторонними программами, это может повредить данные. 
Расшифровка ваших файлов с помощью третьих лиц выйдет дороже (они прибавят свой гонорар к нашему) или вы станете жертвой мошенников. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FILES ENCRYPTED.TXT - название файла с требованием выкупа; 
FILES ENCRYPTED.bat - командный файл для запуска вредоноса; 
IS_room_start.exe - название вредоносного файла.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xmmh@tutanota.com, supportdata@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Combo13 Wiper)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie  
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 15 апреля 2021 г.

Maui

Maui Ransomware

MauiCrypt Ransomware

Maui Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель развертывается 
вручную в скомпрометированных сетях жертв, а удаленные операторы нацелены на определенные файлы, которые они хотят зашифровать. Файлы шифруются с помощью алгоритма AES (режим CBC). Для защиты ключа используется RSA-1024. Оригинальное название: Maui. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.35555
BitDefender -> Trojan.GenericKD.50592086, Gen:Variant.Zusy.422033
ESET-NOD32 -> A Variant Of Win32/Filecoder.OLU
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen
Malwarebytes -> Ransom.Maui, Ransom.FileCryptor
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan.Gen.2, Trojan Horse
Tencent -> Win32.Trojan.Filecoder.Oyom, Win32.Trojan.Filecoder.Hssk
TrendMicro -> Ransom.Win32.MAUICRYPT.YACC5, Ransom.Win32.MAUICRYPT.SMYACC5



© Генеалогия: ??? >> Maui 


Сайт "ID Ransomware" это идентифицирует как Maui


Информация для идентификации

Первый образец этого крипто-вымогателя был найден в конце мая 2021 г., хотя он и другие были созданы 15 апреля 2021. Ориентирован на  англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам никакое расширение не добавляется. 

Добавляет в начало зашифрованных файлов маркер "TPRC" + исходный размер файла (выделенная область на скриншоте). Кроме того сохраняет исходное имя файла и папки в очень странном формате. 



В основном все атаки направлены на Healthcare and Public Health (HPH) - организации здравоохранения в США. ФБР считает, что это хакеры из Северной Кореи проводили шифрование серверов, отвечающих за медицинские услуги, включая службы электронных медицинских карт, службы диагностики, службы визуализации и службы интрасети. 

Записка с требованием выкупа не используется или по каким-то причинам не оставляется

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробности о шифровании:
Файлы шифруются с помощью AES в режиме CBC с использованием 32-байтового ключа, генерируемого для каждого файла. Ключи имеют префикс в виде жестко закодированной строки dogd, за которой следуют 28 байт, сгенерированных с помощью RAND_bytes().3 
Каждый файл, зашифрованный Maui, содержит пользовательский заголовок, позволяющий 
вредоносной программе идентифицировать зашифрованные файлы. Этот заголовок включает исходный путь к файлу и копию AES-ключа, зашифрованную с помощью открытого ключа RSA). 
Из малого числа образцов неясно, является ли этот жестко закодированный открытый ключ уникальным для кампаний, целевых сетей или отдельных операторов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые файлы:
.bat, .cmd, .com, .exe

Файлы, связанные с этим Ransomware:
Maui.exe - название вредоносного файла;
aui.exe - название вредоносного файла;
proc.exe - название вредоносного файла;
maui.evd - закрытый RSA-ключ, генерируемый во время выполнения, зашифрованный с помощью жестко заданного открытого ключа; 
maui.key - открытый RSA-ключ, генерируемый во время выполнения, кодируется с помощью XOR-ключа, сгенерированного на основе информации с жесткого диска; 
maui.log - файл журнала с результатами выполнения; 
dgod.bat, demigod.key - специальный файлы. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 4118d9adce7350c3eedeb056a3335346
SHA-1: c0e6d59e99e4adb58a2f57abf0deba61dee55c2f
SHA-256: 5b7ecf7e9d0715f1122baf4ce745c5fcd769dee48150616753fec4d6da16e99e
Vhash: 075056655d55555038z6enz3fz
Imphash: b7270585cf85c21db1df48e009263fb6
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 2d02f5499d35a8dffb4c8bc0b7fec5c2
SHA-1: 870ccd59ad2d3808c014c7c1dcc8a54de375db0c
SHA-256: 830207029d83fd46a4a89cd623103ba2321b866428aa04360376e6a390063570
Vhash: 075056655d55555038z6enz3fz
Imphash: b7270585cf85c21db1df48e009263fb6
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 9b0e7c460a80f740d455a7521f0eada1
SHA-1: 271b90824c7bb1de98c7fa9dae6dcd59d8a0bd64
SHA-256: 45d8ac1ac692d6bb0fe776620371fca02b60cac8db23c4cc7ab5df262da42b78
Vhash: 075056655d55555038z6enz3fz
Imphash: b7270585cf85c21db1df48e009263fb6

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
Added later: Write-up + Write-up (on July 6, 2022)
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Delta, AsupQue

Delta Ransomware

AsupQue Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать вымогателям, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Delta (AsupQue)

Delta Ransomware
Изображение — логотип статьи

К зашифрованным файлам добавляется 
составное расширение, состоящее из двух частей: .[Delta]<ID>

Пример такого расширения: .[Delta]t5CkbooR


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: info.hta

Delta Ransomware

Содержание записки о выкупе:
All your data is encrypted
To unlock all data, send messages to the specified email addresses:
AsupQue@protonmail.com
AsupQue@tutanota.com
Write your personal ID in the subjeckt line: t5CkbooR
Attach 1-5 encrypted files with a total size of no more than 5 megabytes. Follow the instructions you received.
Do not rename and edit encrypted files.
Do not try to recover data yourself.
Do not trust those who promise to recover your data without our help. Only we can do this.
If you do not follow these guidelines, you risk losing all data permanently.
Hurry up, time is limited!
1d 7h 55m 57s

Перевод записки на русский язык:
Все ваши данные зашифрованы
Для разблокировки всех данных, пришлите сообщения на email-адреса:
AsupQue@protonmail.com
AsupQue@tutanota.com
В теме письма укажите свой личный ID: t5CkbooR
Приложите 1-5 зашифрованных файлов общим размером не более 5 мегабайт. Следуйте полученным инструкциям.
Не переименовывайте и не редактируйте зашифрованные файлы.
Не пытайтесь сами восстановить данные.
Не верьте тем, кто обещает восстановить ваши данные без нашей помощи. Только мы можем это сделать.
Если вы не выполните эти правила, то можете навсегда потерять все данные.
Торопитесь, времени мало!
1д 7ч 55м 57с


Злоумышленники-вымогатели не указали название своей программы. Его нет даже в коде записки. 

Фоновое изображение NG82fm.jpg подгружается в записку онлайн. 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
info.hta - название файла с требованием выкупа;
NG82fm.jpg - подружаемый онлайн фон записки о выкупе; 
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL фоновой картинки: hxxxs://img.wallpapersafari.com/desktop/1920/1080/31/67/NG82fm.jpg
Email: AsupQue@protonmail.com, AsupQue@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  7B9C52A4BADE8FEA2AEC7F70347F1A2F
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ДЕШИФРОВЩИК === DECRYPTOR ===


Скриншот оригинального дешифровщика. 


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as Delta)
 Write-up, Topic of Support
 * 
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>
 Thanks: 
 Michael Gillespie, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *