Если вы не видите здесь изображений, то используйте VPN.

понедельник, 10 мая 2021 г.

Prometheus

Different Thanos-based Ransomware

Prometheus Ransomware

"GotAllDone" Ransomware

Prometheus NextGen Ransomware

Variants, variation, modification: Getin, CGP, Haron (Chaddad), Boooom, Spook, ltnuhr, Steriok, Unlock, ZZZZZZZZZZ, Matilan

Сборник разных вариантов за 2021 год

(шифровальщики-вымогатели) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью Salsa20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Prometheus. Название группировки вымогателей: 
Prometheus. На файле написано: file.exe или что-то другое. Другие варианты описаны после основной статьи. Некоторые из них могут иметь прямое родство с Prometheus, другие тоже основаны на исходниках Thanos. Мы не ставим перед собой задачи выявить все степени "родства" всех представленных здесь вариантов. 
Есть варианты, которые распространяются из Украины, поэтому киберполиция Украины и CERT-UA не могут об этом не знать. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31368
BitDefender -> Trojan.MSIL.Basic.6.Gen
ALYac -> Trojan.Ransom.Thanos
Avira (no cloud) -> TR/RansomX.cucnc
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Thanos.gen
Malwarebytes -> Ransom.Thanos
Microsoft -> Ransom:MSIL/Thanos.DC!MTB
Rising -> Ransom.Thanos!8.11C97 (CLOUD)
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom.MSIL.THANOS.SM
---

© Генеалогия: ✂️ REvil
✂️ Thanos >> Prometheus, Haron

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: .[XXX-XXX-XXXX]

Пример такого расширения: .[141-5D9-Y454]

В конце кода каждого зашифрованного файла есть слово GotAllDone.




Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


С июля 2021 года стал использоваться другой формат расширения — краткое название атакованной компании, учреждения, банка, финансовой группы и прочее.  Например: 
.getin.CGP.chaddad 

Сообщения о появлении этого крипто-вымогателя начали появляться в конце апреля - начале мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди пострадавших различные предприятия, работающие в различных сферах по всему миру. Например, это газовая компания Ghana National Gas, Центр передового опыта в области сердечно-сосудистой системы Талсы (Оклахома, США), отель Nyack (Нью-Йорк, США), предприятия во Франции, Норвегии, Швейцарии, Нидерландах, Бразилии, Малайзии и ОАЭ. 

Записки с требованием выкупа называются: 
RESTORE_FILES_INFO.txt
RESTORE_FILES_INFO.hta


Содержание 
txt-записки о выкупе:
YOUR COMPANY NETWORK HAS BEEN HACKED
All your important files have been encrypted!
Your files are safe! Only modified.(AES) 
No software available on internet can help you.
We are the only ones able to decrypt your files.
--------------------------------------------------------------------------------
We also gathered highly confidential/personal data. 
These data are currently stored on a private server. 
Files are also encrypted and stored securely.
--------------------------------------------------------------------------------
As a result of working with us, you will receive: 
Fully automatic decryptor, all your data will be recovered within a few hours after it's run. 
Server with your data will be immediately destroyed after your payment. 
Save time and continue working. 
You will can send us 2-3 non-important files and we will decrypt it
for free to prove we are able to give your files back.
--------------------------------------------------------------------------------
!!!!!!!!!!!!!!!!!!!!!!!!
If you decide not to work with us: 
All data on your computers will remain encrypted forever. 
YOUR DATA ON OUR SERVER AND WE WILL RELEASE YOUR DATA TO PUBLIC OR RE-SELLER!
So you can expect your data to be publicly available in the near future.. 
The price will increase over time. 
!!!!!!!!!!!!!!!!!!!!!!!!!
--------------------------------------------------------------------------------
It doesn't matter to us what you choose pay us or we will sell your data.
We only seek money and our goal is not to damage your reputation or prevent your business from running.
Write to us now and we will provide the best prices.
Instructions for contacting us:
_________________________________________________________________
You have two ways:
1) [Recommended] Using a TOR browser!
a. Download and install TOR browser from this site: https://torproject.org/
b. Open the Tor browser. Copy the link: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y*** and paste it in the Tor browser.
c. Start a chat and follow the further instructions.
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
a. Open your any browser (Chrome, Firefox, Opera, IE, Edge)
b. Open our secondary website: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***
c. Start a chat and follow the further instructions.
Warning: secondary website can be blocked, thats why first variant much better and more available.
_________________________________________________________________
Attention!
Any attempt to restore your files with third-party software will corrupt it.
Modify or rename files will result in a loose of data.
If you decide to try anyway, make copies before that
Key Identifier: 
WMl+7qUDjFv06R+4Mn7wwRJLGABA4jRM*** [всего 684 знака]

Перевод 
txt-записки на русский язык:
СЕТЬ ВАШЕЙ КОМПАНИИ ВЗЛОМАНА
Все ваши важные файлы зашифрованы!
Ваши файлы в безопасности! Только модифицированы. (AES)
Никакая программа, доступная в Интернете, не может вам помочь.
Мы единственные, кто может расшифровать ваши файлы.
-------------------------------------------------- ------------------------------
Мы также собрали конфиденциальные / личные данные.
Эти данные сейчас хранятся на частном сервере.
Файлы зашифрованы и надежно сохранены.
-------------------------------------------------- ------------------------------
В результате работы с нами вы получите:
Полностью автоматический дешифратор, все ваши данные восстановятся за нескольких часов после его установки.
Сервер с вашими данными будет немедленно уничтожен после вашей оплаты.
Экономьте время и продолжайте работать.
Вы можете прислать нам 2-3 неважных файла, и мы расшифруем их.
бесплатно, чтобы доказать, что мы можем вернуть ваши файлы.
-------------------------------------------------- ------------------------------
!!!!!!!!!!!!!!!!!!!!!!!!
Если вы решите не работать с нами:
Все данные на ваших компьютерах навсегда останутся зашифрованными.
ВАШИ ДАННЫЕ НА НАШЕМ СЕРВЕРЕ И МЫ ПЕРЕДАДИМ ВАШИ ДАННЫЕ ОБЩЕСТВУ ИЛИ ПЕРЕКУПЩИКУ!
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.
Цена со временем будет расти.
!!!!!!!!!!!!!!!!!!!!!!!!!
-------------------------------------------------- ------------------------------
Для нас не имеет значения, что вы выберете для оплаты, иначе мы продадим ваши данные.
Мы хотим только денег и наша цель - не навредить вашей репутации или не помешать работе вашего бизнеса.
Напишите нам сейчас и мы предоставим лучшие цены.
Как с нами связаться:
_________________________________________________________________
У вас есть два пути:
1) [Рекомендуется] Использование браузера TOR!
а. Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
б. Откройте браузер Tor. Скопируйте ссылку: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y*** и вставьте ее в браузер Tor.
c. Начните чат и следуйте дальнейшим инструкциям.
2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! Но вы можете использовать наш вторичный веб-сайт. Для этого:
а. Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge)
б. Откройте наш дополнительный веб-сайт: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***
c. Начните чат и следуйте дальнейшим инструкциям.
Предупреждение: вторичный сайт может быть заблокирован, поэтому первый вариант намного лучше и доступнее.
_________________________________________________________________
Внимание!
Любая попытка восстановить ваши файлы с помощью сторонних программ приведет к их повреждению.
Изменение или переименование файлов приведет к потере данных.
Если вы все же решите попробовать, сделайте копии перед этим
Ключ идентификатор: WMl+7qUDjFv06R + 4Mn7wwRJLGABA4jRM***



Содержание hta-записки о выкупе:
YOUR COMPANY NETWORK HAS BEEN HACKED
All your important files have been encrypted!
Your files are safe! Only modified.(AES) 
No software available on internet can help you.
We are the only ones able to decrypt your files.
--------------------------------------------------------------------------------
We also gathered highly confidential/personal data. 
These data are currently stored on a private server. 
Files are also encrypted and stored securely.
--------------------------------------------------------------------------------
As a result of working with us, you will receive: 
Fully automatic decryptor, all your data will be recovered within a few hours after it’s installation. 
Server with your data will be immediately destroyed after your payment. 
Save time and continue working. 
You will can send us 2-3 non-important files and we will decrypt it
for free to prove we are able to give your files back.
--------------------------------------------------------------------------------
If you decide not to work with us: 
All data on your computers will remain encrypted forever. 
YOUR DATA ON OUR SERVER AND WE WILL RELEASE YOUR DATA TO PUBLIC OR RE-SELLER! 
So you can expect your data to be publicly available in the near future.. 
The price will increase over time. 
--------------------------------------------------------------------------------
It doesn't matter to us what you choose pay us or we will sell your data. 
We only seek money and our goal is not to damage your reputation or prevent your business from running. 
Write to us now and we will provide the best prices.
Instructions for contacting us:
You have two ways:
1) [Recommended] Using a TOR browser!
a. Download and install TOR browser from this site: https://torproject.org/
b. Open the Tor browser. Copy the link: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y*** and paste it in the Tor browser.
c. Start a chat and follow the further instructions.
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
a. Open your any browser (Chrome, Firefox, Opera, IE, Edge)
b. Open our secondary website: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***
c. Start a chat and follow the further instructions.
Warning: secondary website can be blocked, thats why first variant much better and more available.
Attention!
Any attempt to restore your files with third-party software will corrupt it. 
Modify or rename files will result in a loose of data. 
If you decide to try anyway, make copies before that
Key Identifier: WMl+7qUDjFv06R+4Mn7wwRJLGABA4jRM*** [всего 684 знака]


Перевод 
hta-записки на русский язык:
СЕТЬ ВАШЕЙ КОМПАНИИ ВЗЛОМАНА
Все ваши важные файлы зашифрованы!
Ваши файлы в безопасности! Только модифицированы. (AES)
Никакая программа, доступная в Интернете, не сможет вам помочь.
Мы единственные, кто может расшифровать ваши файлы.
-------------------------------------------------- ------------------------------
Мы также собрали конфиденциальные / личные данные.
Эти данные сейчас хранятся на частном сервере.
Файлы зашифрованы и надежно сохранены.
-------------------------------------------------- ------------------------------
В результате работы с нами вы получите:
Полностью автоматический дешифратор, все ваши данные восстановятся за нескольких часов после его установки.
Сервер с вашими данными будет немедленно уничтожен после вашей оплаты.
Экономьте время и продолжайте работать.
Вы можете прислать нам 2-3 неважных файла и мы их расшифруем.
бесплатно, чтобы доказать, что мы можем вернуть ваши файлы.
-------------------------------------------------- ------------------------------
Если вы решите не работать с нами:
Все данные на ваших компьютерах навсегда останутся зашифрованными.
ВАШИ ДАННЫЕ НА НАШЕМ СЕРВЕРЕ И МЫ ПЕРЕДАДИМ ВАШИ ДАННЫЕ ОБЩЕСТВУ ИЛИ ПЕРЕКУПЩИКУ!
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.
Цена со временем будет расти.
-------------------------------------------------- ------------------------------
Для нас не имеет значения, что вы выберете для оплаты, иначе мы продадим ваши данные.
Мы хотим только денег и наша цель - не навредить вашей репутации или не помешать работе вашего бизнеса.
Напишите нам сейчас и мы предоставим лучшие цены.
Как с нами связаться:
У вас есть два пути:
1) [Рекомендуется] Использование браузера TOR!
а. Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
б. Откройте браузер Tor. Скопируйте ссылку: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y*** и вставьте ее в браузер Tor.
c. Начните чат и следуйте дальнейшим инструкциям.
2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! Но вы можете использовать наш вторичный веб-сайт. Для этого:
а. Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge)
б. Откройте наш дополнительный веб-сайт: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***
c. Начните чат и следуйте дальнейшим инструкциям.
Предупреждение: вторичный сайт может быть заблокирован, поэтому первый вариант намного лучше и доступнее.
Внимание!
Любая попытка восстановить ваши файлы с помощью сторонних программ приведет к их повреждению.
Изменение или переименование файлов приведет к потере данных.
Если вы все же решите попробовать, сделайте копии перед этим
Ключ идентификатор: WMl+7qUDjFv06R + 4Mn7wwRJLGABA4jRM***


Кроме того, используется всплывающее сообщение в системном трее, в котором отображается часть текста из записки.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск файла. 
➤ Отключает и удаляет из реестра настройки утилиты Raccine, которая не даёт шифровальщикам удалять теневые копии файлов. Использует список команд для принудительного завершения множества процессов, мещающих шифрованию файлов. 


Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .aes, .aiff, .asm, .avi, .backup, .bak, .bz2, .cat, .cert, .class, .cpp, .cpp, .cs, .csr, .csv, .dat, .db, .dbf, .dbx, .dim, .djvu, .doc, .docm, .docx, .dtsx, .dwg, .edb, .eml, .epf, .flac, .fp7, .gif, .gpg, .htm, .html, .hwp, .java, .java, .jpeg, .jpg, .key, .lay6, .ldf, .lgb, .log, .m4a, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mrimg, .msg, .myd, .nd, .ndf, .nef, .nsf, .odb, .odg, .ods, .odt, .ora, .ost, .p12, .pas, .pdf, .pem, .pfx, .php, .php, .png, .ppt, .pptx, .psd, .pst, .qbb, .qbw, .rar, .raw, .rdl, .rtf, .sdf, .sql, .sql, .sqlite3, .sqlitedb, .svg, .sxi, .sxw, .tar, .tiff, .tlg, .txt, .vdi, .vmdk, .vmx, .vsd, .wav, .xdw, .xls, .xlsm, .xlsx, .zip (109 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. В разных вариантах могут быть и другие. 

Файлы, связанные с этим Ransomware:
RESTORE_FILES_INFO.txt - название файла с требованием выкупа; 
RESTORE_FILES_INFO.hta - название файла с требованием выкупа; 

file.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y***
URL: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IATG, AR, VMR, JSB
MD5: e1f063d63a75e0e0e864052b1a50ab06


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Более ранняя история описана в статье Hakbit (Thanos) Ransomware

Prometheus Ransomware, собственно сам - примерно с мая 2021 и в течение года; описан в статье Prometheus.
Prometheus NextGen Ransomware - примерно с июня 2021; некоторые варианты не шифровали файлы, другие можно было расшифровать.
NextGen с другими названиями - примерно с июля 2021, и далее в 2022 году. 
Другие NextGen-варианты - примерно с сентября 2021. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 14 июня 2021: 
Вероятно новый вариант Prometheus Ransomware. 
Тема поддержки >>  Файлы были расшифрованы. 
Расширение (концевое): .getin
Полное расширение (пример): .[ID-7C4B3384].getin
Записка: RESTORE_FILES_INFO.txt
Email: Tiberiano@aol.com



Вариант от 16 июля 2021:
Расширение: .CGP
Записки: RESTORE_FILES_INFO.hta, RESTORE_FILES_INFO.txt



Email: yourdata@RecoveryGroup.at
URL: hxxxs://supportdatarecovery.cc/
URL для определения IP: hxxx://icanhazip.com/
Автозагрузка: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\reload1.lnk
Ключ реестра с именем файла: 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\cgpshare.exe
Файл: cgpshare.exe
Результаты анализов: 
IOC: VT, IA, HA
MD5: e8f8e4eb0d2c03f0b12fb1cf09932bbd 
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31368
ALYac -> Trojan.Ransom.Thanos
BitDefender -> Trojan.MSIL.Basic.6.Gen
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Thanos.gen
Malwarebytes -> Malware.AI.4023495991
Microsoft -> Ransom:MSIL/Thanos.DC!MTB
Symantec -> Trojan.Gen.MBT
TrendMicro -> Ransom.MSIL.THANOS.SM


Вариант от 17 июля 2021:  
Самоназвание на Tor-сайте: Haron Ransomware
Логин-пароль: Chaddadgroup 
Расширение: .chaddad
Записки: RESTORE_FILES_INFO.txt, RESTORE_FILES_INFO.hta



Tor-URL: hxxx://ft4zr2jzlqoyob7yg4fcpwyt37hox3ajajqnfkdvbfrkjioyunmqnpad.onion


При проверке файлы оказались не зашифрованными. Возможно, из-за вызванного BSoD и незавершенного шифрования. 
Достаточно убрать у файлов добавленное расширение. Вот два таких восстановленных файла (превью и целиком). 

 

Файл: chaddad.exe
Результаты анализов: 
IOC: VT, IA, AR
MD5: 731797d30d8ff6eaf901e788bd4e6048
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31368
BitDefender -> Trojan.MSIL.Basic.6.Gen
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Thanos.gen
Malwarebytes -> Malware.AI.4015843408
McAfee -> Ransom-Thanos!731797D30D8F
Microsoft -> Ransom:MSIL/Thanos.DC!MTB
Symantec -> Ransom.Thanos
TrendMicro -> Ransom.MSIL.THANOS.SM


Вариант от 28 июля 2021:
Записки: How_To_Recover_My_Files.hta, How_To_Recover_My_Files.txt
Записка подписана от имени REvil Group. 
Email: Jeremy.albright@criptext.com


Файл: Garb1.exe
Результаты анализов: 
IOC: VT, IA
MD5: da79764c812c81317354434785b1f2d6


Сообщение от 1 августа 2021:
CyCraft выпустила утилиту для расшифровки некоторых файлов после Prometheus. 


Вариант от 1 сентября 2021:
Расширение: .[ID-********].[monster666@tuta.io].boooom
Записка: decrypt_info.txt
Email: monster666@tuta.io
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.29
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A



Вариант от 29 сентября 2021:
Расширение: .PUUEQS8AEJ
Перед текстом картинка со словом Spook.
Самоназвание, предположительно: Spook Ransomware.
Записки: RESTORE_FILES_INFO.hta, RESTORE_FILES_INFO.txt



Автозагрузка: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\reload1.lnk
Результаты анализов: 
IOC: VT, IA
MD5: 537a415bcc0f3396f5f37cb3c1831f87


➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.29
BitDefender -> Trojan.MSIL.Basic.6.Gen
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A
Kaspersky -> UDS:Trojan-Ransom.MSIL.Thanos.gen
Microsoft -> Ransom:MSIL/Thanos.DC!MTB
TrendMicro -> Ransom.MSIL.THANOS.SM
---
Дополнительные образцы:
VT: MD5: 537a415bcc0f3396f5f37cb3c1831f87
VT: MD5: 1c7b91546706f854891076c3c3c964c0
VT: MD5: 20ab243fee91b6c8df23e1ddefff2727

Вариант от 14 октября 2021: 
Расширение: .ltnuhr
Записка: RESTORE_FILES_INFO.txt
Email: recoveryfiles@techmail.info


Файл: Worker-0.exe
Результаты анализов: 
IOC: VT, IA, TG
MD5: 498cb084983cd8626ff077110d2549ca
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.29
BitDefender -> Trojan.Generic.30333220
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A
Malwarebytes -> Malware.AI.3844476070
Microsoft -> Ransom:MSIL/Thanos.PA!MTB
Rising -> Trojan.AntiVM!1.CF63 (CLASSIC)
Tencent -> Win32.Trojan.Generic.Pegi
TrendMicro -> Ransom.MSIL.THANOS.SM


Вариант от 19 октября 2021: 
Расширение: .steriok 
Записка: RESTORE_FILES_INFO.txt
Email: steriok@mail2tor.com,  proper12132@tutanota.com 
Результаты анализов: VT + IA - идентифицирован как Prometheus
➤ Содержание записки: 
all your important files are encrypted!
Any attempts to restore your files with the thrid-party software will be fatal for your files!
RESTORE YOU DATA POSIBLE ONLY BUYING private key from us.
There is only one way to get your files back:   
WARNING: 1) install the tor browser (hxxxs://www.torproject.org/download)
Сreate new email on servis hxxx://mail2tor2zyjdctd.onion for contact !
write me on   steriok@mail2tor.com or  proper12132@tutanota.com 
Send me your ID in the email 
Key Identifier: ***
---
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31368
BitDefender -> Trojan.MSIL.Basic.3.Gen
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A
Malwarebytes -> Ransom.FileLocker
Microsoft -> Ransom:MSIL/Thanos.DC!MTB
Symantec -> Ransom.Thanos
TrendMicro -> Ransom.MSIL.THANOS.SM


Вариант без указания даты появления: 
Расширение: .[ID-<PC-ID>].unlock
Записка: UNLOCK_FILES_INFO.txt
Email: helpunlock@aol.com
Этот вариант может быть расшифрован. 




Вариант от 6-7- апреля 2022:
Распространяется из Украины или кем-то сопричастным. 
Расширение: .ZZZZZZZZZZ
В конце кода каждого зашифрованного файла тоже есть слово GotAllDone.
Записка: Здравствуй Русский Мир.txt
Email: putinubiyca@privyonline.com


➤ Содержание записки: 
Добрый день, дамы и господа.
с 24 февраля 2022 года, правила игры в Internet меняются. 
Если раньше Вы платили за расшифровку компьютера к примеру $1.000 и вам давалось на это 3 дня, то сейчас будет даваться те-же 3 дня, но платить вы 
будете $5.000 (цены для всех индивидуальны)
Если раньше мы не проводили поиск компромата и внутренних баз, то сейчас этому уделяется отдельное внимание. 
Если хоть на ё компьютере есть приватные данные, фото, видео, домашнее видео чье-то, с женой, любовницей, козой, то они попадают в паблик, при 
неоплате. 
Любые базы, которые мы видим имеют коммерческий или приватный интерес будут выставлены на аукцион среди ваших конкурентов, врагов и просто 
бездельников, которые найдут им точное применение.
Ваши переписки, почтой, телефоном, месенжерами точно также попадут "куда надо", в случае неоплаты указанной суммы. (уточняйте по email)
Причина ужесточения - потому что вы ничего не сделали, чтобы остановить войну.
Связаться с нами вы можете написав нам на email.
email - putinubiyca@privyonline.com
P.S
Вы можете привлечь 100 человек и провести акцию для остановки войны, тогда вам прощается оплата. и расшифровываются данные бесплатно. 
Но для этого нужно прислать видеоподтверждение.
P.S.S
hxxxs://www.youtube.com/watch?v=z30_xW*****


Вариант от 7 апреля 2022: 
Расширение: .MATILAN
Записка: RESTORE_FILES_INFO.txt
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.29
BitDefender -> Trojan.MSIL.Basic.6.Gen
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A
Microsoft -> Ransom:MSIL/Thanos.MK!MTB
Rising -> Ransom.Thanos!1.D81A (CLASSIC)
TrendMicro -> Ransom.MSIL.THANOS.SM


Вариант от 16 апреля 2022: 
Расширение: .ZORN
Записка: RESTORE_FILES_INFO.txt
Результаты анализов: VT 


Вариант от 22 апреля 2022:
Расширение: .PARKER
Записка: RESTORE_FILES_INFO.txt
Результаты анализов: VT 

Вариант от 26 апреля 2022: 
Расширение: .axxes
Записки: RESTORE_FILES_INFO.hta, RESTORE_FILES_INFO.txt
Результаты анализов: VT

Вариант от 28 апреля 2022:
Расширение: .private
В конце кода каждого зашифрованного файла тоже есть слово GotAllDone.
Записка: Инструкция.txt
Email: secure811@msgsafe.io




Вариант от 20 мая 2022: 
Расширение: .trins 
Записка: RECOVERY.txt
Файл: Trins.exe
Результаты анализа: VT + TG + IA



Вариант от 21 июня 2022: 
Расширение: .cmblabs
Записка: DECRYPT_INFO.hta
Файл: db.exe
Результаты анализа: VT + IA
Обнаружения: 
DrWeb -> Trojan.EncoderNET.29
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A
TrendMicro -> Ransom.MSIL.THANOS.SM



Вариант от 21 июня 2022:
Расширение: .harditem 
Записка: RESTORE_FILES_INFO.txt
Результаты анализа: VT + IA


Вариант от 21 июня 2022: 
Расширение: .pex8tm
Записка: RESTORE_FILES_INFO.txt
Email: assistant@techmail.info






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message + myMessage
 ID Ransomware (ID as Prometheus)
 Write-up, Topic of Support
 Added later: Write-up, Write-up  
Внимание!
В некоторых случаях файлы можно дешифровать!
Обращайтесь по этой ссылке к Michael Gillespie >> 
---
Компания Avast тоже сделала дешифровщик. 
Скачайте дешифровщик по ссылке в статье >>
 Thanks: 
 MalwareHunterTeam, dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 Sandor
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 8 мая 2021 г.

Trinage Complex

Trinage Ransomware

Trinage Complex Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: Trinage Complex

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Сообщение о публикации этого крипто-вымогателя пришлось на начало мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа не предоставлена. 



Технические детали

Распространяется на форумах киберандеграунда (xss, exploit) как новая программа-вымогатель. Заперщена работа на территории СНГ, включая Грузию и Украину. 

Скришоты с форума. 





После покупки партнерами может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Jabber: amba@thesecure.biz, amba@exploit.im
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 3xp0rt, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 6 мая 2021 г.

GoNNaCry

GoNNaCry Ransomware

GoNNaCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GoNNaCrypt, GoNNaCry. На файле написано: Compil by raminhk.exe, Compile.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33919
BitDefender -> Trojan.GenericKD.46257532, Generic.Ransom.MBRLocker.2.4422FE5B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1140704, TR/Redcap.cgzjs
ESET-NOD32 -> A Variant Of Win64/Packed.VMProtect.LE, A Variant Of WinGo/Filecoder.L
Malwarebytes -> Ransom.GoNNaCry
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Trojan.DelShad!8.107D7 (CLOUD), Ransom.GoNNaCry!8.10DB7 (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002C0WEA21, Ransom_GoNNaCry.R002C0DEA21
---

© Генеалогия: ??? >> GoNNaCry

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .GoNNaCry


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: GoNNaCry.html


Содержание записки о выкупе:

Ooops ! All your important files are encrypted.
What happened to my computer ?
Many of your documents, photos, videos, database and all other files are no longer accessible
because they have been encrypted by strong encryption algorithm.
Maybe you're busy looking for a way to recover your files but, do not waste your time, no one can't recover your files without our decryption service.
Can i recover my files ?
Sure! we guarantee you can recover all your files safe and easily but, your time is running out.
Payment is accepted in bitcoin only for more information please visit https://en.wikipedia.org/wiki/Bitcoin
If you don't know where to buy bitcoin please visit https://en.wikipedia.org/wiki/Bitcoin
Even if you need more help feel free to contact us.
Before and after the payment ?
First, Make sure to buy $400 amount of bitcoin and then you have to send it to following Wallet Address:
bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q
After payment you have to contact us by following email address: GoNNaCrypt@protonmail.com
Your Public key: 47f057e3e88a928d1df06c44066ed996
Public key is required to identify your computer details.
Send a message contain your transaction link and the public key and wait for our response.
Notice:
After 48 hours of displaying this message, the price will be raised (doubled).
The next 48 hours you will lost all your files !
Do not shutdown or restart your system, until you didn't make the payment.
For proof of work you can send 2 files equal or less than 2 MB for us to recover and send back to you.
Some of your computer features is unavailable right now, don't try to use them =)
A regular bitcoin transaction can take a several hour for confirmation.
For more information and contact us feel free to send an email. GoNNaCrypt@protonmail.com
There is unequal amount of good and bad in most things, the trick is to figure out the ratio and act accordingly.
Best regards - #GoNNaCry

Перевод записки на русский язык:
Упс! Все ваши важные файлы зашифрованы.
Что случилось с моим компьютером?
Многие из ваших документов, фото, видео, базы данных и всех других файлов теперь не доступны потому что они зашифрованы надежным алгоритмом шифрования.
Возможно, вы ищете способ восстановить свои файлы, но не тратьте время зря, никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Могу ли я восстановить свои файлы?
Конечно! мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы, но ваше время на исходе.
Оплата принимается только в биткойнах, для получения информации посетите https://en.wikipedia.org/wiki/Bitcoin.
Если вы не знаете, где купить биткойн, посетите https://en.wikipedia.org/wiki/Bitcoin.
Даже если вам понадобится помощь, не стесняйтесь обращаться к нам.
До и после оплаты?
Во-первых, убедитесь, что вы купили биткойн на сумму $400, а затем отправьте его на следующий адрес кошелька:
bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q
После оплаты вам надо связаться с нами по следующему email: GoNNaCrypt@protonmail.com
Ваш открытый ключ: 47f057e3e88a928d1df06c44066ed996
Открытый ключ нужен для идентификации данных вашего компьютера.
Отправьте сообщение, содержащее ссылку на транзакцию и открытый ключ, и ждите нашего ответа.
Уведомление:
После 48 часов отображения этого сообщения цена будет повышена (удвоена).
В следующие 48 часов вы потеряете все свои файлы!
Не выключайте и не перезапускайте систему, пока не произведете оплату.
Для подтверждения работы вы можете отправить 2 файла размером не более 2 МБ, чтобы мы восстановили их и отправили вам.
Некоторые функции вашего компьютера сейчас недоступны, не пытайтесь ими пользоваться =)
Для подтверждения обычной биткойн-транзакции может потребоваться несколько часов.
Для получения информации и свяжитесь с нами, отправьте email. GoNNaCrypt@protonmail.com
Обычно добра и зла неравное количество, уловка состоит в том, чтобы вычислить соотношение и действовать соответственно.
С уважением - #GoNNaCry



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GoNNaCry.html - название файла с требованием выкупа; 
Compil by raminhk.exe, Compile.exe, WindowsSecurityUpdate.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility32\Compil by raminhk
См. ниже результаты анализов. 

Мьютексы:
См. ниже результаты анализов. 

Сетевые подключения и связи:
Email: GoNNaCrypt@protonmail.com
BTC: bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: TG + TG + TG + TG
IOC: VT + VT + VT + VT
IOC: IA  + IA
MD5: 4ce7c1e483beb642f43715a47b96e32b
MD5: cae9a30235cd1be5aba8f2969ad82573
MD5: fb9eb8850ee963bc69583f0227803aef
MD5: 0063315a032fd1d3728c2f6e726a30d0


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 Intezer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 5 мая 2021 г.

Disco

Disco Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает видд, что шифрует данные пользователей, а затем требует выкуп в денежной сумме с подарочных карт Discord Nitro. Оригинальное название: в записке не указано. Использует Discord для вымогательства. На файле написано: DiscoRansomware.exe. Выдает себя за Discord Nitro Generator.  
---
Обнаружения:
DrWeb -> Trojan.Encoder.33916
BitDefender -> Gen:Heur.Ransom.MSIL.1, Trojan.GenericKD.36899063
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.csjvw
ESET-NOD32 -> MSIL/Filecoder.AIB
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DV!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Agent.Ljjp
TrendMicro -> Trojan.MSIL.ZYX.USMANE521, Trojan.MSIL.DISCO.THEADBA
---

© Генеалогия: Nitro 
Ransomware >> Disco Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random> или 
.<name_PC>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает затемнённый экран блокировки: 



Содержание записки о выкупе:
Dear ***
All of your important documents, desktop, images & videos have been locked and encrypted. There is no other way to open it unless you have trhe decryption key. You have under 5 hours to give us Discord Nitro. If you fail to do so, all of your data will get lost forever.
How do I get the decryptoin key? But a Discord Nitro gift subscription and paste the gift link in the text box. After sumitting a vaild gift link, you should be able to see the decryption key. Copy the decryption key and click on decrpypt files. When decrypting, makesure Windows Defender / any anti-virus is off. If you don't turn it off, not all files will be able to decrypt correctly. Do not rename the files or try guessing the decryption key. If you do so your files may get corrupted.

Перевод записки на русский язык:
Дорогой ***
Все ваши важные документы, рабочий стол, изображения и видео заблокированы и зашифрованы. Нет другого способа открыть его, если у вас нет ключа дешифрования. У вас есть меньше 5 часов, чтобы передать нам Discord Nitro. Если вы этого не сделаете, все ваши данные будут потеряны навсегда.
Как мне получить ключ дешифрования? С подписки Discord Nitro вставьте ссылку в текстовое поле. После отправки действующей подарочной ссылки вы должны увидеть ключ дешифрования. Скопируйте ключ дешифрования и щелкните файлы. При расшифровке убедитесь, что Защитник Windows / любой антивирус выключен. Если вы не отключите его, не все файлы правильно расшифруются. Не переименовывайте файлы и не пытайтесь угадать ключ дешифрования. Иначе ваши файлы могут быть повреждены.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
DiscoRansomware.exe - название вредоносного файла;
DiscoRansomware.pdb - название файла проекта.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\source\repos\DiscoRansomware\DiscoRansomware\obj\Debug\DiscoRansomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IATG, AR, VMR, JSB
MD5: a41528ac976373f58a96f3185c48ce61


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 25 мая 2021:
Файл проекта: C:\Users\User\source\repos\DiscoRansomware\DiscoRansomware\obj\Debug\Release.pdb
IOC: VT + IA: 0f2f3aa144c479200a65620100598829
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33916
BitDefenderGeneric.Malware.SDB.FAAD66A8
ESET-NOD32A Variant Of MSIL/Filecoder.AID
MicrosoftRansom:MSIL/Cryptolocker.DV!MTB
RisingRansom.Cryptolocker!8.4617 (CLOUD)
SymantecML.Attribute.HighConfidence
TrendMicroPossible_SMHPCRYPTOLOCKER





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, GrujaRS, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 2 мая 2021 г.

Homemade, Henry217

Homemade Ransomware

Aliases: Henry217, LGoGo

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем сообщает пароль 12345678, чтобы пострадавший мог расшифровать файлы. На файле написано: 自制勒索V2.0.exe. Оригинальное название: в записке не указано. В переводе слова 
自制勒索 на ангийский: Homemade ("самодельный"). 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33891, Trojan.Encoder.34019
BitDefender -> Trojan.GenericKD.46231706
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.qhspp
ESET-NOD32 -> MSIL/Filecoder.AIE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DS!MTB
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom_Cryptolocker.R06EC0DE621
---

© Генеалогия: предыдущие варианты >> Homemade, Henry217

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .henry217


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2021 г. Ориентирован на китайскоязычных пользователей, может распространяться по всему миру. 

Запиской с требованием выкупа выступает экран блокировки: 



Содержание записки о выкупе:
勒索信
你好。你的所有文件都完蛋了。
加密密码:“12345678”

Перевод записки на английский язык:
Blackmail letter
Hello there. All your files are dead.
Encryption password: "12345678"

Перевод записки на русский язык:
Письмо с шантажом
Привет. Все твои файлы мертвы.
Пароль шифрования: "12345678"


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
自制勒索V2.0.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 944e9ab9ed997f96a302cba5527dce55


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 17 июня 2021:
Расширение: .hen_ry_217
Файл: SysdiagRelease.exe
Результаты анализов: IOC: VT, AR,  IA
MD5: 33b9a63922a14410d8333b2f29624f73
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34048
BitDefender -> Trojan.GenericKD.37118489
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJC
Malwarebytes -> Malware.AI.996170931
TrendMicro -> Ransom_HencryCrypt.R002C0DFK21


Вариант от 24 июня 2021: 
Расширение: .uz
Файл: VID-20140907-WA0001.mp4.exe
Результаты анализов: VT + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34077
ESET-NOD32Win32/Filecoder.OHP





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Michael Gillespie >>
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *