GoodMorning

GoodMorning Ransomware

GoodMorning NextGen 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и серверов с помощью AES+RSA, а затем требует написать на email вымогателей,  предлагая 3 адреса для связи, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: new.exe. Язык программирования: Python. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34136 / Python.Packed.15
ALYac -> Trojan.Ransom.Filecoder
BitDefender -> Trojan.Ransom.GoodMorning.B
ESET-NOD32 -> Python/Filecoder.JJ
Kaspersky -> Trojan.Win32.DelShad.gjl / Trojan.Win32.DelShad.gow
Malwarebytes -> ***
Microsoft -> Ransom:Win32/Blocker / Program:Win32/Wacapew.C!ml
Symantec -> Downloader / Trojan.Gen.2
TrendMicro -> Ransom_Blocker.R002C0DG921
---

© Генеалогия: SD Ransomware ? >> GoodMorning

Сайт "ID Ransomware" GoodMorning отдельно не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине - конце июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть сообщения от пострадавших из Великобритании, Австралии, Украины и России. 

К зашифрованным файлам добавляется расширение: .GoodMorning

Фактически используется составное расширение по шаблону: .Id(XXXXXXXXX) Send Email(<email>).GoodMorning

Пример названия зашифрованного файла: Scan_123.jpg.Id(135B083BC) Send Email(troublemaker113@mailfence.com).GoodMorning

Записка с требованием выкупа называется: GoodMorning.txt

Содержание записки о выкупе:

Good Morning!!

All your Files Have Been Encrypted

You can not protect your system I want help you

You must pay an amount of bitcoin to decrypt your files

If you want restore your files or you want my help send this ID : 187B084EA

to this email :troublemaker113@mailfence.com

If you didn't recieve any message , write message to this email : troublemaker113@tutanota.com or this : tedydecrypt@elude.in

!!!!!!!

I forget to tell this , never try decrypt your files by yourself , maybe you lost them forever and do not rename them

Перевод записки на русский язык:

Доброе утро!!

Все ваши файлы зашифрованы

Вы не можете защитить свою систему Я хочу вам помочь

Вы должны заплатить несколько биткойнов, чтобы расшифровать ваши файлы.

Если вы хотите восстановить свои файлы или вам нужна моя помощь, отправьте этот ID: 187B084EA

на этот email: troublemaker113@mailfence.com

Если вы не получили никакого сообщения, напишите сообщение на этот email : troublemaker113@tutanota.com или на этот: tedydecrypt@elude.in!!!!!!!

Я забыл об этом сказать, никогда не пытайтесь расшифровать свои файлы сам, возможно, вы потеряете их навсегда и не переименовывайте их

---
Примечательно, что в записке указаны три emil-адреса, хотя вымогатель кажется один, судя по его обращению к жертве. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует Windows PowerShell для запуска атаки и шифрования. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GoodMorning.txt - название файла с требованием выкупа;
new.exe - название вредоносного файла;

WeSteal - в составе исполняемого файла (об этом похитителе криптовалюты). 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

\Windows\Vss\Writers\Application\new.exe

\Windows\Vss\Writers\System\new.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: troublemaker113@mailfence.com, troublemaker113@tutanota.com, tedydecrypt@elude.in
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 931d8cc9acda477fb505d9a2c09f581e

SHA-1: 748b9874c2f818a76ba55abecc90beb382b9b24f

SHA-256: 79f4c2aa9c3cdae4b02b1ab8e8df8e6e0d6a02c692991c0ee83a110260940038

Vhash: 037076655d155515755018z5enz25z17z

Imphash: ba54e48d0f0346b349e9f7a2c8ecaf5c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 16 июня 2021: 

Сообщение >>

Расширение: .GoodMorning

Шаблон расширения: .Id(XXXXXXXXX) Send Email(Goood.Morning@mailfence.com).GoodMorning

Пример расширения: .Id(18A2E3573) Send Email(Goood.Morning@mailfence.com).GoodMorning

Записка: Good Morning.txt

Email: Goood.Morning@mailfence.com, GooodMorning@tutanota.com, GoodMorning9@cock.li

Результаты анализов: 

IOC: VT, HA, IA, TG

MD5: 931d8cc9acda477fb505d9a2c09f581e

Вариант от 30 июня 2021: 

Сообщение на форуме >>

Расширение: .GoodMorning

Полное расширение: .Id(XXXXXXXXX) Send Email(Goood.Morning1@mailfence.com).GoodMorning

Записка: GoodMorning.txt

Email: Goood.Morning1@mailfence.com, GooodMorning1@tutanota.com, GoodMorning9@cock.li

Вариант от 2 августа 2021:

Сообщение >>

Расширение: .LOCKED

Полное расширение: .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED

Email: John.Muller@mailfence.com, JohnMuller88@tutanota.com, picklock@elude.in

Записка: ReadMe.txt

➤ Содержание записки:

Hello My Friend

All your files are encrypted

The encryption algorithm is private so You have no chance for decrypt your files

The only way is my decryption tool

You must pay an amount of bitcoin for decryption tool

## BUT ### don't worry the amount is fair and I will teach you how to protect your server

If you want contact me Send your ID To My Email

Your ID : D8C*****

My First Mail : John.Muller@mailfence.com

If I didn't answer in 10 hours Send Email to this Email :

My Second Email : JohnMuller88@tutanota.com

My Third Email : picklock@elude.in

#1 If you didn't trust us Send a small file for decrypt test

#2 Never rename your files

#3 Never Try to decrypt them by your self

---

Файл: new.exe

Результаты анализов: 

IOC: VT, IA

MD5: 1ca6c8b5852f98595d0a6b5aec58580c

Вариант от 7 сентября 2021: 

Сообщение >>

Расширение: .REAL

Пример зашифрованного файла: MediaId+Id(F592ADE1) mail(agentsmith@cock.email).REAL

Записка: ReadIt.txt или ReadMe.txt

Email: agentsmith@cock.email, smith@elud.email, ag3ntsm1th@tuta.io

Вариант от 5 октября 2021: 

Расширение: .REAL

Полное расширение: +Id(65742EBA) mail(EmmaGaller@mailfence.com).REAL

Записка: ReadIt.txt

Email: EmmaGaller@mailfence.com, EmmaGaller@tutanota.com, EmmaGaller@cock.lu

Файл: GG.exe

IOC: VT, TG

MD5: 607af6916d6d43c2813f756d16f5c430

SHA-1: f8c17200e8da37cab2bfb29ce0794fb4c1d8e31e

SHA-256: c6e251cdce45ef45f68fd79cb459d412a81b337820648244f58e0bcebbf020d7

Vhash: 037076655d155515555018z5enz25z17z

Imphash: ba54e48d0f0346b349e9f7a2c8ecaf5c

➤ Обнаружения: 

DrWeb -> Python.Packed.15

Kaspersky -> Trojan.Win32.DelShad.gww

TrendMicro -> Ransom.Win64.BLACKKINGDOM.SMYXBCX

Вариант от 29 октября 2021:

Сообщение >>

Расширение: .REAL

Полное расширение: +Id(C2DC987A) mail(Eliot.Bing@mailfence.com).REAL

Записка: ReadIt.txt

Email: Eliot.Bing@mailfence.com, EliotBing@tutanota.com, EmmaGaller@cock.lu

Файл: SS.exe

IOC: VT, TG

MD5: d6d78e94de610fad6749338f855edbcc

SHA-1: 0fb9d7b713ae158bf35f480f62d20255b6d14a97

SHA-256: f0f90338553ab244d779b2f172c2e6c82f7fc5725cba6ddb8d09c48d5f481e07

Vhash: 037076655d155515555018z5enz25z17z

Imphash: ba54e48d0f0346b349e9f7a2c8ecaf5c

➤ Обнаружения: 

DrWeb -> Python.Packed.15

Kaspersky -> Trojan.Win32.DelShad.gyl

TrendMicro -> Ransom.Win64.BLACKKINGDOM.SMYXBCX

Вариант от 12 декабря 2021: 

Сообщение >>

Расширение: .RSFDD

Пример зашифрованного файла: filename.jpg-IdF1A7B939 -mail John.Karick@mailfence.com.RSFDD

Записка: ReadMe.txt

Email: JohnKarick@tutanota.com, MikeClarke@cock.lu

--- пропущенные варианты не добавлялись ---

Вариант от 16 мая 2023: 

Расширение: .KKK

Полное расширение: +Id(A523B408) mail(samantha22@tuta.io).KKK

Пример зашифрованного файла: filename.jpg+Id(A523B408) mail(samantha22@tuta.io).KKK

Записка: ReadMe.txt

Email: samantha22@tuta.io

Файл: Explorer.exe

IOC: VT

MD5: d85d3bbe712c94784539bbc5d6171dbf

SHA-1: ed2cb2d74a52e1dcf3e98d80204300c8c233be52

SHA-256: 3563f96389a94d21ca2f8ee71a73e4c9d88810778770b5060aeb912ac854acc9

Vhash: 037076655d155515755018z5enz25z17z

Imphash: ba54e48d0f0346b349e9f7a2c8ecaf5c

➤ Обнаружения: 

DrWeb -> Python.Packed.15

Kaspersky -> Trojan.Win32.DelShad.lew

TrendMicro -> Ransom.Win64.BLACKKINGDOM.SMYXBCX

***

Следующие варианты, скорее всего, принадлежат к новым версиям RCRU64 Ransomware. Они уже добавлены в статью RCRU64. 

После проработки всех связей с форумами и сервисами анализа вредоносных файлов, останется только удалить их отсюда. 

Вариант от 25 ноября 2022:

Сообщение на форуме >>

Расширение: .HHE

Пример зашифрованного файла: document.html_[ID-HONKM_Mail-jounypaulo@mail.ee].HHE

Записка: Restore_Your_Files.txt

Email: jounypaulo@mail.ee, jounypaulo@tutanota.com

=== 2023 ===

Вариант от 24 января 2023:

Сообщение на форуме >>

Расширение на конце: .LRO

Полное расширение: _[ID-LQIWB_Mail-pm24@tuta.io].LRO

Записка: Restore_Your_Files.txt

Email: pm24@tuta.io

Вариант от 22 марта 2023 или раньше: 

Сообщение на форуме >>

Расширение: .M4X

Расширение: _[ID-RRF0H_Mail-dr.file2022@gmail.com].M4X

Пример заш-файла: Document.pdf_[ID-RRF0H_Mail-dr.file2022@gmail.com].M4X

Записка: Restore_Your_Files.txt

Email: dr.file2022@gmail.com, dr.files@onionmail.org

Вариант от 20 апреля 2023 или раньше: 

Сообщение на форуме >>

Расширение: .Vypt

Расширение: _[ID-L1LXB_Mail-vyptteam@zohomail.eu].Vypt

Пример заш-файла: Document.pdf_[ID-L1LXB_Mail-vyptteam@zohomail.eu].Vypt

Записка: Restore_Your_Files.txt

Email: vyptteam@zohomail.eu

Telegram: @VyptTeam

Вариант от 16 мая 2023 и позже: 

Сообщение на форуме >>

Расширение: .DFI

Пример заш-файла: Document.pdf_[ID-CGTD5_Mail-kilook200@gmail.com].DFI

Записки: Restore_Your_Files.txt, ReadMe.hta

Email: kilook200@gmail.com

Telegram: @kilook200

Файл: kilook200@gmail.com_Manual.exe

IOC: VT, IA

MD5: 0e246cfd13513af32939a9743d24b0f4

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37400

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONB

Вариант от 21 августа 2023 или раньше: 

Сообщение на форуме >>

Пример заш-файла: Document.pdf_[ID-DXNVI_Mail-Sc.computer1992@Gmail.com].L7I

Записка: Restore_Your_Files.txt

Email: Sc.computer1992@Gmail.com, Helpyoudc1966@Gamil.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author), Sandor
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CryT0Y

CryT0Y Ransomware

Cryt0y Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп $80 в BTC, чтобы вернуть файлы. Оригинальное название: CryT0Y (может быть указано в записке в некоторых вариантах). На файлах разных вариантов может быть написано: Bypasds.exe и Photoshop.exe (Adobe Photoshop CC 2019). 

---
Обнаружения:
DrWeb -> Trojan.Encoder.34091, Trojan.Encoder.34522

BitDefender -> Trojan.GenericKD.37156886
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJP
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Malware.AI.73223453, Ransom.cryt0y
Microsoft -> Trojan:Win32/Wacatac.B!ml, Program:Win32/Multiverze
Rising -> Trojan.Generic/MSIL@AI.92 (RDM.MSIL*, 
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Hmhe, Msil.Trojan.Agent.Pepw, Malware.Win32.Gencirc.11c468e4
TrendMicro -> TROJ_GEN.R002H07FS21, Ransom.MSIL.CRYTOY.YXBLV
---

© Генеалогия: ??? >> Cryt0y

Этимология названия: 

В названии CryToy используются два разных значения. "CryToy" понятно тем, кто говорит по-английски. Но если вы прочитаете это по-русски, то будет совсем другое значение — получится слово "крутой". Я выбрал это изображение в качестве логотипа статьи, потому что оно соответствует обоим этим заголовкам одновременно. 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образцы этого крипто-вымогателя были обнаружены в первой и во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Вероятно, пока находится разработке. 

На файле может быть написано Adobe Photoshop CC 2019, вероятно, он  распространяется под таким именем на сайтах пиратского и взломанного ПО.

К зашифрованным файлам добавляется расширение: .cryt0y

Записка с требованием выкупа называется: READ_IT.txt, но может использоваться быть и другой, похожий файл. 

Содержание записки о выкупе:

All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)

RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. 

Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:

1 - We encrypted your files with our Public key 

2 - You can decrypt, the encrypted files with specific Private key and your private key is in our hands ( It's not possible to recover your files without our private key )

Yes, We have a decrypter with the private key. We have one option to get all your data back.

Follow the instructions to get all your data back:

Step 1 : You must send us 80$ worth of Bitcoin for your affected system 

Step 2 : After you sent us the bitcoin our system automatically decrypt all you files and our software will delete itself.

Our bitcoin address: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj

Перевод записки на русский язык:

Все ваши файлы зашифрованы с RSA-4096, Читайте на https://en.wikipedia.org/wiki/RSA_(cryptosystem)

RSA - это алгоритм, используемый современными компьютерами для шифрования и дешифрования данных. 

RSA - это асимметричный криптографический алгоритм.

Асимметричный означает, что есть два разных ключа. Это также называется криптографией с открытым ключом, потому что один из ключей может быть отдан любому:

1 - Мы зашифровали ваши файлы нашим открытым ключом

2 - Вы можете расшифровать зашифрованные файлы специальным Закрытым ключом, а ваш закрытый ключ в наших руках (невозможно вурнуть ваши файлы без нашего закрытого ключа)

Да, у нас есть дешифратор с закрытым ключом. У нас есть одна возможность вернуть все ваши данные.

Следуйте инструкциям, чтобы вернуть все свои данные:

Шаг 1. Вы должны отправить нам 80$ в биткойнах за вашу уязвимую систему.

Шаг 2: Как только вы отправите нам биткойны, наша система автоматически расшифрует все ваши файлы, а наша программа самоудалится.

Наш биткойн-адрес: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj

Другим информатором жертвы является hta-файл. Название файла не установлено. Текст может немного отличаться в разных вариантах. На скриншоте ниже BTC-адрес указан в нижнем блоке записки, и сам адрес другой. Является ли он уникальным для каждой жертвы, не установлено, т.к. были рассмотрены только два разных файла. 

Содержание одного из вариантов записки: 

What happened to your files?

All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)

RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:

1 - We encrypted your files with our Public key

2 - You can decrypt, the encrypted files with specific Private key and your private key is in our hands ( It's not possible to recover your files without our private key )

Is it possible to get back your data?

Yes, We have a decrypter with the private key. We have one option to get all your data back.

"Follow the instructions to get all your data back:

Step 1 : You must send us 80$ worth of Bitcoin for your affected system

Step 2 : After you sent us the bitcoin our system automatically decrypt all you files and our software will delete itself

Our Bitcoin address is: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj

Where to buy Bitcoin?

The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online

MMoga.com Bitcoin gift cards is a fast way to buy bitcoins.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Пытается изменить настройки безопасности Windows, отключает защиту в реальном времени у Windows Defender. Использует подписанные сертификаты от Microsoft. 

➤ Схема запуска: 

Список типов файлов, подвергающихся шифрованию:
Полный список целевых типов файлов неизвестен, но шифрует не все файлы. Среди увиденных во время тестирования были следующие расширения:

.crw, .csv, .docm, .docx, .dotx, .odt, .html, .png, .pps, .raw, .xls, .xlsm, .xlsx, .wps. 

Можно отметить, что это документы MS Office (не все типы), Microsoft Works, OpenOffice, веб-страницы, фотографии и файлы других типов изображений. Полный список шифруемых типов файлов не был получен. 

Файлы, связанные с этим Ransomware:
READ_IT.txt - название файла с требованием выкупа;

Bypasds.exe - название вредоносного файла; 

Photoshop.exe - название вредоносного файла; 

estxrbbr.exe - название вредоносного файла;

qljjmbot.inf - используемый файл;

  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: в контактах не используется.  
BTC: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов:
IOC-1: VT, HA, IA, TG, AR, VMR, JSB

MD5: 48a4dd54f0cc1ae630d3c84b63b10c36

SHA-1: 7971d3e84967fcd4c63430f9554be70617152cad

SHA-256: 7ca16571ea06e5bbec439c1aaf29c87d77cc59d48df26dd3dd0a5ad6b59b11f3

Vhash: 255036751516f018195178a063

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC-2: VT, HA, IA, TG, AR, VMR, JSB

MD5: 2102422fdf58e1f1ea628e864576f437

SHA-1: a071690fa220c12e9b5fa85e70dc3e7c42b30893

SHA-256: fffc3cd304a280746276a3fa580a08f3de6aa2db4196c28ebd1c905607de0997

Vhash: 255036755516f018195178a063

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 ноября 2021:

Сообщение >>

Расширение: .cryt0y

Записка: READ_IT.txt 

Изображение, заменяющее обои: wallpaper.bmp

BTC: 1KyGXjmXSEwzQV5ZpMuVpVVwGQfZcSVKdJ

Автозагрузка: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows_Update.url

Файл: MoleculeV².exe

Результаты аналиов: VT + AR + TG

Файл: Molecule.exe, Battle.net.exe

Результаты аналиов: VT

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34522, Trojan.Siggen15.40937

BitDefender -> Trojan.GenericKD.47420461, Gen:Variant.Bulz.513918

ESET-NOD32 -> A Variant Of MSIL/Filecoder.GZ

Malwarebytes -> Malware.AI.2467090516

TrendMicro -> TROJ_GEN.R002H06KJ21

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, Tomas Meskauskas
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Slam

Slam Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email, указанный в тексте записки, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Slam Ransomware. На файле написано: WindowsFormsApp1.exe. 

Позже разработчик програмы сообщил, что это всего лишь пробный проект и он не распространяется для того, чтобы причинить кому-то вред. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.23
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1139408
BitDefender -> Trojan.GenericKD.37077565
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.Crypt.MSIL.Generic
Microsoft -> Ransom:MSIL/Ryzerlo.A
Symantec -> Ransom.HiddenTear!g1
Tencent -> Win32.Trojan.Generic.Huzc
TrendMicro -> Ransom_CRYPTEAR.SM0

---

© Генеалогия: ✂ HiddenTear >> Slam

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в первой половине июня 2021 г. Ориентирован на англоязычных, испаноязычных, русскоязычных и китайских пользователей, может распространяться по всему миру. На момент написания статьи не было известно о пострадавших от этой программы-вымогателя. Вероятно их и не было. 

К зашифрованным файлам добавляется расширение: .SLAM

Записка с требованием выкупа написана на экране блокировки, который имеет интерфейс на испанском, английском китайском и русском языках. 

Содержание текста о выкупе на испанском:

TUS ARCHIVOS HAN SIDO ENCRIPTADOS

si quieres recuperarlos debes contactar conmigo en uno de los correos

cuando hayas seguido las instrucciones que te daremos en el correo

debes verificar el pago pulsando el botón "revisar pago"

dispones de 12 horas para ello

correos:

slamhelp123@gmail.com

slamransomwareasistance@gmail.com

---

normas:

no apagues ni remides tu ordenador

no intentes matar ningún proceso o tu ordenador morirá automáticamente

no uses las aplicaciones prohibidas (regedit taskmgr cmd etc)

SI NO PAGAS EN 12 HORAS TU ORDENADOR NO VOLVERA A ENCENDERESE JAMAS

---

tu ID: KNU0JZ18CKRVV5j2FAt8RNVOdG1HXOld08Bxjayp

tiempo restante: ***

Содержание текста о выкупе на английском:

YOUR FILES HAVE BEEN ENCRYPTED

if you want to recover them you must contact with me in one of the emails

when you have followed the instructions that we will give you in the mail

you must verify the payment by clicking on the "check payment" button

you have 12 hours to do it

email:

slamhelp123@gmail.com

slamransomwareasistance@gmail.com

---

rules:

do not shut down or restart your computer

don't try to kill any process or your computer will die automatically

don't use the forbidden applications (regedit taskmgr cmd etc)

IF YOU DON'T PAY IN 12 HOURS YOUR COMPUTER WILL NOT TURN ON AGAIN.

---

your ID: KNUOJZ18CKRW5j2FAt8RNVOdG1HXOld08Bxjayp

remaining time: 

Содержание текста о выкупе на русском:

ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ

если вы хотите восстановить их вы должны связаться со мной по одному из электронных писем.

после того, как вы выполнили инструкции, которые мы дадим вам по почте

вы должны проверить платеж, нажав на кнопку "проверить платеж".

У вас есть 12 часов, чтобы сделать это

электронная почта:

slamhelp123@gmail.com

siamransomwareasistance@gmal.com

---

правила:

не выключайте и не перезагружайте компьютер

не пытайтесь убить какой-либо процесс, иначе ваш компьютер умрет автоматически

не используйте запрещенные приложения (regedit taskmgr cmd и т.д.)

ЕСЛИ ВЫ НЕ ЗАПЛАТИТЕ В ТЕЧЕНИЕ 12 ЧАСОВ. ВАШ КОМПЬЮТЕР БОЛЬШЕ НИКОГДА НЕ ВКЛЮЧИТСЯ.

---

ваш ID: mhG0Ybr9hLrcCTtCN6RIPNj9j0qowDlDVghXmtmR

оставшееся время:

Сравнительный тест и анализ текста показывают, что главным языком этой программы является испанский, т.к. некоторые элементы интерфейса не переведны на другие языки. 

Более того в экране на русском языке есть неправильные фразы, например в нижней правой кнопке написано "Обзорные платежи", хотя должно быть "Проверить оплату", при этом правая нижняя кнопка вместо слова "язык" отображает "language" на английском. 

При нажании на кнопку "OK" в русскоязычном разделе SLAM DECRYPTOR, появляется фраза на испанском языке. 

Если внимательно присмотреться, что ID кажется фиктивным, потому что в одном и том же варианте программы на русском языке отображается другой ID. Это кажется странным, потому что у каждой жертвы должен быть один и тот же ID, независимо от выбранного языка. 

На наш взгляд это говорит в пользу того, что эта прогармма-вымоагтель активно не распространяется или вообще является тестовой версией. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
WindowsFormsApp1.exe - название вредоносного файла; 

WindowsFormsApp1.pdb - название файла проекта; 

SLAM DECRYPTOR - в составе основной программы-вымогателя. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\temp\1.bat

C:\temp\backtrack.jpg

C:\temp\boot.bin

C:\temp\boot.exe

C:\temp\mbr.exe

C:\temp\data\LogonUI.exe

C:\temp\LogonUI.exe

C:\Users\amdga\Desktop\carpetas\WindowsFormsApp1\WindowsFormsApp1\obj\Debug\WindowsFormsApp1.pdb

%USERPROFILE%\source\repos\eternalblue\Debug\eternalblue.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Сайт с бесплатными дешифраторами: anmodi.000webhostapp.com

Сайт кажется легитимным, сообщает о бесплатных дешифровщиках с возможностью загрузки. 

В отношении Slam Ransomware там выложен ключ, который может быть ключом деширования файлов. 

Email: slamhelp123@gmail.com, slamransomwareasistance@@gmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9c543a3b162b8e9317c717892ba47691

SHA-1: 52980b81ca21b6c02793272dea788f18c03c66bf

SHA-256: d56cfe09f291b11e27b84ede219459ede65652a19596a0b33f8a3ef871236cf5

Vhash: 284036551511d08a1a2b5062

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Разработчик сообщил на сайте "anmodi.000webhostapp.com", что этот вариант Slam Ransomware был пробным и недоделанным. Он попал на сайт VirusTotal потому, что сам разработчик его туда загрузил. Сейчас у него есть лучший вариант программы, но он также не собирается его распространять, чтобы причинить вред. Он также предлагает бесплатную расшифровку пострадавшим от шифрования. Но предлагаемая ссылка не открывается. 

Таким образом, эту статью закрываем. 

Slam Ransomware Builder, Slam MBR Builder

Обзор от SentinelOne >>

Вариант от 15 сентября 2023: 

Сообщение на форуме >>

Видимо, подражает Stop Ransomware.

Расширение: .nnll

Записка: _Readme.txt

Результаты анализа (шифровальщик): VT + TG + IA

Результаты анализа (дешифровщик): VT + TG + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37980

BitDefender -> Generic.Malware.GSDB2.373B050A

ESET-NOD32 -> A Variant Of MSIL/Filecoder.SLAM.A

Kaspersky -> HEUR:Trojan.MSIL.Diztakun.gen

Malwarebytes -> Ransom.FileCryptor

Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Symantec -> Ransom.HiddenTear!g1

TrendMicro -> Ransom_Ryzerlo.R002C0CIF23

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.