Poteston Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34040
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1141806
BitDefender -> Trojan.GenericKD.46508026
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Trojan.Crypt.MSIL.Generic
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0WFK21
---
© Генеалогия: ??? >> Poteston
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .Poteston
Записка с требованием выкупа называется: readme.txt
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Добавлется в Автозагрузку системы.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
Windows Session Manager.exe - название вредоносного файла.
Записка с требованием выкупа называется: readme.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
All of your files such as Document, photos ,Databases, etc... has been successfully encrypted! are encrypted by Poteston Ransomware
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
and files should not contain valuable information (databases, backups, large excel sheets, etc.).
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: recovery_Potes@firemail.de
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it
Your personal ID : 71e4g05Zbhuc+s2SSHGlHHWR [total 172 characters]
Перевод записки на русский язык:
Все ваши файлы, такие как документы, фотографии, базы данных и т. д., были успешно зашифрованы! зашифрованы Poteston Ransomware
Какие гарантии мы вам даем?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
а файлы не должны содержать ценной информации (базы данных, резервные копии, большие таблицы Excel и т. д.).
После оплаты мы вышлем вам расшифровку, которая расшифрует все ваши файлы.
Контакт с нами, используя этот email адрес: recovery_Potes@firemail.de
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это Ваш личный ID:
: 71e4g05Zbhuc+s2SSHGlHHWR [всего 172 символа]Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Добавлется в Автозагрузку системы.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
Windows Session Manager.exe - название вредоносного файла.
C:\Users\User\Desktop\Windows Session Manager.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Session Manager.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: recovery_Potes@firemail.de
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
MD5: 6736b48ac9b71f21d8e41d5a1f27a0a6
SHA-1: 45eb63e779cb9f33209b29a175199a9048bd9035
SHA-256: 5ad38d579fb249b3326a25cffb6f5ffea11b125cda7b61205893432f59a02101
Vhash: 22505f7665151614409e2591050
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.