Если вы не видите здесь изображений, то используйте VPN.

пятница, 18 июня 2021 г.

0XXX

0XXX Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные NAS-устройств WD (сетевых хранилищ Western Digital My Book)
с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: 0XXX Virus. На файле написано: нет данных. Использует известные или новые уязвимости NAS-устройств. 
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: ✂ 
Kupidon + предыдущие для NAS-устройств  >> 0XXX 


Сайт "ID Ransomware" это идентифицирует как 0XXX


Информация для идентификации

Активность этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .0xxx

Записка с требованием выкупа называется: !0XXX_DECRYPTION_README.TXT

0XXX Ransomware, note

Содержание записки о выкупе:
All your files have been encrypted with 0XXX Virus.
Your unique id: 79CECD4E2A58455BAF9916BCAF7CC2E4
You can buy decryption for 300$USD in Bitcoins.
To do this:
1) Send your unique id 79CECD4E2A58455BAF9916BCAF7CC2E4 and max 3 files for test decryption to iosif.lancmann@mail.ru
2) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.
3) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 

Перевод записки на русский язык:
Все ваши файлы зашифровал 0XXX вирус.
Ваш уникальный идентификатор: 79CECD4E2A58455BAF9916BCAF7CC2E4
Вы можете купить расшифровку за 300 долларов в биткойнах.
Для этого:
1) Отправьте свой уникальный id 79CECD4E2A58455BAF9916BCAF7CC2E4 и максимум 3 файла для тест-расшифровки на iosif.lancmann@mail.ru
2) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.
3) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!0XXX_DECRYPTION_README.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: iosif.lancmann@mail.ru
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 24 июня 2021:
Сообщается, что по всему миру NAS-устройства WD My Book Live получили удаленную команду на сброс настроек на заводские, при этом исчезли все разделы с находящимися на них файлами. 
В отличие от устройств QNAP, которые обычно подключены к Интернету и подвержены атакам, таким как программы-вымогатели QNAPCrypt, QLocker, устройства Western Digital My Book хранятся за брандмауэром и обмениваются данными через облачные серверы My Book Live для обеспечения удаленного доступа.
Если у вас есть NAS-устройство Western Digital My Book, настоятельно рекомендуется отключить его от сети, пока инциденты не будут изучены. 


Вариант от 28 августа 2021: 
Расширение: .0xxx
Записка: !0XXX_DECRYPTION_README.TXT
Email: issak.nuton0071@mail.ru



Вариант от 14 нобря 2021:
Сообщение >>
Расширение: .0xxx
Записка: !0XXX_DECRYPTION_README.TXT
Email: sergev_petrov1983@mail.ru




Вариант от 28 декабря 2021: 
Расширение: .0xxx
Записка: !0XXX_DECRYPTION_README.TXT
Email: alex.uwe.19900978@mail.ru





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Redeemer

Redeemer Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English




Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 2-20 XMR, чтобы вернуть файлы. Оригинальное название: Redeemer. На файле написано: svchost.exe, sqlservr.exe или что-то ещё.

---
Обнаружения:
DrWeb -> Trojan.Encoder.34049, Trojan.Encoder.34354
BitDefender -> Trojan.GenericKD.46459249, Gen:Trojan.Malware.ZDW@aSgCW@fi
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHI
Malwarebytes -> Ransom.Redeemer
Microsoft -> Trojan:Win32/Tiggre!rfn, Ransom:Win32/Redeemer.PAD!MTB
Rising -> Ransom.Redeemer!1.D762 (CLASSIC)
Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Ajbm, Malware.Win32.Gencirc.10cf62cf
TrendMicro -> TROJ_GEN.R002C0WFL21, TROJ_FRS.0NA103IL21
---

© Генеалогия: ??? >> Redeemer


Сайт "ID Ransomware" это идентифицирует как Redeemer


Информация для идентификации

Ранняя активность этого крипто-вымогателя была замечена в июне 2021 (тестовый вариант), затем уже в середине сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .redeem

Записка с требованием выкупа называется: Read Me.TXT

Redeemer Ransomware, note
Вариант записки от 18 июня 2021

 Содержание записки о выкупе:
-- Redeemer --
All your files have been encrypted using an advanced encryption algorithm. They cannot be decrypted without a decryption tool and a key.
In order to decrypt your files you will need to pay 20 XMR (Monero). After paying you will get a tool and a key to decrypt your files.
You can find more information about Monero on getmonero.org and you can buy it from localmonero.co or any other website or use any cryptocurrency exchange that has Monero listed.
WARNING: Do not modify the files, don't change their names and locations, otherwise they won't be able to be decrypted.
AFTER you obtain the required amount of XMR, contact test@test.test and send the following key: 
NzEckK2Nm24Xap***

Перевод записки на русский язык:
- Искупитель -
Все ваши файлы зашифрованы с использованием передового алгоритма шифрования. Их невозможно расшифровать без инструмента дешифрования и ключа.
Чтобы расшифровать ваши файлы, вам нужно будет заплатить 20 XMR (Monero). После оплаты вы получите инструмент и ключ для расшифровки ваших файлов.
Вы можете найти информацию о Monero на getmonero.org, и вы можете купить его на localmonero.co или на любом другом веб-сайте или использовать любую криптовалютную биржу, на которой есть Monero.
ВНИМАНИЕ: не изменяйте файлы, не меняйте их имена и расположение, иначе они не будут расшифрованы.
ПОСЛЕ того, как вы получите нужное количество XMR, напишите на  test@test.test и отправьте следующий ключ:
NzEckK2Nm24Xap ***


Redeemer Ransomware, note
Вариант записки от 19 сентября 2021

Содержание записки о выкупе:
Redeemer
Made by Cerebrate - Dread Forums TOR
[hxxx://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/]
[Q1] What happened, I cannot open my files and they have an odd extension?
[A1] Your files have been encrypted by Redeemer, a new ransomware operation.
[Q2] Is there any way to recover my files?
[A2] Yes, you can recover your files. This will however cost you money in XMR (Monero).
[Q3] Is there any any way to recover my files without paying?
[A3] Without paying it is impossible your files.
Redeemer uses most secure algorithms and a sophisticated encryption scheme which guarantees security.
Without a proper key, you will never regain access to your files.
[Q4] What is XMR (Monero)?
[A4] It is a privacy oriented cryptocurrency.
You can learn more about Monero on getmonero.org.
You can view ways to purchase it on www.monero.how/how-to-buy-monero.
[Q5] How will I decrypt my files?
[A5] Follow the general instructions:
-1. Buy 02  XMR.
-2. Contact helpdecryptmyfiles@yandex.com and send the following key:
-----BEGIN REDEEMER PUBLIC KEY-----
NDEhcA***
-----END REDEEMER PUBLIC KEY-----
-3. You will receive an XMR address where you will need to pay the requested amount of Monero.
-4. After you pay and the payment is verified, you will receive a decryption tool and a key which will restore all your files and your computer back to normal.

Перевод записки на русский язык:
Redeemer
Сделано Cerebrate - Dread Forums TOR
[hxxx://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/]
[Q1] Что случилось, я не могу открыть свои файлы, и у них странное расширение?
[A1] Ваши файлы были зашифрованы с помощью Redeemer, новой операции ransomware.
[Q2] Есть ли способ восстановить мои файлы?
[A2] Да, вы можете восстановить свои файлы. Однако это будет стоить вам денег в XMR (Monero).
[Q3] Есть ли способ восстановить мои файлы без оплаты?
[A3] Без оплаты невозможно ваши файлы.
Redeemer использует самые безопасные алгоритмы и сложную схему шифрования, которая гарантирует безопасность.
Без надлежащего ключа вы никогда не восстановите доступ к своим файлам.
[Q4] Что такое XMR (Monero)?
[A4] Это криптовалюта, ориентированная на конфиденциальность.
Вы можете узнать больше о Monero на getmonero.org.
Вы можете просмотреть способы его приобретения на сайте www.monero.how/how-to-buy-monero.
[Q5] Как мне расшифровать свои файлы?
[A5] Следуйте общим инструкциям:
-1. Купить 02 XMR.
-2. Свяжитесь с helpdecryptmyfiles@yandex.com и отправьте следующий ключ:
----- НАЧАЛО ПУБЛИЧНОГО КЛЮЧА REDEEMER -----
NDEhcA ***
----- КОНЕЦ ПУБЛИЧНОГО КЛЮЧА REDEEMER -----
-3. Вы получите адрес XMR, по которому вам нужно будет заплатить запрошенную сумму Monero.
-4. После того, как вы оплатите и подтвердите платеж, вы получите инструмент для дешифрования и ключ, который вернет все ваши файлы и ваш компьютер в нормальное состояние.


Скриншоты с сайта вымогателей:





Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, очищает журналы Windows. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read Me.TXT - название файла с требованием выкупа;
svchost.exe - название вредоносного файла; 
sqlservr.exe - название вредоносного файла; 
test_redeemer - название вредоносного файла; 
rem.bat - командный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion
Email: helpdecryptmyfiles@yandex.com
XMR: ***
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: e37a0ece30267233f1dddf3c2300393f
SHA-1: 27610367c41c1b8d3a26885b40fd7aac748189b2
SHA-256: bb7e2066f53bdbb8e93edfa8e900d5be3e2d00ca0a59f9feaa8b8107db7a5d4d
Vhash: 016076656d551d15556118z93hz23z4fz
Imphash: bf1619301d6638d5330bd0d6299a7f70
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: e1338c42da2d2363afbbd0eeabad1ca9
SHA-1: fe5d669b732c9227bb25787083906f49b732c335
SHA-256: 61c47effdf6b6eafd20e74a8a6b52da09e082fefef31c6ae4a2046b6a756050e
Vhash: 016076656d5d1515556128z93hz33z4fz
Imphash: a5311b2b44ff0d9b353e7814b2e15f15


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 20 июля 2022:
Расширение: .redeem
Записка: Read Me.TXT
Записка также добавляется в раздел реестра Winlogon, чтобы сообщить пользователю о том, что произошло после перезагрузки системы.
Новая версия 2.0 написана на C++ и работает на Windows Vista, 7, 8, 10, 11. 
Любой может загрузить и использовать сборщик Redeemer Ransomware для атак. После уплаты выкупа, автор получает 20% комиссии и дает мастер-ключ, который должен быть объединен с закрытым ключом сборки, хранящимся у партнера, чтобы расшифровать файлы.
Добавлены XMPP и Tox-чат. 


Сообщение на форуме о релизе новой версии Redeemer 2.0.
Описание новой версии Redeemer 2.0 на сайте dread. 



Текстовое сообщение о выкупе и сообщение, добавленное в реестр Windows и показываемое после перезагрузки системы. 



Зашифрованные файлы получают другой "Redeemer" значок. 
Оригинальные незашифрованные файлы не все удаляются. 
При открытии зашифрованных файлов выводится следующее сообщение. 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ProcessTray

ProcessTray Ransomware

ProcessTray Cover-Ransomware

(шифровальщик-не-вымогатель) (первоисточник)
Translation into English




Этот крипто-вымогатель шифрует данные пользователей, а затем даже не  требует выкуп, чтобы вернуть файлы, возможно, из-за ошибке в программе. Оригинальное название: нигде не указано. На файле написано: ProcessTray.exe, Tray.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34047
BitDefender -> Trojan.GenericKD.46515234
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJL
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Genasom
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WFL21
---

© Генеалогия: ??? >> ProcessTray


Сайт "ID Ransomware" это пока не идентифицирует.


Информация для идентификации

Образец  этого крипто-вымогателя был найден в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам должно было добавиться некое расширение, но в изученном образце этого не произошло из-за ошибки в программе. Другой образец не был предоставлен. 

Записка с требованием выкупа также не была оставлена. Возможно в более новых образцах мы что-то из этого увидим. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Используется для скрытой установки майнера криптовалюты XMRig. Это высокопроизводительный кроссплатформенный майнер CPU/GPU с открытым исходным кодом. 

Установка майнера нужна для того, чтобы максимизировать выгоду с каждой зараженной машины. Порядок установки примерно такой: пользователь ставит некую программу, в которой есть троянец, который загружает и устанавливает шифровальщик, а под его прикрытием загружается и ставится майнер XMRig для майнинга криптовалюты Monero. Такой шифровальщик нужен только для прикрытия, поэтому он и называется Cover-Ransomware. В результате атаки, когда пользователь ещё только читает записку с требованиями выкупа, его компьютер уже приносит злоумышленникам деньги. Обычно такой шифровальщик легко обнаруживается антивирусной защитой и удаляется, а майнер остаётся. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
ProcessTray.exe, Tray.exe - случайное название вредоносного файла.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
XMR: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 6585cb51ff21007fb9ef936e96c58982
SHA-1: 7a3d5563460b9935fe84879ee14fabfc7c664825
SHA-256: e07b0cd7eca5bc70b07ea786c3ef4da28036c901effa2193a93caf945cb2b334
Vhash: 23503655651170878d2020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Skystars
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CovidLocker

CovidLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью ChaCha и AES + RSA для ключа, а затем требует написать на email вымогателей, чтобы узнать, как заплатить за RSA-ключ и расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: locker.exe.

---
Обнаружения:
DrWeb -> Trojan.MulDrop17.55683
ALYac -> Trojan.Ransom.MedusaLocker
Avira (no cloud) -> TR/Ransom.ocbak
BitDefender -> Trojan.GenericKD.46513684
ESET-NOD32 -> A Variant Of Win32/Filecoder.MedusaLocker.C
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Ransom.Medusa
Microsoft -> Ransom:Win32/MedusaLocker.MK!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_MedusaLocker.R002C0DFI21
---

© Генеалогия: ✂ MedusaLocker >> CovidLocker


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .covid

В процеесе шифрования сначала используется расширение 
.inprocess, а потом оно меняется на .covid

Пример: 
BOOTNXT.inprocess -> BOOTNXT.covid

Записка с требованием выкупа называется: How_To_Recover.mht


Содержание записки о выкупе:

##################################################
##################################################
DONT WORRY! YOUR FILES ARE SAFE! ONLY MODIFIED :: ChaCha + AES
WE STRONGLY RECOMMEND you NOT to use any Decryption Tools.
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
--
To get RSA private key you have to contact us via email to: undelivered@onet.pl
and send us your id: 2374052***
--
HOW to understand that we are NOT scammers?
You can ask SUPPORT for the TEST-decryption for ONE file!

Перевод записки на русский язык:
##################################################
##################################################
НЕ ВОЛНУЙТЕСЬ! ВАШИ ФАЙЛЫ В БЕЗОПАСНОСТИ! ТОЛЬКО ИЗМЕНЕНЫ :: ChaCha + AES
ОЧЕНЬ РЕКОМЕНДУЕМ НЕ использовать какие-либо инструменты дешифрования.
Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.
Также рекомендуем не связываться с компаниями по восстановлению.
Они напишут нам, купят ключ и продадут его вам по высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый RSA-ключ.
-
Чтобы получить закрытый RSA-ключ, вам надо написать нам на email: undelivered@onet.pl
и прислать нам свой id: 2374052***
-
КАК понять, что мы НЕ мошенники?
Вы можете запросить у ПОДДЕРЖКИ ТЕСТ-расшифровку ОДНОГО файла!



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов. 
➤ Использует упаковщик ASPack v2.12. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_To_Recover.mht - название файла с требованием выкупа;
KEY.FILE - специальный файл;
locker.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: undelivered@onet.pl
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 59a11294cc1496126fcd9af1a3371d0b
SHA-1: 68af606a3befec2e42564c9d4015d97c33fbfab9
SHA-256: 2a19c30b45f7d6c70ee5ed2229205587ec7ac00f6c5d3c3b2007989ed45e8a91
Vhash: 02507f7d7d6d1d7f6f0013z13z31z15z15z1bz17z
Imphash: 75954093c7d1f70253ac02c7616c0f9a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *