Если вы не видите здесь изображений, то используйте VPN.

четверг, 1 июля 2021 г.

Diavol

Diavol Ransomware

LockMainDIB Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Diavol Ransomware


Этот крипто-вымогатель шифрует данные бизнес-пользователей и серверов с помощью RSA, а затем требует посетить сайт вымогателей, чтобы узнать, как заплатить выкуп, чтобы вернуть файлы. Оригинальное название: Diavol. На файле написано: locker.exe.

---
Обнаружения:
DrWeb -> Trojan.MulDrop18.43992, Trojan.MulDrop18.43415, Trojan.MulDrop18.43998, Trojan.Encoder.34432
ALYac -> Trojan.Ransom.CryptoLocker, Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.RansomHeur.tugmn, TR/Redcap.xyzla, TR/ATRAPS.Gen
BitDefender -> Trojan.GenericKD.47184519, Trojan.GenericKD.37798110, Trojan.GenericKD.47164045
ESET-NOD32 -> A Variant Of Win64/Filecoder.Diavol.A
Kaspersky -> Trojan-Ransom.Win32.Encoder.ocs, HEUR:Trojan-PSW.Win32.Stealer.gen, Trojan-Ransom.Win32.Encoder.oct
Malwarebytes -> Ransom.Diavol, Ransom.Agent.ED 
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml, Trojan:Win32/Sabsik.FL.B!ml
Symantec -> Trojan Horse, Trojan.Gen.MBT
TrendMicro -> TROJ_FRS.0NA103JF21, TROJ_GEN.R002H0DJD21, TROJ_GEN.R002H0CJC21

---

© Генеалогия: ✂ Conti-2, 3 >> Diavol


Сайт "ID Ransomware" это идентифицирует как Diavol


Информация для идентификации

Активность этого крипто-вымогателя была в конце июне 2021 г. Точной даты не сообщалось, образец вредоносного файла не опубликован. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lock64

Записка с требованием выкупа называется: README_FOR_DECRYPT.txt

Diavol Ransomware, note

Содержание записки о выкупе:

# What happened? #
Your network was ATTACKED, your computers and servers were LOCKED.
You need to buy decryption tool for restore the network.
Take into consideration that we have also downloaded data from your network that in case of not making paynent will be published on our news website.
# How to get my files back? #
1. Download Tor Browser and install it.
2. Open the Tor Browser and visit our website - hxxxs://r2gttyb5vqu6swf5.onion/***/***
Tor Browser may be block in your country or corporate network. Try to use Tor over VPN!

Перевод записки на русский язык:
# Что случилось? #
Ваша сеть АТАКОВАНА, ваши компьютеры и серверы БЛОКИРОВАНЫ.
Вам надо купить средство дешифрования, чтобы восстановить сеть.
Учтите, что мы также загрузили данные из вашей сети, которые в случае неуплаты будут опубликованы на нашем новостном сайте.
# Как вернуть мои файлы? #
1. Загрузите Tor браузер и установите его.
2. Откройте Tor браузер и посетите наш веб-сайт - hxxxs://r2gttyb5vqu6swf5.onion/***/***
Tor браузер может быть заблокирован в вашей стране или в корпоративной сети. Попробуйте использовать Tor через VPN!


Другим информатором является изображение, заменяющее обои Рабочего стола. 



Скриншоты сайта вымогателей: 






Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Исследователи из FortiGuard Labs предположили связь Diavol Ransomware с киберпреступной группой Wizard Spider считают её российской), стоящей за ботнетом Trickbot, и распространением Conti Ransomware, но не смогли найти прямой связи и не предоставили неопровержимых доказательств. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Diavol включает 14 различных подпрограмм, хранящихся в виде растровых изображений. Они вызываются в порядке, указанном на схеме. 


GENBOTID создает уникальный идентификатор для каждого зараженного компьютера. Он состоит из следующих компонентов:
<NetBIOS_computer_name> + <username> + "_W" + <OS major version in hex> + <OS minor version in hex> + <OS build number in hex> + "." + <random_GUID_bytes in hex>

Возможно этот ID должен выглядить примерно так: CNServerAdmin_WXXXXXXXXXXXX.XXXX
Но я не уверен, а реальный пример исследователями не предоставлен. 

➤ Diavol завершает запущенные процессы, которые могут заблокировать доступ к ценным файлам, таким как базы данных, офисные приложения, финансовое и бухгалтерское программное обеспечение, веб-серверы и виртуальные машины.

Так подпрограмма SERVPROC завершает работу служб с помощью API диспетчера служб (SCM). Для этого нужны права администратора, поэтому злоумышленники заранее предприняли соответствующие действия. Среди них попытка остановить следующие службы:
sqlservr.exe, sqlmangr.exe, RAgui.exe, QBCFMonitorService.exe, supervise.exe, fdhost.exe, Culture.exe, RTVscan.exe, Defwatch.exe, wxServerView.exe, sqlbrowser.exe, winword.exe, GDscan.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe,axlbridge.exe, 360se.exe, 360doctor.exe, QBIDPService.exe, wxServer.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, wdswfsafe.exe.

Подпрограмма KILLPR пытается завершить процессы из следующего списка: 
DefWatch, ccEvtMgr, ccSetMgr, SavRoam, dbsrv12, sqlservr, sqlagent, Intuit.QuickBooks.FCS, dbeng8, sqladhlp, QBIDPService, Culserver, RTVscan, vmware-usbarbitator64, vmware-converter, VMAuthdService, VMnetDHCP, VMUSBArbService, VMwareHostd, sqlbrowser, SQLADHLP, sqlwriter, msmdsrv, tomcat6, QBCFMonitorServicechrome.exe, outlook.exe, chrome.exe

➤ Diavol использует асинхронные вызовы процедур (APC) пользовательского режима без симметричного алгоритма шифрования, несмотря на то, что алгоритмы асимметричного шифрования работают значительно медленнее, чем симметричные алгоритмы.

➤ Хотя Diavol не упакован и не имеет каких-либо приемов анти-дизассемблирования, он использует интересную технику антианализа для обфускации своего кода. Его основные процедуры хранятся в растровых BMP-изображениях, которые хранятся в разделе ресурсов PE. Перед вызовом каждой подпрограммы копируются байты из растрового изображения в глобальный буфер, имеющий разрешения на выполнение.


Импорты, используемые каждой подпрограммой, также хранятся в разделе ресурсов под "OFFSET" с теми же именами, что и BMP-изображения.


Более подробно это описано в оригинальной статье Fortinet (ссылка). 

Список типов файлов, подвергающихся шифрованию:
Шифруются файлы многих типов, это наверняка будут 
документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключаемых расширений файлов, названий файлов и путей:
.exe, .sys, .dll, .lock64, readme_for_decrypt.txt, locker.txt, unlocker.txt, %WINDIR%\, %PROGRAMFILES%\, %PROGRAMW6432%\, %TEMP%\

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT.txt - название файла с требованием выкупа;
README_FOR_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.txt - другой вариант файла с требованием выкупа; 
locker.exe - случайное название вредоносного файла; 
locker64.dll - еще один вредоносный файл; 
LockMainDIB.pdb - название файла проекта;
Diavol Unlocker - инструмент разблокировки и расшифровки файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\Development\Master\onion\locker.divided\LockMainDIB\Release\LockMainDIB.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL
: hxxxs://r2gttyb5vqu6swf5.onion
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA256: 85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 15 октября 2021:
Сообщение >>
Расширение: .lock64
Записка: README_FOR_DECRYPT.txt + замена обоев


Файлы: CryptoLocker.exe, CryptoLocker32.exe, CryptoLocker64.dll, Locker.dll
IOC: VT MD5: f4928b5365a0bd6db2e9d654a77308d7
IOC: VT MD5: 3145c7e833b0372c3cab4d9f4949a718
IOC: VT MD5: 27b64857ffa56f676e45871a0d2cd164
IOC: VT MD5: 905870b51900d437aa7ac548b54efe36

Сайт вымогателей


Вариант ноября 2021:
Записка: WARNING.TXT





=== 2022 ===

Новость от 22 января 2022:
ФБР связало Diavol Ransomware с кибергруппой TrickBot (Wizard Spider). 


Вариант от 20 июня 2022:
Расширение: .lock64
Записка: WARNING.TXT
Tor-URL: hxxxs://7ypnbv3snejqmgce4kbewwvym4cm5j6lkzf2hra2hyhtsvwjaxwipkyd.onion/






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***
Added later: 
Analysis of Diavol Ransomware (on August 17, 2021)
Reverse Engineering: Diavol Ransomware (on December 17, 2021)
Внимание!  
Файлы можно расшифровать. 
Скачайте Emsisoft Decryptor для расшифровки файлов >>
 Thanks: 
 Fortinet, Michael Gillespie, 
 Andrew Ivanov (article author)
 Emsisoft
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 30 июня 2021 г.

Saved, SecurityAgent

Saved Ransomware

SecurityAgent Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель использует для шифрования данных на удаленных компьютерах свободную программу для шифрования GnuPG, а затем предлагает платную помощь, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Шифрует всего 5% в начале файла. Если пострадали архивы, то некоторые файлы можно извлечь. 



© Генеалогия: предыдущие варианты >> SecurityAgent


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце июня - начале июля 2021 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .saved

Вымогатели даже не оставили традиционную записку с требованием выкупа. Они используют окно программы удаленной помощи. Отследить куда оно ведёт можно, но только при официальном расследовании инцидента. 

Текст с навязыванием платных услуг написан на открытом экране: 



Содержание текста на экране:
Внимание Внимание Внимание!
Внимание Внимание Внимание!
Добрый день. У Вас возникли сложности на работе?
Не стоит переживать, наши IT-специалисты помогут Вам.
Для этого напишите пожалуйста нам на почту.
Наш email - securityagent@techmail.info
Хорошего и продуктивного дня!

Перевод записки на русский язык:
уже сделан



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это наверняка будут самые важные файлы, в их числе документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
файлы в папке gnupg; 
<random> - случайное название файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 29 июня 2021 г.

VietnamPav, Zitenmax

VietnamPav Ransomware 

Zitenmax Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: dttcodexgigas.2d302323eab61e5791ab5ce2c6728e6708743bed.
---
Обнаружения:
DrWeb -> Trojan.Encoder.6182
ALYac -> Generic.Ransom.Purge.CA3CF2EC
Avira (no cloud) -> TR/ATRAPS.Gen
BitDefender -> Generic.Ransom.Purge.CA3CF2EC
ESET-NOD32 -> A Variant Of Win32/Filecoder.FS
Kaspersky -> Trojan-Ransom.Win32.Purga.m
Malwarebytes -> Malware.AI.4218506913
Microsoft -> Ransom:Win32/Contentocrypt.A
Rising -> Ransom.Contentocrypt!1.B20B (CLASSIC)
Symantec -> Ransom.Purge
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_PURGE.SM2

---

© Генеалогия: ✂ Globe-2 >> VietnamPav (Zitenmax) 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Несколько пострадаших есть на русскоязычных форумах. 

К зашифрованным файлам добавляется расширение: .encrypted

Записка с требованием выкупа называется: How to restore files.hta


Содержание записки о выкупе:

All Files Encrypted !!!! - VietnamPav
You ID:
<pre>17780054208290***8600159</pre>
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.If you want to restore them, write us to the 
Mail: zitenmax@rambler.ru 
 
Перевод записки на русский язык:
Все файлы зашифрованы !!!! - VietnamPav
Ваш ID:
<pre> 17780054208290 *** 8600159 </pre>
Вы должны платить за расшифровку в биткойнах. Цена зависит от быстроты вашего ответа нам. После оплаты мы отправим вам дешифратор, который расшифрует все ваши файлы. Если вы хотите их вернуть, пишите нам на Почту: zitenmax@rambler.ru



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to restore files.hta - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: zitenmax@rambler.ru 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 156ed66fb7257ef1bdd6385c71e5aa83
SHA-1: 2d302323eab61e5791ab5ce2c6728e6708743bed
SHA-256: 028f0b1092caf4711857d0958bc798882c4ac9285895c3628f5be0c988f1d560
Vhash: 0250861d1c0d1c0515051069z19z25z23z3fz
Imphash: c9e5491d4e0eaeb36f6523d5af04912f



Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать и использовать Globe-2 Decrypter по инструкции >>
 Thanks: 
 thyrex, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 25 июня 2021 г.

WannaDie.NET

WannaDie.NET Ransomware

WannaDie-2021 Ransomware

(фейк-шифровальщик, вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель сообщает пострадавшему, что файлы зашифрованы с AES-256, а затем требует выкуп в 0.0090675 BTC, чтобы вернуть файлы. На самом деле файлы не шифруются. Оригинальное название: WannaDie Ransomware. На файле написано: Microsoft System.exe. Скомпилирован на платформе .NET. В коде есть текст на немецком языке. 

---
Обнаружения:
DrWeb -> Trojan.Winlock.14434, Trojan.Winlock.14435
ALYac -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.Ransom.Filecoder
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/LockScreen.AMW
Kaspersky -> HEUR:Trojan.MSIL.Locker.gen, HEUR:Hoax.MSIL.FakeRansom.gen
Malwarebytes -> Malware.AI.4264087825, Trojan.MalPack.MSIL
Microsoft -> Trojan:Win32/AgentTesla!ml, Program:Win32/Wacapew.C!ml
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:go*, Trojan.Generic/MSIL@AI.92 (RDM.MS*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Locker.Phqi
TrendMicro -> TROJ_GEN.R002H09FP21
---

© Генеалогия: предыдущие на платформе .
NET >> WannaDie.NET


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Образец этого крипто-вымогателя был найден во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа написана на экране блокировки: 

WannaDie.NET Ransomware

Содержание записки о выкупе:
Your PC is now infected with WannaDie ransomware.
You ha 12:59 hours to send 0.0090675 Bitcoins to bc1qzcml9q2f80q5kpjdh9rg0cusaca3u6x2k34
All files, documents, pictures and other important data is now encrypted with AES-256
1. Take your phone and open the website paxful.com or download the Paxful app in your App Store!
2. Register on the site or app and buy bitcoins with PayPal or Credit Card until you have 0.0090675 BTC
3. Now send these Bitcoins to the wallet!
4. After you done this 3 Steps send us a mail with the Transaction ID and your WannaDie-ID and then our service team will send you in 30-60min the code to unlock your PC!
5. Place the code in the field above then click enter! I app in your App Store!
---
Thank for the purchase :) Your PC is now encrypted!


Перевод записки на русский язык:
Ваш компьютер заражен WannaDie ransomware.
У вас 12:59 часов для отправки 0,0090675 биткойна на bc1qzcml9q2f80q5kpjdh9rg0cusaca3u6x2k34*
Все файлы, документы, изображения и другие важные данные зашифрованы с AES-256.
1. Возьмите ваш телефон и откройте сайт paxful.com или загрузите приложение Paxful в свой App Store!
2. Регистрируйтесь на сайте или в приложении и купите биткойны с PayPal или кредитной карты, на сумму 0,0090675 BTC.
3. Теперь отправьте эти биткойны в кошелек!
4. После этих 3 шагов отправьте нам письмо с ID транзакции и вашим WannaDie-ID, а затем наша сервис-команда отправит вам за 30-60 минут код разблокировки вашего ПК!
5. Поместите код в поле выше и нажмите Enter! I в вашем App Store!
---
Благодарим за покупку :) Ваш компьютер теперь зашифрован!



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
В данной версии файлы не шифруются, но после доработки и реализации шифрования, по прицелом вполне могу оказаться 
документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 


Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Microsoft System.exe - название вредоносного файла;
Microsoft System.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\Microsoft System.exe
C:\Users\kashe\source\repos\Microsoft System\Microsoft System\obj\Debug\Microsoft System.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qzcml9q2f80q5kpjdh9rg0cusaca3u6x2k34*
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC-1: VT, HA, IA, TG, AR, VMR, JSB
MD5: b4fcb57eec7811bf3be0452ece7ac93e
SHA-1: d219e66858a1fc99820ce7004a774cdc0cee81af
SHA-256: 4b2f7d5143ee5a64437b9f428d7b3a88d823f7af1d1dd9ae0a4504621e6a450e
Vhash: 23503675151181z9183012
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
IOC-2: VT, HA, IA, TG, AR, VMR, JSB
MD5: bd60871047c02c34de4e76aaabf397c9
SHA-1: 11edf1bec6fa977e748eb975b3459f127cbdfb0d
SHA-256: 295f01c0f93400b0bea4823457a1ca09329770c6e2fa2de44972940aba16f0b2
Vhash: 235036755511800111214012
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *