Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 5000 � (переводчик Google считает, что этот знак гривна) в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: NoHope, NoHopeProject. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: ??? >> NoHope
Активность этого крипто-вымогателя была в начале июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Знак в тексте после суммы 5000 означает гривну (деньги в Украине). Это может указывать на то, что выкуп ориентирован на жителей Украины. текст написанот первого лица, вероятно вымогатель — новичок в вымогательстве.
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: ??? >> NoHope
Сайт "ID Ransomware" это идентифицирует как NoHope.
Информация для идентификации
К зашифрованным файлам добавляется расширение: .nohope
Записка с требованием выкупа называется: NOHOPE_README.txt
Перевод записки на русский язык:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
NOHOPE_README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: nohopeproject@protonmail.com
Monero: -
Записка с требованием выкупа называется: NOHOPE_README.txt
Содержание записки о выкупе:
Sorry, it's an unlucky day for you
All your files have been encrypted.
To get the key you will have to pay 5000� in Monero CryptoCurrency
Contact me at nohopeproject@protonmail.com and I'll tell you how to pay.
You have 5 days, after which I will delete the recovery key and you will lose all your files.
Don't try to restore or decrypt, it's impossibile. are your backup are gone.
Перевод записки на русский язык:
Извини, это неудачный день для вас
Все ваши файлы зашифрованы.
Чтобы получить ключ, вам нужно заплатить 5000 грн в Monero CryptoCurrency.
Контакт со мной на nohopeproject@protonmail.com, и я расскажу, как платить.
У вас есть 5 дней, после которых я удалю ключ восстановления, и вы потеряете все свои файлы.
Не пытайтесь восстановить или расшифровать, это невозможно. ваши резервные копии пропали.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
NOHOPE_README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: nohopeproject@protonmail.com
Monero: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + myMessage + Message Write-up, Topic of Support *
Thanks: Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.