CryptoJoker 2021

CryptoJoker 2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

 Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Для получения программы для расшифровки файлов пишите в тему поддержки - Demonslay335 может помочь.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: более ранние варианты > CryptoJoker 2019 > CryptoJoker 2020 > CryptoJoker 2021

Сайт "ID Ransomware" идентифицирует это как CryptoJoker. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .encrypted

Фактически используется составное расширение: .partially.[encrypter@tuta.io].encrypted

Но используется, как в предыдущих вариантах, в составе двух типов:

.partially

.fully

Одно используется для частичного шифрования файлов, другое для полного шифрования файлов. 

Записка с требованием выкупа называется: how to decrypt my files.txt

Содержание записки о выкупе:

hello !!! all your data is encrypted..

and for decrypt it you need a key..

if you want to return your data :

contact us whit this email :

encrypter@tuta.io

warning : please be careful if you try decrypt it

yourself or change windows or every things

you may damage it and damage the some hidden

necessary decryption files

Перевод записки на русский язык:

Привет !!! все ваши данные зашифрованы..

а для его расшифровки нужен ключ..

если вы хотите вернуть свои данные:

свяжитесь с нами по этому email:

encrypter@tuta.io

предупреждение: будьте осторожны, если попробуете расшифровать

сами или сменить windows или все прочее

вы можете повредить эти файлы и некоторые другие скрытые 

необходимые для дешифрования файлы

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
how to decrypt my files.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Частично зашифрованные файлы выглядят следующим образом:

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: encrypter@tuta.io
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020
CryptoJoker 2021 Ransomware - октябрь 2021

CryptoJoker 2022 Ransomware - март 2022

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

VanGoth

VanGoth Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп £50 в BTC, чтобы вернуть файлы. Оригинальное название: VanGoth. На файле написано: VanGoth.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34421
BitDefender -> Trojan.GenericKD.37797714

ESET-NOD32 -> A Variant Of MSIL/Filecoder.GZ
Kaspersky -> UDS:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileLocker
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> Trojan Horse
TrendMicro -> Ransom.MSIL.VANGOTH.THJBEBA
---

© Генеалогия: HiddenTear >> VanGoth

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .VanGoth

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:

Files have been encrypted by VanGoth

Please send  Some etherum worth £50 to ether address:0x1AF8944214143085AD09b459303f3EB29953d7eB

email jaber1699@protonmail.com for deC3ypter Program to deCypt Files Allso eate ***. *** Back the KKK and slavery.

Перевод записки на русский язык:

Файлы были зашифрованы VanGoth

Отправьте немного эфира на 50 фунтов стерлингов на адрес: 0x1AF8944214143085AD09b459303f3EB29953d7eB

напишите по электронной почте jaber1699@protonmail.com для программы deC3ypter по распаковке файлов. ***. *** возврат KKK и рабство.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt - название файла с требованием выкупа;
VanGoth.exe - название вредоносного файла;

gmreadme.txt - название файла, созданного файлом VanGoth.exe.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\VanGoth.exe

C:\Windows\SysWOW64\drivers\gmreadme.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jaber1699@protonmail.com
Ethereum: 0x1AF8944214143085AD09b459303f3EB29953d7eB

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: afff555062c4e6fb3a34e7c2be519fcd

SHA-1: 73ed552ba04e57e8cd991f9f82a182aa298c4baa

SHA-256: d27a5719ec67c146a1b338302074de39f5ad49b17f81cb014cc2c57c4f464d85

Vhash: 234036551511209515d3080

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FXS

FXS Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем добавляет текст в зашифрованные файлы. Требования о выкупе не найдены. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> FXS

Сайт "ID Ransomware" идентифицирует это как CryptoJoker. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине октября 2021 г. Ориентирован на англоязычных и русскоязычных пользователей, может распространяться по всему миру.

Обычная записка с требованием выкупа не обнаружена. 

К зашифрованным файлам добавляется расширение: .fxs 

Также используется интересный маркер файлов. Английская и русско-язычная версии представлены на картинках. 

Содержание английского текста в маркере файлов:
A HOLD UP OF THE VIRUS WINDOWS... V*A ATTACK VIRUS WINDOWS*. THIS FORMAT IS HOLD UPON A ATTACK VIRUS WINDOWS FXS 

Содержание русскоязычного текста в маркере файлов::
*** не предоставлено ***

Есть ещё следующее сообщение.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BabyDuck

BabyDuck Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.055 BTC, чтобы вернуть файлы. Оригинальное название: BabyDuck. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
ALYac -> 
Avira (no cloud) -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> BabyDuck

Сайт "ID Ransomware" идентифицирует это как BabyDuck. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .babyduck

Записка с требованием выкупа называется: README.babyduck

Содержание записки о выкупе:

 ____        _             _____              _

 |  _ \      | |           |  __ \           | |

 | |_) | __ _| |__  _   _  | |  | |_   _  ___| | __

 |  _ < / _` | '_ \| | | | | |  | | | | |/ __| |/ /       o<

 | |_) | (_| | |_) | |_| |_| |__| | |_| | (__|   <     >{=}

 |____/ \__,_|_.__/ \__, (_)_____/ \__,_|\___|_|\_\

                     __/ |                             _

                    |___/ |                           | |

   __ _ _   _  __ _  ___| | __   __ _ _   _  __ _  ___| | __

  / _` | | | |/ _` |/ __| |/ /  / _` | | | |/ _` |/ __| |/ /

 | (_| | |_| | (_| | (__|   <  | (_| | |_| | (_| | (__|   <

  \__, |\__,_|\__,_|\___|_|\_\  \__, |\__,_|\__,_|\___|_|\_\

     | |                           | |

     |_|                           |_|

Ducky has got your files encrypted!

This happened because you were not paying attention to your security.

Ducky will give you your files back if you pay him a bit of crypto.

Use TOR browser (https://www.torproject.org/download/) and follow this link

babydovegkmhbontykziyq7qivwzy33mu4ukqefe4mqpiiwd3wibnjqd.onion

Don't worry, if you behave and pay - you'll get your files back;)

YOUR KEY IS

[redacted 64 lowercase hex]:[redacted 32 lowercase hex]

Перевод записки на русский язык:

Даки зашифровал ваши файлы!

Это произошло из-за того, что вы не обращали внимания на свою безопасность.

Даки вернет вам ваши файлы, если вы заплатите ему немного криптовалюты.

Воспользуйтесь браузером TOR (https://www.torproject.org/download/) и перейдите по этой ссылке.

babydovegkmhbontykziyq7qivwzy33mu4ukqefe4mqpiiwd3wibnjqd.onion

Не волнуйтесь, если будете хорошо себя вести и заплатите - вы получите свои файлы обратно;)

ВАШ КЛЮЧ

***

Скриншоты с сайта вымогателей:

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Неизвестно как это распространяется. Вполне может начать распространяться одним из известных способов, например, путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.babyduck - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: babydovegkmhbontykziyq7qivwzy33mu4ukqefe4mqpiiwd3wibnjqd.onion

Tox chat: 884DB530A*** 
BTC: 1Jhy2u81RbUQnu23wykuLvK3KhYCmmdAWA

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage 
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, PolarToffee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.