Polaris Ransomware
PolAris Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Polaris (указано в записке). На файле написано: systemd-timed, polaris.
---
Обнаружения:
DrWeb -> Linux.Encoder.110
BitDefender -> Trojan.GenericKD.47325539
ESET-NOD32 -> A Variant Of Linux/Filecoder.Polaris.A
Kaspersky -> UDS:Trojan-Ransom.Linux.Polaris.a
Microsoft -> Trojan:Linux/Multiverze
Symantec -> Trojan Horse
Tencent -> Linux.Trojan.Filecoder.Svqn
TrendMicro -> TROJ_FRS.VSNTK421, Ransom.Linux.POLARIS.A
---
© Генеалогия: другие вымогатели для Linux серверов >> Polaris (PolAris)
Активность этого крипто-вымогателя была в конце октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Обнаружения:
DrWeb -> Linux.Encoder.110
BitDefender -> Trojan.GenericKD.47325539
ESET-NOD32 -> A Variant Of Linux/Filecoder.Polaris.A
Kaspersky -> UDS:Trojan-Ransom.Linux.Polaris.a
Microsoft -> Trojan:Linux/Multiverze
Symantec -> Trojan Horse
Tencent -> Linux.Trojan.Filecoder.Svqn
TrendMicro -> TROJ_FRS.VSNTK421, Ransom.Linux.POLARIS.A
---
© Генеалогия: другие вымогатели для Linux серверов >> Polaris (PolAris)
Сайт "ID Ransomware" идентифицирует это как Polaris.
Информация для идентификации
Активность этого крипто-вымогателя была в конце октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам никакое расширение не добавляется.
Записка с требованием выкупа называется: WARNING.txt
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
WARNING.txt - название файла с требованием выкупа;
systemd-timed, polaris - название вредоносного ELF файла.
Записка с требованием выкупа называется: WARNING.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Files on this system have been encrypted by Polaris.
To request decryption key
Mail:
* pol.aris@opentrash.com
* pol.aris@tutanota.com
Discord:
* polaris#3366
In message clearly state name of your company.
WARNING: Do not touch encrypted files. If you brake file structure access will be lost forever.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Перевод записки на русский язык:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Файлы в этой системе зашифрованы Polaris.
Запросить ключ дешифрования
Почта:
* pol.aris@opentrash.com
* pol.aris@tutanota.com
Discord:
* polaris#3366
В сообщении четко укажите название вашей компании.
ВНИМАНИЕ: не трогайте зашифрованные файлы. Если вы нарушите файловую структуру доступ будет утерян навсегда.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
WARNING.txt - название файла с требованием выкупа;
systemd-timed, polaris - название вредоносного ELF файла.
Скриншоты кода от исследователя Neogram:
Расположения:
/bin - каталог для бинарных (исполняемых приложений);
/etc - каталог для конфигурационных файлой, стартовых сценариев;
/home - домашние каталоги пользователей;
/opt - каталог для установки дополнительных приложений;
/proc - динамический каталог, содержащий информацию о состоянии системы, включая процессы, исполняемые в данный момент;
/tmp - каталог для временных файлов;
/usr - каталог для приложений и файлой, доступных всем пользователям;
/var - каталог изменяемых файлох, таких как логи и базы данных;
... и, вероятно, другие.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: pol.aris@opentrash.com, pol.aris@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: c601a9e2b98b8e0146ca4b435bb42a0e
SHA-1: d2bb053f990313a8fc30216025c4eeffbbaafb87
SHA-256: e29aa629bf492a087a17fa7ec0edb6be4b84c5c8b0798857939d8824fa91dbf9
Vhash: 96ff10d1934a2b23862a96897373223d
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author) Neogram *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.