Flowey Ransomware
(фейк-шифровальщик, вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34491
BitDefender -> Trojan.GenericKD.47346237
ESET-NOD32 -> A Variant Of Win32/Packed.FlyStudio.AA Potentially Unwanted
Kaspersky -> Hoax.Win32.FakeRansom.ix
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> Trojan Horse
TrendMicro -> Ransom_Convagent.R002C0PK921
---
© Генеалогия: ??? >> Flowey
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале ноября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Нет данных о добавляемом к файлам расширении или каком-то другом элементе.
Записка с требованием выкупа написана на экране блокировки:
Записка с требованием выкупа написана на экране блокировки:
Содержание записки о выкупе:
*Howdy!Friend. I am Flowey, all your files have been encrypted and saved by me!I used a very complex AES + DES algorithm and key to encrypt your personal file. Now the ransom can be released. You are unlikely to unlock the file yourself, and the file is not damaged. This encryption is reversible. In this hellish world, ***.Good luck
email:Rick_Astley_Helper@outlook.com
BTC Adress: 3FQWK5dwSb9kKaL22uUPGtRTAQDUttvskn
(Send 0.0005BTC to this Adress and Send mail for decrypt!)
Перевод записки на русский язык:
* Привет! Друг. Я Флауи, все твои файлы были зашифрованы и сохранены мной! Я использовал очень сложный алгоритм AES + DES и ключ, чтобы зашифровать твой личный файл. Теперь выкуп может быть выпущен. Самому разблокировать файл вряд ли получится, да и сам файл не поврежден. Это шифрование обратимо. В этом адском мире ***.
Удачи
email: Rick_Astley_Helper@outlook.com
BTC-адрес: 3FQWK5dwSb9kKaL22uUPGtRTAQDUttvskn
(Отправь 0.0005BTC на этот адрес и пришли письмо для расшифровки!)
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
flowey.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\flowey.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Rick_Astley_Helper@outlook.com
BTC: 3FQWK5dwSb9kKaL22uUPGtRTAQDUttvskn
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 7cd5b1d26ac2bbcc2d14c9ad93347292
SHA-1: ca48b30414d66c6a3014037c9e4433eebc1880b7
SHA-256: 4970564c582532cd7a5a38f4016e772143c73c4b2f8928100d021a7d3c2e2bc0
Vhash: 06503e0f7d50101011z11z47z1015z13z13z1017z
Imphash: 819acab31a01745844c34ac3fb774f95
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.