Surtr Ransomware
(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34790
BitDefender -> Gen:Variant.Bulz.597982
ESET-NOD32 -> A Variant Of Win64/Injector.GN
Kaspersky -> Trojan.Win32.DelShad.hko
Malwarebytes -> Ransom.Surtr
Microsoft -> Ransom:Win64/Surtr.MK!MTB
Rising -> Trojan.Injector!8.C4 (CLOUD)
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Delshad.Anfw
TrendMicro -> TROJ_GEN.R002H0DLN21
---
© Генеалогия: ??? >> Surtr
Активность этого крипто-вымогателя была в конце декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .SURT
Фактически используется составное расширение по шаблону: .[DecryptMyData@mailfence.com].SURT
Записки с требованием выкупа называются:
Записки с требованием выкупа называются:
SURTR_README.txt
SURTR_README.hta
Содержание записки SURTR_README.txt:
What happened to your files?
Unfortunately, your server was compromised,
using a security hole in your server.
All your files are encrypted with a military algorithm .
in order to contact us you can email this address
DecryptMyData@mailfence.com
use this ID( Mg7XhdqAg5vABo ) for the title of your email.
if you weren't able to contact us within 24 hours please email :
Decrypter@msgsafe.io
Only we can decrypt your files.
Please do not contact separate fraudulent sites.
You can use freeand even paid software on the Internet,
but it is uselessand will cause you to lose filesand timeand money.
Что случилось с вашими файлами?
К сожалению, ваш сервер был взломан,
используя дыру в безопасности на вашем сервере.
Все ваши файлы зашифрованы с военным алгоритмом.
чтобы связаться с нами, вы можете email на этот адрес
DecryptMyData@mailfence.com
используйте этот ID (Mg7XhdqAg5vABo) для заголовка вашего email.
если вы не смогли написать нам в течение 24 часов, пишите на email:
Decrypter@msgsafe.io
Только мы можем расшифровать ваши файлы.
Пожалуйста, не связывайтесь с отдельными мошенническими сайтами.
Вы можете использовать бесплатные и даже платные программы в Интернете,
но это бесполезно и приведет к потере файлов, времени и денег
Содержание записки SURTR_README.hta:
SurtrRansomware
OOPS ALL YOUR IMPORTANT FILES HAVE BEEN ENCRYPTED AND STOLEN !!
Notice : There is only one way to restore your data read the boxes carefully!
Attention :
☢ Do Not change file names.
☢ Do Not try to decrypt using third party softwares , it may cause permanent data loss .
☢ If you do not pay the fee within one month , your important files will be published in our public belog .
☢ Do not pay any money before decrypting the test files.
☢ You can use our 50% discount if you pay the fee within first 15 days of encryption . otherwise the price will be doubled.
☢ In order to warranty you , our team will decrypt 3 of your desired files for free.but you need to pay the specified price for the rest of the operation .
How To Decrypt :
☢ Your system is offline . in order to contact us you can email this address DecryptMyData@mailfence.com use this ID (Mg7XhdqAg5vABo) for the title of your email .
☢ If you weren't able to contact us within 24 hours please email : Decrypter@msgsafe.io
☢ If you didn't get any respond within 48 hours use this link (Not Available Now).send your ID and your cryptor name (SurtrRansomwareUserName) therefore we can create another way to contact you as soon as possible
Перевод записки на русский язык:
SurtrRansomware
Упс ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ И УКРАДЕНЫ !!
Примечание: есть только один способ восстановить ваши данные, внимательно прочтите!
Внимание :
☢ Не меняйте имена файлов.
☢ Не пытайтесь расшифровать с помощью сторонних программ, это может привести к безвозвратной потере данных.
☢ Если вы не оплатите взнос в течение одного месяца, ваши важные файлы будут опубликованы в нашем общедоступном блоге.
☢ Не платите деньги перед расшифровкой тестовых файлов.
☢ Вы можете воспользоваться нашей скидкой 50%, если заплатите комиссию в течение первых 15 дней после шифрования. иначе цена будет удвоена.
☢ Чтобы гарантировать вам, наша команда бесплатно расшифрует 3 нужных вам файла, но вам надо заплатить указанную цену за оставшуюся часть операции.
Как расшифровать:
☢ Ваша система отключена. чтобы связаться с нами, вы можете написать на этот адрес DecryptMyData@mailfence.com, используйте этот ID (Mg7XhdqAg5vABo) как заголовок вашего email.
☢ Если вы не смогли связаться с нами в течение 24 часов, пишите email на: Decrypter@msgsafe.io
☢ Если вы не получили ответа в течение 48 часов, используйте эту ссылку (сейчас недоступно). Отправьте свой ID и имя шифровальщика (SurtrRansomwareUserName), чтобы мы могли создать другой способ связаться с вами как можно скорее
Другим информатором является изображение, заменяющее обои Рабочего стола.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, манипулирует размером теневого хранилища, отключает функции восстановления и исправления Windows на этапе загрузки, отдельно удаляет все найденные бэкапы.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
SURTR_README.txt - название файла с требованием выкупа;
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
SURTR_README.txt - название файла с требованием выкупа;
SURTR_README.hta - название файла с требованием выкупа;
Surtr.exe - случайное название вредоносного файла;
Surtr.exe - случайное название вредоносного файла;
ID_DATA.surt - файл с идентификатором;
Private_DATA.surt - приватный данные;
Public_DATA.surt - публичные данные;
SurtrBackGround.jpg - фоновое изображение;
SurtrIcon.ico - иконка;
Dropper.pdb - файл проекта.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\Service\ID_DATA.surt
C:\ProgramData\Service\Private_DATA.surt
C:\ProgramData\Service\Public_DATA.surt
C:\ProgramData\Service\SURTR_README.hta
C:\ProgramData\Service\SURTR_README.txt
C:\ProgramData\Service\Surtr.exe
C:\ProgramData\Service\SurtrBackGround.jpg
C:\ProgramData\Service\SurtrIcon.ico
C:\Users\Admin\AppData\Local\Temp\Service\ID_DATA.surt
C:\Users\Admin\AppData\Local\Temp\Service\Surtr.exe
C:\Users\Admin\AppData\Local\Temp\Service\SURTR_README.hta
C:\Users\Dev\source\repos\Dropper\x64\Release\Dropper.pdb
Файлы в Автозагрузке системы:
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.txt
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.hta
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.txt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Surtr.exe
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: DecryptMyData@mailfence.com, Decrypter@msgsafe.io
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: e6fc190168519d6a6c4f1519e9450f0f
SHA-1: af2080ddf1064fb80c7b9af942aaabf264441098
SHA-256: 8199ef63e0058be6217ec8392258fbe7fac9fb556b8e87f40a3a45835f424980
Vhash: 035076655d155515555038z4f3z1@z
Imphash: dc2674579d8467837a92f4344084fc20
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 3 марта 2022:
Расширение: .surtr
Email: Dec_youfile1986@mailfence.com
Записки: SURTR_README.hta, SURTR_README.txt
Изображение на обои: SurtrBackGround.jpg
Обнаружения:
BitDefender -> Gen:Variant.Lazy.132748
DrWeb -> Trojan.Siggen17.19184
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Surtr
Microsoft -> Ransom:Win32/Babuk.SIB!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Wnmq
TrendMicro -> Ransom.Win32.SURTR.YXCCCT
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: S!Ri, Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.