Если вы не видите здесь изображений, то используйте VPN.

пятница, 10 июня 2022 г.

7-language

7-language Ransomware

7-language Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


7-language Ransomware

Этот крипто-вымогатель шифрует или блокирует файлы пользователей, а затем требует выкуп 
$300-600 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ZZZ Locker > BlockZ7-language Locker



Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2022 г. Ориентирован на англоязычных, русскоязычных, португалоязычных, немецкоязычных, испаноязычных, франкоязычных, турецкоязычных пользователей, может распространяться по всему миру.

К зашифрованным/заблокированным файлам добавляется не расширение, а приставка Lock_1.file. Далее по номерам. 

Папка с файлами получает название Lock_folder_1. Далее тоже по номерам. 

Записки с требованием выкупа называются Readme.txt, но к ним ещё добавляется порядковый номер, например: 
Readme1.txt
Readme2.txt
***
Readme16.txt

7-language Ransomware, note, записка


Записка длинная, написана на 7 языках (английский, русский, португальский, немецкий, испанский, французский, турецкий). В переводе на другие языке, в том числе  на русский, есть неточности и ошибки. 


7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка


Содержание записки о выкупе (только текст на английском и русском):
==================================================
=OPS... YOUR FILES HAVE BEEN LOCKED=
==================================================
=LANGUAGE OF INSTRUCTIONS=
==================================================
= ENGLISH = РУССКИЙ = PORTUGUES = DEUTSCH = ESPANOL = FRANCAIS = TURKCE == 
==================================================
==================================================
=== English ===
----------------------------------------------------------------------------------            
[ Attention!!! All your files have been encrypted and removed from your computer ]
----------------------------------------------------------------------------------
 What happened to my computer?
 Your important files have been encrypted.
 All your files on your PC such as: photos, videos, audio, databases and other files
 become unavailable on your PC. Because they have been encrypted and removed from your PC.
 You may be busy looking for a way to recover your files, but don't waste your time.
 No one will be able to recover your files, as they have been encrypted and deleted from your Computer.
---------------------------------
[  Can files be recovered?      ]
---------------------------------
 Of course, we guarantee that you can easily and safely recover all files on your computer.
 All your files have been uploaded to our server and will be returned to you after payment of $300
 But you don't have much time.
 If you want to decrypt and get your files back to your PC, you need to pay 300$
 to bitcoin wallet with address     13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
 You have 3 days to pay to send the payment. After 3 days, the price will be doubled to 600$
 In addition, if you do not pay within 7 days. Your files will be permanently deleted on our servers
 And you will never be able to restore them again.
---------------------
[   How can I pay?  ]
--------------------- 
 Payment is accepted only in Bitcoins
 You need to pay 300$ dollars to a bitcoin address 13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
 What is bitcoin, you can find out on the Internet, for example, through the Google search engine.
 You can buy bitcoin on: cryptocurrency exchanges, through exchange services, on trading floors,
 or find it on google.
-----------------------------------------------
[   What if you don't have money to pay?      ]
-----------------------------------------------
You can borrow money from friends. Not a big bank loan, ask friends or relatives.
Remember that if you do not pay within 7 days, your files will be deleted forever!!!
==================================================

===========================
=== РУССКИЙ ===
===========================
----------------------------------------------------------------------------------  
[  Внимание!!! Все ваши файлы были зашифрованы и удалены с Вашего компьютера     ]
----------------------------------------------------------------------------------
  Что случилось с моим компьютером?
 Ваши важные файлы были зашифрованы.
 Все Ваши файлы на вашем ПК такие как : фотографии, видео, аудио, базы данных и остальные файлы
 стали не доступными на Вашем ПК. Поскольку они были зашифрованы и удалены с вашего ПК. 
 Возможно Вы будите заняты поиском способа восстановления Ваших файлов, но не тратьте свое время.
 Никто Вам не сможет восстановить Ваши файлы, так как они были зашифрованы и удалены с Вашего Компьютера.
---------------------------------
[ Можно ли восстановить файлы ? ]
---------------------------------
 Конечно, мы гарантируем что Вы сможете легко и безопасно восстановить все файлы на Вашем компьютере.
 Все Ваши файлы были загружены на Наш сервер и будут возвращены Вам после оплаты 300$
 Но у вас не так много времени.
 Если Вы хотите расшифровать и вернуть Ваши файлы обратно на Ваш ПК, Вам нужно заплатить 300$
 на Биткоин кошелек с адресом     13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
 На оплату у Вас есть 3 дня, что бы отправить платеж. После 3 дней, цена будет удвоена до 600$
 Кроме того, если Вы не оплатите в течении 7 дней. Ваши файлы будут удален на наших серверах навсегда
 И вы больше никогда не сможете их восстановить.
---------------------
[ Как мне оплатить? ]
--------------------- 
 Оплата принимается только в Биткоинах 
 Вам нужно оплатить 300$ долларов на биткоин адрес 13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
 Что такое биткоин, Вы можете узнать в интернете, например через поисковик гугл.
 Купить биткоин вы можете на : биржах криптовалют, через обменные сервисы, на торговых площадках,
 или найти в посковике гугл.
-----------------------------------------------
[ Что делать если у вас нет денег на оплату?  ]
-----------------------------------------------
Вы можете взять денег в долг у друзей. Не большой кредит в банке, попросить у знакомых или родственников.
Помните, что если Вы не оплатите в течении 7 дней, ваши файлы будут удалены навсегда!!!
==================================================
***

Перевод записки на русский язык:
уже сделан вымогателями


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme<N>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: 
13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
Внимание!
Предполагаю, что файлы можно разблокировать и вернуть. 
Специалистам антивирусных компаний, которые много 
лет занимаются расшифровкой файлов, не составит труда 
восстановить файлы после этого и предыдущих вариантов 
шифровальщика. 
 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Kawaii Anime

Kawaii Anime Ransomware

Kawaii Anime Scareware

(фейк-шифровальщик, пугатель) (первоисточник)
Translation into English



Этот фейк-шифровальщик сообщает, что файлы зашифрованы, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: Kawaii ransomware. На файле написано: Anime.exe. 
---
Обнаружения:
DrWeb -> Joke.Kawa.1
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> MSIL/BadJoke.AEK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> MachineLearning/Anomalous.95%
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Msil.Trojan.Agent.Ednq
TrendMicro -> TROJ_GEN.R002H09FA22
---

© Генеалогия: более ранний проект >> 
Kawaii Anime


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Образец этого крипто-вымогателя был найден в начале июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Никакие файлы не шифруются. На экране всего лишь мигает картинка с девушкой из японского аниме, сменяя красный фон на белый. В тексте сообщается, что файлы зашифрованы. Но ни в одном сервисе анализа не удалось получить какие-то зашифрованные файлы. Файл всего один и он демонстрирует 2 картинки, различающиеся лишь фоном. 

Записка с требованием выкупа написана на экране блокировки: 



Содержание текста о выкупе:
All of your important files, photos etc. have been encrypted by KAWAII ransomware. To restore them you'll have to buy 300$ in worth of bitcoin and send it to the bitcoin address below. If you have done so, you need to send an proof of your payment to our email, which is also down below.
Then we will send you the decryption key, so you can restore all of your files.
Warning!
You have 10 hours, before you are unable to restore them.
Do not close any windows, processes nor rename any encrypted files.
Do not decrypt by any third-party software.
Bitcoin address: bc1qcqr5ffr4fqd3a8e9jv6dwfkm54p5zu43mp69vs
Email address: follina4life@outlook.com

Перевод текста на русский язык:
Все ваши важные файлы, фото и т.д. зашифрованы KAWAII ransomware. Чтобы восстановить их, вам нужно купить биткойны на 300$ и отправить их на биткойн-адрес ниже. Если вы это сделали, вам нужно отправить подтверждение платежа на наш email, который также указан ниже.
Затем мы отправим вам ключ дешифрования, чтобы вы могли восстановить все свои файлы.
Предупреждение!
У вас есть 10 часов, прежде чем вы не сможете их восстановить.
Не закрывайте окна, процессы и не переименовывайте зашифрованные файлы.
Не расшифровывайте никакими сторонними программами.
Биткойн-адрес: bc1qcqr5ffr4fqd3a8e9jv6dwfkm54p5zu43mp69vs
Email-адрес: follina4life@outlook.com


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware: 
Anime.exe - название вредоносного файла; 
Anime.pdb - название файла проекта вымогателя. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\louis\source\repos\Anime\Anime\obj\Debug\Anime.pdb

 


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: follina4life@outlook.com
BTC: bc1qcqr5ffr4fqd3a8e9jv6dwfkm54p5zu43mp69vs

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: f0eef7dc5ba068dd99fe8a031c183f64
SHA-1: 857f8a048b0553b0eca1244b18afc6cb8e9ebb84
SHA-256: df13748fd29876cb3410bff58b86a160ced3985fbb4710bb4b093954f130c3e3
Vhash: 2940367515116082b151010
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 MalwareHunterTeam 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 31 мая 2022 г.

DcDcrypt, RanHassan

DcDcrypt Ransomware

RanHassan Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Rijndael (режим CBC), а затем требует связаться с вымогателями, чтобы узнать как заплатить и расшифровать вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Encrypter и Encrypter.exe. Написан на C#. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.36016
BitDefender -> Trojan.Ransom.RanHassan.A
ESET-NOD32 -> MSIL/Filecoder.ARI
Kaspersky -> Undetected
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Ransom.Ncnw
TrendMicro -> TROJ_GEN.R002H09HV22
---

© Генеалогия: RURansom и другие >> 
DcDcrypt (RanHassan)


Сайт "ID Ransomware" идентифицирует это как RanHassan


Информация для идентификации

Ранняя активность этого крипто-вымогателя началась в мае 2022 г и продолжилась позже. В первую очередь был нацелен на пользователей в Индии и арабоязычных странах, в той или иной мере знающих английский язык, но может распространяться и по всему миру. 
По всей видимости к этому вымогательству приложили руку антироссийские хакеры-вымогатели, которые хотят помешать экономическому сотрудничеству России с Индией и арабскими странами. 

К зашифрованным файлам добавляется длинное расширение которое начинается на .[Enc]

В сообщении на сайте исследователей есть более длинный вариант расширения:
.[Enc][dc.dcrypt@cyberfear.com And dc.dcrypt@mailfence.com (send both) ATTACK ID = %userID%  Telegram ID = @decryptionsupport1]

С учетом опубликованной ниже записки, где виден ID, расширение должно выглядеть следующим образом: 

.[Enc][dc.dcrypt@cyberfear.com And dc.dcrypt@mailfence.com (send both) ATTACK ID = 7I3S7Q3S6T7Y9Z  Telegram ID = @decryptionsupport1]

О других вариантах расширения не говорится, но они могут быть и с другими адресами. 

Записка с требованием выкупа называется: 
_ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta

или даже 

_ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta  referencing [dc.dcrypt@tutanota.com](mailto:dc.dcrypt@tutanota.com) and [dc.dcrypt@mailfence.com](mailto:dc.dcrypt@mailfence.com)

Из сообщений на сайтах исследователей вымогателя не совсем ясно, где название, а где текст с адресами. Но файл записки имеет расширение .hta, в этом нет сомнения. 


Содержание записки о выкупе:
What happened to my files?
Your files have been decrypted by me ;)
for more information send your Attack ID to the folowing Email
Email 1 = dc.dcrypt@cyberfear.com
Email 2 = dc.dcrypt@mailfence.com
Telegram ID = @decryptionsupport1
*******Send Email To both Address*******
---------- Atention ----------
Do not try to kill the ransomware in any way
Do not install ant antivirus its a joke ;)
Do not try to open Encrypted file
Do not trust anybody for decryption
Failure to do so may result in the destruction of your information forever
When the timer expires, your data will be Kill
Attack ID also Writed to end of each file

before pay you can send us up to 3 test file
for free decryption (less than 5 MB)

Remember your files should not be database or archive files
***DO NOT PAY ANY MONEY BEFORE DECRYPTING TEST FILE***

Your Attack ID = 7I3S7Q3S6T7Y9Z

Перевод записки на русский язык:
Что случилось с моими файлами?
Ваши файлы были расшифрованы мной ;)
для дополнительной информации отправьте ваш Attack ID на следующий email-адрес
Email 1 = dc.dcrypt@cyberfear.com
Email 2 = dc.dcrypt@mailfence.com
Telegram ID = @decryptionsupport1
*******Отправьте email на оба адреса*********
---------- Внимание ----------
Ни в коем случае не пытайтесь убить ransomware.
Не ставьте ant antivirus, это шутка ;)
Не пытайтесь открыть Зашифрованный файл
Не доверяйте никому расшифровку
Невыполнение этого требования навсегда уничтожит вашу информации 
Когда таймер остановится, ваши данные будут уничтожены
Attack ID также записывается в конец каждого файла.

перед оплатой вы можете отправить нам до 3 тест-файлов
для бесплатной расшифровки (менее 5 МБ)

Помните, что ваши файлы не должны быть базой данных или архивными файлами.
*** НЕ ПЛАТИТЕ ДЕНЬГИ ДО РАСШИФРОВКИ ТЕСТ-ФАЙЛА***

Ваш Attack ID = 7I3S7Q3S6T7Y9Z


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Эта программа-вымогатель не шифрует ничего, кроме содержимого текущего каталога, из которого она была запущена. Теневые копии файлов не удаляются.  

➤ Вот что исследователи рассказали о шифровании
После генерации пароля шифровальщик начинает шифровать содержимое текущего каталога. Метод шифрования принимает текущий путь к каталогу в качестве аргумента и начинает шифрование файлов внутри, обходя все папки внутри текущего каталога. После инициализации всех переменных, связанных с шифрованием, шифровальщик записывает примечание о выкупе в текущий каталог. Затем он проверяет размер файла. Если он меньше 1000000 байт, то создаётся новый файл с тем же именем + расширение шифрования, а затем зашифруется исходный файл и зашифрованное содержимое помешщается в новый файл и удаляется исходный файл. Если файл больше указанного размера, шифровальщик выполнит XOR 1-го байта файла с 255 и переименует файл с исходным именем + расширением шифрования, где расширение шифрования .[Enc][dc.dcrypt@cyberfear.com And dc.dcrypt@mailfence.com (send both) ATTACK ID = %userID%  Telegram ID = @decryptionsupport1].


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta - название файла с требованием выкупа;
ID.cl -  специальный файл с идентификатором жертвы, который вымогатель создает вначале процесса шифрования; 
desktop.ini — это файл конфигурации шифровальщика;
Encrypter.exe - название файла шифровальщика. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dc.dcrypt@tutanota.com, dc.dcrypt@mailfence.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 1a5c50172527d4f867951ff73ab09ed5
SHA-1: daf90b51e5f7d331bb6ba622f9c71ae0c01eb0c2
SHA-256: f54a2373225b570572f677bd601e1fed2ef7b72582af894b7132b8a390e35593
Vhash: 21403655151a084ec0027
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Исследователям из компаний K7SecurityLabs и BitDefender удалось разгадать секреты шифровальщика и использовать их для расшифровки. Вот небольшой текст, который объясняет это. 
"""Вымогатель генерирует пароль, используя ID пользователя, созданный случайным образом, и жестко закодированную соль, поскольку каждый зараженный ПК имеет уникальный ATTACK ID, и мы знаем, что он будет храниться в файле с именем ID.cl , поэтому BDRanHassanDecryptTool должен прочитать файл ID.cl, чтобы получить ID пользователя, и использовать тот же метод для генерации пароля, что и программа-вымогатель. 
После этого этот инструмент будет сканировать все диски на наличие зашифрованных файлов, все зашифрованные файлы имеют расширение .[Enc], поэтому идентифицировать зашифрованный файл будет несложно."""


Пострадавшие могут скачать дешифратор из статьи BitDefender и расшифровать свои файлы.  



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Write-up, Topic of Support
 ***
 Thanks: 
 K7SecurityLabs, BitDefender
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 30 мая 2022 г.

PoliceRecords

PoliceRecords Ransomware

PoliceRansom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


PoliceRecords Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Police_Records.exe и CryptoLocker2.0_RANSOMWARE.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35424
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AQG
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Ransom.FileCryptor.MSIL
Microsoft -> Ransom:Win32/CryptoLocker!MSR
Tencent -> Msil.Trojan.Crypren.Eyh
TrendMicro -> Ransom.MSIL.CRYPTOLOCKER.SM.hp
---

© Генеалогия: предыдущие варианты >> 
PoliceRecords


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .CRYPT

Записка с требованием выкупа называется: FAQ.txt

PoliceRecords Ransomware note, записки

Содержание записки о выкупе:
What happened to my computer? 
Your files are encrypted, meaning that your files are converted from Plain Text to Cipher Text. 
What is Plain Text and Cipher Text? 
Plain Text is something readable, but Cipher is some scrambled gibrish, that's what happened to your files right now.
In Order to turn your files into plain text, you need to decryption software, which the ransomware guarantees to give it to you, once you make the payment. 
What is going to happen if i am not going to pay ?
Then the countdown will run out and crash your system, making unstable and maybe unbootable. 
How can i trust?
You have nothing to worry about, because no one would pay us money if we cheated/scammed users.

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши файлы зашифрованы, это значит, что ваши файлы преобразованы из обычного текста в зашифрованный текст.
Что такое обычный текст и зашифрованный текст?
Обычный текст — это что-то читабельное, а шифр — это зашифрованная тарабарщина, вот что сейчас произошло с вашими файлами.
Чтобы превратить ваши файлы в обычный текст, вам нужна программа для расшифровки, которую ransomware гарантирует вам, когда вы заплатите.
Что будет, если я не буду платить?
Затем отсчет времени закончится и ваша система выйдет из строя, что сделает ее нестабильной и, возможно, невозможной для загрузки.
Как я могу доверять?
Вам не надо беспокоиться, т.к. никто не будет платить нам деньги, если мы будем обманывать пользователей.


Другим информатором является текст на экране блокировки (жёлтый текст на красном фоне). При этом используется таймер.  

Содержание текста на экране:
Your data is encrypted with a unique encryption algorythm, it is certainly impossible to recover your data without a private decryption
Key, to purchase it, there should be 2 small textboxes showing you the BTC address, as well as the e-mail address to send the BTC transaction ID.
Now once you sent the payment and e-mailed your transaction ID, wait for a reply with a private decryption program.
Using any 3rd party software will cause your system to be destroyed instantly, there are also possiblities of you losing your files Forever, the only way to recover, is by paying.
Perhaps you are busy looking for a way to recover your data but do not waste your time, nobody can recover your data without the private decryption service. If you don't know what happened without knowing what you just executed, please open "FAQ.txt."
WARNING: DO NOT RESTART YOUR COMPUTER.
Your files will be lost on
04:58:32
Send $300 worth of BTC
1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG
E-mail your BTC transaction ID:
danielnusradin@gmail.com

Перевод текста на русский язык:
Ваши данные зашифрованы с уникальным алгоритмом шифрования, восстановить ваши данные без приватной расшифровки невозможно.
Ключ, чтобы купить его, должно быть 2 небольших текстовых поля, показывающих вам адрес BTC, а также адрес email для отправки ID транзакции BTC.
Теперь, когда вы отправили платеж и отправили по email свой ID транзакции, дождитесь ответа с приватной программой дешифрования.
Использование любой сторонней программы приведет к мгновенному уничтожению вашей системы, также есть вероятность, что вы потеряете свои файлы навсегда, единственный способ восстановить — заплатить.
Возможно, вы ищете способ восстановить свои данные, но не тратьте время зря, никто не сможет восстановить ваши данные без частной службы расшифровки. Если вы не знаете, что произошло, не зная, что вы только что выполнили, откройте «FAQ.txt».
ВНИМАНИЕ: НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР.
Ваши файлы будут потеряны
04:58:32
Отправьте BTC на сумму 300 долларов
1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG
Отправьте по email ID транзакции BTC:
danielnusradin@gmail.com


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FAQ.txt - название файла с требованием выкупа;
Police_Records.pdb - название файл проекта вымогателя; 
Police_Records.exe - название вредоносного файла; 
BSOD.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\ExploitKITS\Ransomware\CryptoLocker\CryptoLocker2.0_RANSOMWARE\CryptoLocker2.0_RANSOMWARE\obj\Debug\Police_Records.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: danielnusradin@gmail.com
BTC: 1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 00d77230603c745c638c5de737d1593e
SHA-1: 680505df4393af2733768f9fb300b94dae85d5b8
SHA-256: 320636b4e8b2196fea47ba835930de39821148005e0a17163e4a97a01222ecc2
Vhash: 265036755511f086d1e3014
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 3 июля 2022: 
Расширение: .CRYPT
Файл: RubberDucky.exe, RubberDucky_Crypt0r.exe
Результаты анализа: VT + AR + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.35552
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AQG
TrendMicro -> Ransom_Crypren.R002C0WG522

Вариант от 9 июля 2022: 
Расширение: .CRYPT
Записка: Police_Decrypt0r.txt
Email:crypt31@proton.me
BTC: 1Jq3QkccvEXULEtMByA8h5H53CwY3YBwQL




Проекты:
C:\Users\user\Desktop\ExploitKITS\Ransomware\PoliceRansom\PoliceRansom\obj\Debug\PoliceRansom.pdb
E:\MBR_OVERWRITER_SOURCE_CODE-main\MBR_OVERWRITER_SOURCE_CODE\MbrOverwriter\MbrOverwriter\obj\Debug\RANSOM.pdb
Файлы: PoliceRansom.exe, BSOD.exe, RANSOM.exe
Результаты анализа: VT + AR + IAVT + AR + IA
IOC: MD5: dfcfb3d614fd1b89a6f52edb48e8285e
SHA-1: 3e64b9c5cd491ed9f033fcc93a3eb77e0c20d2db
SHA-256: 22d7669e5f554de4c292c0131498f408086a6d2f158cd487388ed5f4d111c1ea
Vhash: 2250367555121010b10193032
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Обнаружения: 
DrWebTrojan.KillMBRNET.1
BitDefenderIL:Trojan.MSILZilla.20940
ESET-NOD32A Variant Of MSIL/Filecoder.AQG
KasperskyUDS:Trojan.MSIL.DiskWriter.gen
MalwarebytesRansom.FileCryptor.MSIL
MicrosoftTrojan:MSIL/KillMBR.RPZ!MTB
RisingTrojan.Generic/MSIL@AI.100 (RDM.MSIL:pI*
TrendMicroRansom.MSIL.CRYPTOLOCKER.SM.hp




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
 Thanks: 
 MalwareHunterTeam, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *