Если вы не видите здесь изображений, то используйте VPN.

суббота, 18 июня 2022 г.

Agenda, Qilin

Agenda Ransomware

Qilin Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в $50000 - 800000, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: enc.exe, enc64.exe. Написан на языках Go и Rust. 
---
Обнаружения:
DrWeb -> Trojan.Siggen18.15452
BitDefender -> Trojan.GenericKD.39831782
ESET-NOD32 -> A Variant Of WinGo/TrojanDropper.Agent.AK
Kaspersky -> Trojan.Win32.DelShad.inp
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win64/AgendaGoLauncher.A!dha
Rising -> Dropper.Agent!8.2F (CLOUD)
Tencent -> Win32.Trojan.Delshad.Wptq
TrendMicro -> TROJ_GEN.R03BC0WFS22
---

© Генеалогия: Go-вымогатели >> 
Agenda


Сайт "ID Ransomware" это идентифицирует как Agenda (с 21 марта 2023). 


Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Представители вымогателей сообщают на форумах Даркнета, что не работают по странам СНГ. 

К зашифрованным файлам добавляется расширение: .<random{10}>
Пример: 
OnHnnBvUej

Записка с требованием выкупа называется: <random{10}>-RECOVER-README.txt

Фактически: <victim_id>-RECOVER-README.txt

Пример: OnHnnBvUej-RECOVER-README.txt


Содержание записки о выкупе:
-- Agenda
Your network/system was encrypted.
Encrypted files have new extension.
-- Compromising and sensitive data
We have downloaded compromising and sensitive data from you system/network
If you refuse to communicate with us and we do not come to an agreementyour data will be published.
Data includes:
    - Employees personal dataCVsDLSSN.
    - Complete network map including credentials for local and remote services.
    - Financial information including clients databillsbudgetsannual reportsbank statements.
    - Complete datagrams/schemas/drawings for manufacturing in solidworks format
    - And more...
-- Warning
1) If you modify files - our decrypt software won't able to recover data
2) If you use third party software - you can damage/modify files (see item 1)
3) You need cipher key / our decrypt software to restore you files.
4) The police or authorities will not be able to help you get the cipher key. We encourage you to consider your decisions.
-- Recovery
1) Download tor browser: https://www.torproject.org/download/
2) Go to domain
3) Enter credentials
-- Credentials
Extension: OnHnnBvUej
Domain: ***
login: bd61eb78-64a3-4ee0-9a8e-543b8bc***** 
password: 14158620-fb98-4889-****-*

Перевод записки на русский язык:
-- Повестка дня
Ваша сеть/система зашифрована.
Зашифрованные файлы имеют новое расширение.
-- Компрометирующие и конфиденциальные данные
Мы загрузили компрометирующие и конфиденциальные данные из вашей системы/сети.
Если вы откажетесь общаться с нами и мы не договоримся, ваши данные будут опубликованы.
Данные включают:
    - Персональные данные сотрудниковCVsDLSSN.
    - Полная карта сети, включая учетные данные для локальных и удаленных служб.
    - Финансовая информация, включая данные клиентов, счета, бюджет, годовые отчеты, банковские выписки.
    - Полные дейтаграммы/схемы/чертежи для производства в формате SolidWorks
    - И более...
-- Предупреждение
1) Если вы измените файлы - наша программа для расшифровки не сможет восстановить данные
2) Если вы используете стороннее ПО - вы можете повредить/изменить файлы (см. п.1)
3) Вам нужен ключ шифрования / нашу программу для расшифровки, чтобы восстановить ваши файлы.
4) Полиция или власти не смогут помочь вам получить ключ шифра. Мы призываем вас обдумать свои решения.
-- Восстановление
1) Скачайте tor браузер: https://www.torproject.org/download/
2) Перейдите на домен
3) Введите учетные данные
-- Реквизиты для входа
Расширение: OnHnnBvUej
Домен: ***

Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Agenda Ransomware может теневые копии файлов, очищать системные журналы, перезагружать систему в безопасном режиме (Safe Mode), пытается остановить многие процессы и службы, специфичные для сервера, имеет несколько режимов работы. Образцы программы-вымогателя  настраиваются для каждой жертвы и включают уникальные идентификаторы компаний и сведения об учетной записи. И
спользуется метод уклонения от обнаружения во время шифрования: изменяет пароль пользователя по умолчанию и разрешает автоматический вход в систему с новыми учетными данными. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
OnHnnBvUej-RECOVER-README.txt - название файла с требованием выкупа;
enc.exe, enc64.exe - названия вредоносного файла

 



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 64ca549e78ad1bd3a4bd2834b0f81080
SHA-1: 493ff413528f752c5fce3ceabd89d2ab37397b86
SHA-256: 93c16c11ffca4ede29338eac53ca9f7c4fbcf68b8ea85ea5ae91a9e00dc77f01
Vhash: 086066655d5d15541az28!z
Imphash: c7269d59926fa4252270f407e4dab043


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 29 июня 2022:
Сообщение >>
Результаты анализа: VT + IA + TG
MD5: a7ab0969bf6641cd0c7228ae95f6d217
SHA-1: 002971b6d178698bf7930b5b89c201750d80a07e
SHA-256: 117fc30c25b1f28cd923b530ab9f91a0a818925b0b89b8bc9a7f820a9e630464
Vhash: 086066655d6d15541az28!z
Imphash: c7269d59926fa4252270f407e4dab043


Сообщение от 13 февраля 2023:
Скриншот с форума Даркнета.


Сообщение группы Qilin о шифровании сети жертвы. 



Октябрь 2023:
Скриншот с сайта вымогателей в сети Tor. 



Новость октября 2024:
Новая версия Qilin Ransomware на основе Rust. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
Поздние статьи об этом:
Article by TrendMicro - 25 августа 2022
Article by Group-IB - 15 мая 2023
 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Kanalia

Kanalia Ransomware

XJJ-shifrator Ransomware

(шифровальщик-не-вымогатель, деструктор) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей, но не требует выкуп, чтобы вернуть файлы. Используется примитивное шифрование, при котором к каждым пяти байтам прибавляются значения 49, 50, 51, 52, 53, и так до конца файла. Оригинальное название: в записке не указано. На файле написано: Kanalia.exe и shifrator.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.39
BitDefender -> Trojan.GenericKD.50491630
ESET-NOD32 -> A Variant Of Generik.MRUPQSX
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.MalPack
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Msil.Trojan.Encoder.Cqy
TrendMicro -> Ransom_Encoder.R002C0WFO22
---

© Генеалогия: родство выясняется.



Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине июня 2022 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: XJJ

Пример зашифрованных файлов:
document.txtXJJ
new-archive.zipXJJ
photo001.pngXJJ

Записка с требованием выкупа не обнаружена. Вместо этого используется Word-документ "Уважаемые коллеги.docx", содержащий неточности в тексте и в самом названии. 


Содержание документа:
Уважаемые коллеги, информируем Вас о наличии у задолженности за услуги связи в период с 01.02.2022 по 16.06.2022 в связи с изменениями в тарифном плане согласно акту №006352 от 14.02.2022. Отправляю Вам акт сверки по оплате выбранного тарифа. В случае не уплаты задолженности до конца месяца, доступ к услугам связи будет приостановлен.
Пароль к архиву с документами: 123
С уважением к Вам,
Старший менеджер отдела связи
Куликовский АФ


Как видите, цель этого документа вынудить читателя открыть второй "документ" 
Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe, который является вредоносным. 

Он имеет иконку Word, но exe-расширение. Пользователи, в чьей системе отключено отображение расширений для зарегистрированных типов файлов, не увидят расширение и попытаются открыть файл. 




Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
.doc, .docx, .xls, .xlsx, .dot, .ppt, .odt, .pdf, .MD, .DBF, .txt, .bmp, .jpg, .png, 
.tif, .rar, .zip 
Это документы MS Office, OpenOffice, WordPad, PDF, текстовые файлы, фотографии, архивы и прочее.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Kanalia.pdb - оригинальное название файла проекта; 
Kanalia.exe - случайное название вредоносного файла;
Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe - распространяемый вредоносный файл. 

 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Teacher\documents\visual studio 2010\Projects\Kanalia\Kanalia\obj\x86\Debug\Kanalia.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\CLR_CASOFF_MUTEX
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 0700f3bffdbbf5ecc2a9c63f8b3742a8
SHA-1: 38344723d174f57f736cbc82accbfb632b778f8a
SHA-256: 87fbcaaa029236f3a6b7de6cd8dbbd811804e0b26142c1395b0e9e84f57aaaed
Vhash: 2640465d15651140721610050
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support, Topic of Support
 ***
Внимание! 
Файлы можно расшифровать! 
Обращайтесь на форум KasperskyClub к thyrex
 Thanks: 
 Sandor, thyrex
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 10 июня 2022 г.

7-language

7-language Ransomware

7-language Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


7-language Ransomware

Этот крипто-вымогатель шифрует или блокирует файлы пользователей, а затем требует выкуп 
$300-600 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ZZZ Locker > BlockZ7-language Locker



Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2022 г. Ориентирован на англоязычных, русскоязычных, португалоязычных, немецкоязычных, испаноязычных, франкоязычных, турецкоязычных пользователей, может распространяться по всему миру.

К зашифрованным/заблокированным файлам добавляется не расширение, а приставка Lock_1.file. Далее по номерам. 

Папка с файлами получает название Lock_folder_1. Далее тоже по номерам. 

Записки с требованием выкупа называются Readme.txt, но к ним ещё добавляется порядковый номер, например: 
Readme1.txt
Readme2.txt
***
Readme16.txt

7-language Ransomware, note, записка


Записка длинная, написана на 7 языках (английский, русский, португальский, немецкий, испанский, французский, турецкий). В переводе на другие языке, в том числе  на русский, есть неточности и ошибки. 


7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка

7-language Ransomware, note, записка


Содержание записки о выкупе (только текст на английском и русском):
==================================================
=OPS... YOUR FILES HAVE BEEN LOCKED=
==================================================
=LANGUAGE OF INSTRUCTIONS=
==================================================
= ENGLISH = РУССКИЙ = PORTUGUES = DEUTSCH = ESPANOL = FRANCAIS = TURKCE == 
==================================================
==================================================
=== English ===
----------------------------------------------------------------------------------            
[ Attention!!! All your files have been encrypted and removed from your computer ]
----------------------------------------------------------------------------------
 What happened to my computer?
 Your important files have been encrypted.
 All your files on your PC such as: photos, videos, audio, databases and other files
 become unavailable on your PC. Because they have been encrypted and removed from your PC.
 You may be busy looking for a way to recover your files, but don't waste your time.
 No one will be able to recover your files, as they have been encrypted and deleted from your Computer.
---------------------------------
[  Can files be recovered?      ]
---------------------------------
 Of course, we guarantee that you can easily and safely recover all files on your computer.
 All your files have been uploaded to our server and will be returned to you after payment of $300
 But you don't have much time.
 If you want to decrypt and get your files back to your PC, you need to pay 300$
 to bitcoin wallet with address     13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
 You have 3 days to pay to send the payment. After 3 days, the price will be doubled to 600$
 In addition, if you do not pay within 7 days. Your files will be permanently deleted on our servers
 And you will never be able to restore them again.
---------------------
[   How can I pay?  ]
--------------------- 
 Payment is accepted only in Bitcoins
 You need to pay 300$ dollars to a bitcoin address 13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
 What is bitcoin, you can find out on the Internet, for example, through the Google search engine.
 You can buy bitcoin on: cryptocurrency exchanges, through exchange services, on trading floors,
 or find it on google.
-----------------------------------------------
[   What if you don't have money to pay?      ]
-----------------------------------------------
You can borrow money from friends. Not a big bank loan, ask friends or relatives.
Remember that if you do not pay within 7 days, your files will be deleted forever!!!
==================================================

===========================
=== РУССКИЙ ===
===========================
----------------------------------------------------------------------------------  
[  Внимание!!! Все ваши файлы были зашифрованы и удалены с Вашего компьютера     ]
----------------------------------------------------------------------------------
  Что случилось с моим компьютером?
 Ваши важные файлы были зашифрованы.
 Все Ваши файлы на вашем ПК такие как : фотографии, видео, аудио, базы данных и остальные файлы
 стали не доступными на Вашем ПК. Поскольку они были зашифрованы и удалены с вашего ПК. 
 Возможно Вы будите заняты поиском способа восстановления Ваших файлов, но не тратьте свое время.
 Никто Вам не сможет восстановить Ваши файлы, так как они были зашифрованы и удалены с Вашего Компьютера.
---------------------------------
[ Можно ли восстановить файлы ? ]
---------------------------------
 Конечно, мы гарантируем что Вы сможете легко и безопасно восстановить все файлы на Вашем компьютере.
 Все Ваши файлы были загружены на Наш сервер и будут возвращены Вам после оплаты 300$
 Но у вас не так много времени.
 Если Вы хотите расшифровать и вернуть Ваши файлы обратно на Ваш ПК, Вам нужно заплатить 300$
 на Биткоин кошелек с адресом     13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
 На оплату у Вас есть 3 дня, что бы отправить платеж. После 3 дней, цена будет удвоена до 600$
 Кроме того, если Вы не оплатите в течении 7 дней. Ваши файлы будут удален на наших серверах навсегда
 И вы больше никогда не сможете их восстановить.
---------------------
[ Как мне оплатить? ]
--------------------- 
 Оплата принимается только в Биткоинах 
 Вам нужно оплатить 300$ долларов на биткоин адрес 13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
 Что такое биткоин, Вы можете узнать в интернете, например через поисковик гугл.
 Купить биткоин вы можете на : биржах криптовалют, через обменные сервисы, на торговых площадках,
 или найти в посковике гугл.
-----------------------------------------------
[ Что делать если у вас нет денег на оплату?  ]
-----------------------------------------------
Вы можете взять денег в долг у друзей. Не большой кредит в банке, попросить у знакомых или родственников.
Помните, что если Вы не оплатите в течении 7 дней, ваши файлы будут удалены навсегда!!!
==================================================
***

Перевод записки на русский язык:
уже сделан вымогателями


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme<N>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: 
13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
Внимание!
Предполагаю, что файлы можно разблокировать и вернуть. 
Специалистам антивирусных компаний, которые много 
лет занимаются расшифровкой файлов, не составит труда 
восстановить файлы после этого и предыдущих вариантов 
шифровальщика. 
 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Kawaii Anime

Kawaii Anime Ransomware

Kawaii Anime Scareware

(фейк-шифровальщик, пугатель) (первоисточник)
Translation into English



Этот фейк-шифровальщик сообщает, что файлы зашифрованы, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: Kawaii ransomware. На файле написано: Anime.exe. 
---
Обнаружения:
DrWeb -> Joke.Kawa.1
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> MSIL/BadJoke.AEK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> MachineLearning/Anomalous.95%
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Msil.Trojan.Agent.Ednq
TrendMicro -> TROJ_GEN.R002H09FA22
---

© Генеалогия: более ранний проект >> 
Kawaii Anime


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Образец этого крипто-вымогателя был найден в начале июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Никакие файлы не шифруются. На экране всего лишь мигает картинка с девушкой из японского аниме, сменяя красный фон на белый. В тексте сообщается, что файлы зашифрованы. Но ни в одном сервисе анализа не удалось получить какие-то зашифрованные файлы. Файл всего один и он демонстрирует 2 картинки, различающиеся лишь фоном. 

Записка с требованием выкупа написана на экране блокировки: 



Содержание текста о выкупе:
All of your important files, photos etc. have been encrypted by KAWAII ransomware. To restore them you'll have to buy 300$ in worth of bitcoin and send it to the bitcoin address below. If you have done so, you need to send an proof of your payment to our email, which is also down below.
Then we will send you the decryption key, so you can restore all of your files.
Warning!
You have 10 hours, before you are unable to restore them.
Do not close any windows, processes nor rename any encrypted files.
Do not decrypt by any third-party software.
Bitcoin address: bc1qcqr5ffr4fqd3a8e9jv6dwfkm54p5zu43mp69vs
Email address: follina4life@outlook.com

Перевод текста на русский язык:
Все ваши важные файлы, фото и т.д. зашифрованы KAWAII ransomware. Чтобы восстановить их, вам нужно купить биткойны на 300$ и отправить их на биткойн-адрес ниже. Если вы это сделали, вам нужно отправить подтверждение платежа на наш email, который также указан ниже.
Затем мы отправим вам ключ дешифрования, чтобы вы могли восстановить все свои файлы.
Предупреждение!
У вас есть 10 часов, прежде чем вы не сможете их восстановить.
Не закрывайте окна, процессы и не переименовывайте зашифрованные файлы.
Не расшифровывайте никакими сторонними программами.
Биткойн-адрес: bc1qcqr5ffr4fqd3a8e9jv6dwfkm54p5zu43mp69vs
Email-адрес: follina4life@outlook.com


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware: 
Anime.exe - название вредоносного файла; 
Anime.pdb - название файла проекта вымогателя. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\louis\source\repos\Anime\Anime\obj\Debug\Anime.pdb

 


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: follina4life@outlook.com
BTC: bc1qcqr5ffr4fqd3a8e9jv6dwfkm54p5zu43mp69vs

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: f0eef7dc5ba068dd99fe8a031c183f64
SHA-1: 857f8a048b0553b0eca1244b18afc6cb8e9ebb84
SHA-256: df13748fd29876cb3410bff58b86a160ced3985fbb4710bb4b093954f130c3e3
Vhash: 2940367515116082b151010
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 MalwareHunterTeam 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *