RedKrypt Ransomware
RedKryptCryptor Ransomware
CryptoJoker-RedKrypt Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться по email с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: RedKrypt и RedKryptCryptor. На файле написано: RedKryptCryptor.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.29468
BitDefender -> Generic.Ransom.Hiddentear.A.92480B4E
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CryptoJoker.D
Kaspersky -> HEUR:Trojan-PSW.MSIL.Stealer.gen
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Exploit:Win64/Sandsquarev.B
Rising -> Ransom.CryptoJoker!8.122BA (CLOUD)
Tencent -> Msil.Trojan-QQPass.QQRob.Mjgl
TrendMicro -> Ransom.MSIL.REDKRYPT.THJODBB
---
➤ Для получения программы для расшифровки файлов пишите в тему поддержки - Demonslay335 может помочь.
© Генеалогия: CryptoJoker family >> RedKrypt
© Генеалогия: CryptoJoker family >> RedKrypt
Сайт "ID Ransomware" RedKrypt отдельно не идентифицирует, но может определять это как вариант CryptoJoker.
Информация для идентификации
Активность этого крипто-вымогателя была в начале октября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .p.redkrypt
По традиции семейства CryptoJoker используемых расширений должна быть пара:
По традиции семейства CryptoJoker используемых расширений должна быть пара:
.p.redkrypt - при частичном шифровании;
.f.redkrypt - при полном шифровании.
Записка с требованием выкупа называется: RedKrypt-Notes-README.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RedKrypt-Notes-README.txt - название файла с требованием выкупа;
RedKryptCryptor.exe - случайное название вредоносного файла;
.f.redkrypt - при полном шифровании.
Записка с требованием выкупа называется: RedKrypt-Notes-README.txt
ALL YOUR FILES HAVE BEEN ENCRYPTED BY THE REDKRYPT RANSOMWARE
Why me?
RedKrypt doesn't choose victims. Victims choose RedKrypt.
How I can recovery my files?
You cannot use third party software for decrypt your files: you can use only the official RedKrypt Decryption Tool.
Follow this istructions:
1) Copy your decryption ID
2) Write to rexplo8sdh1ba6ta18lacue8v9@gmail.com and send your decryption id
3) We'll reply with our conditions, and the decryption tool will be sent to you.
YOUR REDKRYPT CLIENT-ID:
36F4858E078BFBFF000306D2
Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ПРОГРАММОЙ- ВЫМОГАТЕЛЕМ REDKRYPT
Почему я?
RedKrypt не выбирает жертв. Жертвы выбирают RedKrypt.
Как я могу восстановить свои файлы?
Вы не можете использовать сторонние программы для расшифровки ваших файлов: вы можете использовать только официальное средство расшифровки RedKrypt.
Следуйте этим инструкциям:
1) Скопируйте свой ID дешифрования
2) Напишите на rexplo8sdh1ba6ta18lacue8v9@gmail.com и пришлите свой ID дешифрования
3) Мы ответим с нашими условиями, а инструмент расшифровки будет отправлен вам.
YOUR REDKRYPT CLIENT-ID:
36F4858E078BFBFF000306D2
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RedKrypt-Notes-README.txt - название файла с требованием выкупа;
RedKryptCryptor.exe - случайное название вредоносного файла;
rnsKey.txt - специальный файл с ключом;
DONTDELETEME.redkrypt - специальный файл, который не рекомендуется удалять.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\giuni\Desktop\RedKrypt Ransomware\CryptoJoker\obj\Debug\RedKryptCryptor.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: rexplo8sdh1ba6ta18lacue8v9@gmail.com
BTC: -
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: rexplo8sdh1ba6ta18lacue8v9@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 4f6173eb23deaff1670b1b2f0f6882fe
SHA-1: 8b0aa4a785803ebcd71fa71dfe5b3671c1ab6c13
SHA-256: 16764b173314ddeb7341f18a7b33066a319476847ba715c53c4f0f8e9ed43a20
Vhash: 244036551513501018351a2074
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020
CryptoJoker 2021 Ransomware - октябрь 2021
CryptoJoker 2022 Ransomware - март 2022
RedKryptCryptor Ransomware - октябрь 2022
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + myMessage + Message Write-up, Topic of Support ***
Thanks: Tomas Meskauskas (PCrisk) Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.