Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 2 октября 2022 г.

RedKrypt

RedKrypt Ransomware

RedKryptCryptor Ransomware

CryptoJoker-RedKrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


RedKrypt Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться по email с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: RedKrypt и RedKryptCryptor. На файле написано: RedKryptCryptor.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.29468
BitDefender -> Generic.Ransom.Hiddentear.A.92480B4E
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CryptoJoker.D
Kaspersky -> HEUR:Trojan-PSW.MSIL.Stealer.gen
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Exploit:Win64/Sandsquarev.B
Rising -> Ransom.CryptoJoker!8.122BA (CLOUD)
Tencent -> Msil.Trojan-QQPass.QQRob.Mjgl
TrendMicro -> Ransom.MSIL.REDKRYPT.THJODBB
---
➤ Для получения программы для расшифровки файлов пишите в тему поддержки - Demonslay335 может помочь.

© Генеалогия: CryptoJoker family >> 
RedKrypt


Сайт "ID Ransomware" RedKrypt отдельно не идентифицирует, но может определять это как вариант CryptoJoker


Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .p.redkrypt

По традиции семейства CryptoJoker используемых расширений должна быть пара:
.p.redkrypt - при частичном шифровании;
.f.redkrypt - при полном шифровании. 

Записка с требованием выкупа называется: RedKrypt-Notes-README.txt

RedKryptCryptor Ransomware note записка

Содержание записки о выкупе:

ALL YOUR FILES HAVE BEEN ENCRYPTED BY THE REDKRYPT RANSOMWARE
Why me?
RedKrypt doesn't choose victims. Victims choose RedKrypt.
How I can recovery my files?
You cannot use third party software for decrypt your files: you can use only the official RedKrypt Decryption Tool.
Follow this istructions:
1) Copy your decryption ID
2) Write to rexplo8sdh1ba6ta18lacue8v9@gmail.com and send your decryption id
3) We'll reply with our conditions, and the decryption tool will be sent to you.
YOUR REDKRYPT CLIENT-ID:
36F4858E078BFBFF000306D2

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ПРОГРАММОЙ- ВЫМОГАТЕЛЕМ REDKRYPT
Почему я?
RedKrypt не выбирает жертв. Жертвы выбирают RedKrypt.
Как я могу восстановить свои файлы?
Вы не можете использовать сторонние программы для расшифровки ваших файлов: вы можете использовать только официальное средство расшифровки RedKrypt.
Следуйте этим инструкциям:
1) Скопируйте свой ID дешифрования
2) Напишите на rexplo8sdh1ba6ta18lacue8v9@gmail.com и пришлите свой ID дешифрования
3) Мы ответим с нашими условиями, а инструмент расшифровки будет отправлен вам.
YOUR REDKRYPT CLIENT-ID:
36F4858E078BFBFF000306D2


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RedKrypt-Notes-README.txt - название файла с требованием выкупа;
RedKryptCryptor.exe - случайное название вредоносного файла;
rnsKey.txt - специальный файл с ключом; 
DONTDELETEME.redkrypt - специальный файл, который не рекомендуется удалять. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\giuni\Desktop\RedKrypt Ransomware\CryptoJoker\obj\Debug\RedKryptCryptor.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rexplo8sdh1ba6ta18lacue8v9@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 4f6173eb23deaff1670b1b2f0f6882fe
SHA-1: 8b0aa4a785803ebcd71fa71dfe5b3671c1ab6c13
SHA-256: 16764b173314ddeb7341f18a7b33066a319476847ba715c53c4f0f8e9ed43a20
Vhash: 244036551513501018351a2074
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020
CryptoJoker 2021 Ransomware - октябрь 2021
CryptoJoker 2022 Ransomware - март 2022
RedKryptCryptor Ransomware - октябрь 2022



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 Tomas Meskauskas (PCrisk)
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 28 сентября 2022 г.

Raptor

Raptor Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Raptor Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha + AES + 
RSA, а затем требует написать в чат поддержки, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано, но слово Raptor используется в контактах. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется > 
Raptor


Сайт "ID Ransomware" Raptor пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце сентября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Были сообщения о других "рапторах", но связь не отслеживалась. 

К зашифрованным файлам добавляется расширение: .dec

Записка с требованием выкупа называется: #_HOW_TO_DECRYPT_#_.TXT

Raptor Ransomware note записка

Raptor Ransomware note записка

Содержание записки о выкупе:
################################################### # ######
############## YOUR FILES HAVE BEEN ENCRYPTED ###############
############ AND MARKED WITH .dec ##############
################################################### # ######
--
YOUR FILES ARE SAFE! ENCRYPTED ONLY :: ChaCha + AES
WE STRONGLY RECOMMEND that you DO NOT use any "Decryption Tools".
These tools can corrupt your data, making recovery IMPOSSIBLE.
We also recommend not contacting data recovery companies.
They will just contact us, buy the key and sell it to you for a higher price.
If you want to decrypt your files, you need to get the RSA private key.
--
In order to obtain the RSA private key, you need to contact us at the link below, located on the private TOR network.
Follow this link to get all the support you need and make the payment.
You just need to download and install the TOR browser (google) through the official website 
Select "Chat Support" 
>> hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php} <<
--
If you have any problems with the TOR browser, write to us on Telegram: >> @fileraptor <<
Or to our mail: >> Raptorfiles@yahooweb.co <<
and send us your id: >> {C185DDF4-E47E-D527-CF0084B78*******} <<
--
HOW to understand that we are NOT scammers? 
You can contact SUPPORT for TEST decryption of ONE file!
--
After successful payment and decryption of your files, we give 
you FULL instructions HOW TO IMPROVE your security system.
We are ready to answer all your questions!
--
################################################### # ######
################ LIST OF ENCRYPTED FILES ###############
---------------------------------------------------------
C:\DumpStack.log.tmp 0
E:\DumpStack.log.tmp 0
C:\360SANDBOX\360SandBox.sav 0
***

Список зашифрованных файлов очень длинный, потому размер записки может достигать десятки мегабайт и больше. 

Другая записка с требованием выкупа более короткая. Предоставлена пострадавшим, но в результатах анализа не обнаружена. 

Содержание второй записки:
Your files have been encrypted... Contact Telegram or Email!
Contact Telegram or Email!Contact Telegram or Email!
Decrypt files? Write to this mails: Raptorfiles@yahooweb.co or . Telegram @Fileraptor
You unique ID [2000X57BA-E235-5634-6476BC********] [copy] 


Перевод первой записки на русский язык:
###########################################################
############### ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ################
############ И ПОМЕЧЕНЫ .dec ###############
###########################################################
--
ВАШИ ФАЙЛЫ В БЕЗОПАСНОСТИ! ТОЛЬКО ЗАШИФРОВАНЫ :: ChaCha + AES
НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ НЕ ИСПОЛЬЗОВАТЬ никакие «инструменты расшифровки».
Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.
Мы также рекомендуем не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый ключ RSA.
--
Чтобы получить закрытый ключ RSA, вам надо написать нам по ссылке ниже, находящейся в закрытой сети TOR.
Перейдите по этой ссылке, чтобы получить всю необходимую поддержку и произвести оплату.
Вам достаточно скачать и установить браузер TOR (google) через официальный сайт
Выберите «Поддержка в чате».
>> hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php} <<
--
Если у вас возникли проблемы с браузером TOR, напишите нам в Telegram: >> @fileraptor <<
Или на нашу почту: >> Raptorfiles@yahooweb.co <<
и отправьте нам свой идентификатор: >> {C185DDF4-E47E-D527-CF0084B78*******} <<
--
КАК понять, что мы НЕ мошенники?
Вы можете обратиться в ПОДДЕРЖКУ для ТЕСТ-расшифровки ОДНОГО файла!
--
После успешной оплаты и расшифровки ваших файлов мы дарим
Вам ПОЛНУЮ инструкция КАК УЛУЧШИТЬ вашу систему безопасности.
Мы готовы ответить на все ваши вопросы!
--
###########################################################
################ СПИСОК ЗАШИФРОВАННЫХ ФАЙЛОВ ################
---------------------------------------------------------
***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#_HOW_TO_DECRYPT_#_.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php
Email: Raptorfiles@yahooweb.co
Telegram: @fileraptor
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***
Внимание!
В некоторых случаях файлы можно расшифровать. 
Рекомендую обратиться за помощью к специалистам DrWeb >>
 Thanks: 
 Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 26 сентября 2022 г.

EnCrypt

EnCrypt Ransomware

EnCrypt Ransomware (2022-2024)

EnCrypt-config Ransomware

Aliases: Milovski, Mawahelper, Devicdata

(шифровальщик-вымогатель) (первоисточник)
Translation into English


EnCrypt Ransomware

Этот крипто-вымогатель шифрует данные сайтов и серверов компаний с помощью комбинации алгоритмов AES (режим ECB) + RSA, а затем требует связаться с вымогателями по email, чтобы купить инструмент расшифровки, и инструкцию для расшифровки файлов. Оригинальное название: в записке не указано. На файле написано: EnCrypt.exe, Copyright © 2022, 1.0.0.0.
---
Обнаружения:
DrWeb -> Trojan.Encoder.36167
BitDefender -> Trojan.GenericKD.63577359
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ATV
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Generic!8.E315 (CLOUD)
Tencent -> Win32.Trojan-Ransom.Generic.Rgil
TrendMicro -> Trojan.MSIL.TARGETCOMP.YCCLC
---

© Генеалогия: BlackHeart NextGen (
modified) >> EnCrypt


Сайт "ID Ransomware" EnCrypt пока отдельно не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была замечена в сентябре 2022 г. Пострадавшие были и в 2023-2024 гг. Ориентирован на англоязычных пользователей, но для атак выбираются объекты в Юго-Восточной Азии. Может распространяться по всему миру.

К зашифрованным файлам добавляется составное расширение по шаблону:
.<email-login>-{LETTER}-<random>
.<email-login>-{LETTER}-<random{8}>

Примеры зашифрованных файлов: 
Searching.htm.milovski-G-f1c2d3cd
Searching.htm.mawahelper-V-f0b7b1bc
Searching.htm.Devicdata-C-e9f25a67

Записки с требованием выкупа называются: 
RECOVERY INFORMATION !!!.txt  (в 2022-2023 годах)
Recover files!!!.txt  (в 2024 году)

EnCrypt Ransomware, milovski, ransom note, записка о выкупе


Содержание записки RECOVERY INFORMATION !!!.txt:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder.
5.Your key is only kept for seven days beyond which it will never be decrypted!
6.Do not rename, do not use third-party software or the data will be permanently damaged!
7.Do not run any programs after the computer is encrypted. It may cause program damage!
8.If you delete any encrypted files from the current computer, you may not be able to decrypt them!
CONTACT US:
milovski@tutanota.com
If no response is received within 12 hours contact: milovski@onionmail.org
ID:********

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!
ЧТОБЫ РАСШИФРОВАТЬ, СЛЕДУЙТЕ ИНСТРУКЦИЯМ:
Для восстановления данных вам нужен инструмент дешифрования.
Чтобы получить инструмент дешифрования, вам нужно:
1. В письме указать свой личный ID! Отправить мне этот ID в первом письме!
2. Мы можем предоставить вам бесплатный тест для расшифровки нескольких файлов (НЕ ВАЖНЫХ) и назначить цену за расшифровку всех файлов!
3. После того, как мы отправим вам инструкцию по оплате инструмента дешифрования, и после оплаты вы получите инструмент дешифрования!
4. Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.
5. Ваш ключ хранится только семь дней, после чего он никогда не будет расшифрован!
6. Не переименовывайте, не используйте сторонние программы, иначе данные будут навсегда повреждены!
7. Не запускайте никакие программы после шифрования компьютера. Это может привести к повреждению программы!
8. Если вы удалите какие-либо зашифрованные файлы с текущего компьютера, вы не сможете их расшифровать!
СВЯЗЬ С НАМИ:
milovski@tutanota.com
Если в течение 12 часов не будет получен ответ, пишите на: milovski@onionmail.org
ID:********


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Подробности о запуске шифровальщика: 
➤ Полученный файл не запускается корректно без своих дополнительных файлов, ему требуется config-файл, написанный на языке .NET. В этом config-файле хранятся ключи шифрования (AES, RSA), расширение и текст записки о выкупе. Для ключа AES и ID используется сгенерированный GUID. Данные шифруются с помощью AES ECB.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVERY INFORMATION !!!.txt - название файла с требованием выкупа в 2022-2023 гг.;
Recover files!!!.txt  - название файла с требованием выкупа в 2024 году; 
EnCrypt.exe, EnCrypt---000.exe - названия вредоносного файла;
<APP_NAME>.exe.config - файл, содержащий ключи шифрования (удаляется после работы программы-вымогателя). 
EnCrypt.pdb - файл проекта программы-вымогателя;
DeEnCryptDemo.exe, EnCryptDemo.exe - файлы шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\<USER>\AppData\Local\Temp\EnCrypt.exe
C:\Users\<USER>\AppData\Roaming
C:\Users\<USER>\Desktop\DWrite.dll
C:\Users\<USER>\Desktop\program.INI
C:\Users\<USER>\Desktop\program.exe
C:\Users\<USER>\Desktop\program.exe.config

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: milovski@tutanota.com, milovski@onionmail.org
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, IA, TG, AR
MD5: d055658ed50601a747d0970ed1db6242 
SHA-1: c8f6a350c149b6a74622d45a6f9fc1154e0f8493 
SHA-256: 3e2b2f7e72226f935b4672a850a814e23c189830169b86073787bc7522c514bd 
Vhash: 2150466d551511509c2b1b3010 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BlackHeart Ransomware
BlackHeart NextGen ⇒ modified versions
EnCrypt Ransomware


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== 2023 ===

Вариант от 27 февраля 2023 или раньше:
Расширение: .mawahelper-V-********
Записка: RECOVERY INFORMATION !!!.txt
Email: mawahelper@tutanota.com, mawahelper@onionmail.com


Вариант от 15 марта 2023:
Аналогично предыдущему. 

Вариант от 10 апреля 2023:
Расширение: .mawahelper-V-********
Записка: RECOVERY INFORMATION !!!.txt
Email: mawahelper@tutanota.com, mawahelper@onionmail.com




=== 2024 ===

Вариант от 26 ноября 2024:
Расширение: .Devicdata-C-e9f*****
Записка: Recover files!!!.txt
Email: Devicdata@tuta.com, Devicdata@onionmail.org





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: rivitna Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 25 сентября 2022 г.

DataBankasi

DataBankasi Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется > 
DataBankasi


Сайт "ID Ransomware" DataBankasi пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине - второй половине сентября 2022 г. Ориентирован на турецкоязычных пользователей, может распространяться не только в Турции, но и по всему миру.

К зашифрованным файлам добавляется расширение: .databankasi

Записка с требованием выкупа называется: ---BILGILENDIRME----NOTU---.txt


Содержание записки о выкупе:

######################## Genel Olarak ########################
Sisteminizde ki Verileriniz tarafımızca şifrelenmiştir....
Bilindik Veri Kurtarma Yöntemleri ile Verilerinizi Geri Getiremeyeceğinizi Bilmenizi İsteriz...
Kurtarmaya yönelik yaptığınız çalışmalar hakkınız ancak... 
Geç dönüş yapılması halinde ve kurtarmaya ayırdığınız zaman sizin aleyhinize işleyecek olup geç dönüşlerde her zaman size artı fiyat olarak döneceği hususunuda dikkate alınız.
Veri kurtarma firmaları veya benzer yollar ile verileri geri getirmeye – kurtarmaya çalışmanız Sadece Sizin için Vakit ve Nakit Kaybı olacağı kesin olmak ile birlikte tercih sizindir. 
1-) Son Zamanlarda Piyasada Çok Fazla Ödeme Yapılıp Dataların Açılmaması Durumu Var Özellikle Bu Tip Olayları Yaşayan İnsanlar Daha Az Ücret Ödemek için Hile Hurdaya Başvuran insanlar... 
(Biz işimizi profesyonel olarak yapmaktayız  ödemeyi alır verileri teslim ederiz.Hiç Bir Zaman ödemesi alınmış bir veriyi açmamazlık yapmayız....) 
bu açıklamayı mail ile dönüş yaparken net ve dürüst olmanızı beklediğimi iletmiş için yazdım.  Unutmayın net ve dürüst yaklaşımlar işinizi kolaylaştırcaktır
Güven Konusunda ise, Daha Önce Şifrelediğim ve Verilerini Açtığım Bir Firmayı Referans Gösterebilirim Yada dilerseniz Örnek Dosya Çözümü Yapabiliriz....
2 -) Yine istediğiniz Data Kurtarma Firmasına Gitmekte Özgürsünüz Bir Çoğu Hackerlarla Çalışyor. 
Ama Ben Çalışmıyorum Data Kurtarma Firmalarına Giden Müşterilerin Verileri için Ekstra Ücret talep ettiğimi de bilmenizi isterim....
3-) Yukarıda Bahsettiğim Sorunları Yaşamamak Adına Fake Mailler Açarak Bize Mail Atmayınız Cevap Vermiyoruz Firma Mailleri Dışından Gelen Hiç bir Mail Cevaplanmamaktadır.
4- ) Sizi Tanımıyorum, Dolayısıyla Size Karşı Kötü Duygular Beslememin Size Kötülük Yapmamın peşinde değiliz
işimiz ticaret olarak görüyoruz paramızı alırız verileri teslim ederiz tamamen profesyonel olarak Bu İşten Bir Gelir Elde Etmekteyiz. 
Yaptığınız Ödeme Sonrasında En Kısa Zamanda Verilerinizi Eski Haline Getirmek İçin Decrypter ( Şifreli Dosyaları Çözme ) Programını Gönderiyorum...
Aşağıdaki Referans Kodunuzla Birlikte Verilerinizi Almak isterseniz Lütfen SAAT 11:00  a Kadar Mail Atınız
Yinede Veri Kurtarma Firmaları, data kurtarma girişimleriniz veya Programları Denemek isterseniz Lütfen Dosyaların Aslı üzerinde Değil Bir Yere Kopyalayıp Onlar Üzerinde Deneme Yapınız. 
Aksi halde bozulan dosyalardan siz sorumlu olursunuz.
######################## Benimle iletişime Geçtiğinizde Dikkat Etmeniz Gerekenler ########################
1-) Size teklif ettiğimiz tutarın Üzerine Pazarlık Yapmayınız dikkate almadığınız gibi ısrarcı olunması halinde ekstra ekleme yapmaktayız. 
Özetle bir siz değilsiniz Her Gün Onlarca iş yapmaktayız ve pazarlık için ayıracak vaktimiz de yoktur. 
2-) Yine bir Saat Öncesinin Yedeği Var bir Hafta Öncesinin Yedeği Var Gibi söylemler ile indirim vs talep etmeyiniz varsa böyle bir durum yedeğinizi kurun ve devam edin 
bu gibi durumlara fiyat konusunda indirime konu olmamakla birlikte katiyen pazarlığa konu edilemez.
3-) Çokça karşılaştığımız bizimle iletişime geçmek yerine Sağa Sola datanızı Kurtarırım Diyenler ile iletişim kurup üç beş gün sonra çözüm bulamadan en son bize gelmeniz sizin aleyhinize olacaktır, 
gecikmeler size artı maliyet olarak yansıyacağı hususunu da dikkate alınız. Sıklıkla karşılaştığımız bir konuda, 
Bir çok data kurtarmacı sizden aldığı bilgiler ile bize ulaşmaktadır ve size Vereceğimiz ücrete onlara  veriyoruz onlarda üzerine koyup tekrar size veriyor :)
Biz kesinlikle firma veya kurum yetkili dışında kimseyle pazarlık yapmıyoruz ve veri teslimi yada veri açma yapmıyoruz.. 
Yine bu gibi girişimleriniz sonunda gelirseniz Ücretiniz talep ettiğim tutarın üstünde olacağını bilmenizi isteriz.
4-) Zamanında net ve dürüst bir şekilde Gelip duygu sömürüsü gibi boş talepler ile değil de tam bir profesyonel gibi gelirseniz bizde size karşı gerekli hassasiyeti ve 
profesyonelce ticaretimizi biri birimizi üzmeden tamamlarız. Bunu dışında mazeret mali gerekçe vb istekler ile  indirim talebinde bulunmayınız, 
bu gibi gerekçeleri kesinlikle dikkate almıyoruz  işimizi duygularımızla yürütmüyoruz 10 yıllık tecrübemiz ile artık bu gibi durumlara  pirim vermemekteyiz...
5-) Bize ulaşırken Şirket Maili Dışında Mail göndermeyiniz dikkate almamaktayız.  Nedeni ise Bir Çok Data Kurtarma Firması ve Verilerini Çözdüğünü iddia Eden Dolandırıcılar sizden aldıkları bilgiler ile 
(Özellikle Youtube Üzerinden) Fake Mailler Açıp bize ulaşıyorlar ve sizden para alarak ortadan kaybolmaktadırlar.
Bu yüzden sadece şirket maillerinden gelen yada sizin olduğunuza emin olduğumuz mail adreslerinden gelen iletilere cevap vermekteyiz.
Son olarak data kurtarmacılara ulaşsanız dahi onlar da verileri bizden talep etmektedirler bir nevi aracılıktan öte bir misyonları olmadığı gibi 
son zamanlarda dolandırıcılık aracı olmuştur. Bizimle direk iletişime geçmeniz net ve profesyonelce yaklaşımınız işleminizin çok hızlı bir şekilde hatta gün içinde çözülmesini mümkün kılar.
=> REFERANS KODUNUZ <=
Jf1IjVuXiailC0QqO1hPcXAxXzrWDnxe5RhvQRFeCyA*databankasi
=> MAİL ADRESİMİZ <=
databankasi@mail.ru
databankasi@mail.ru
Yedek Email Adresimiz (Yukardakinden Cevap Alamadığınız Durumlarda)
databankasi@techmail.info
######################## Bu Kısım Data Kurtarma Firmalarına Özel Nottur ########################
Yıllarca Sırtımızdan Para Kazandınız Kurtarmadığınız Verileri Kurtarıyormuş Gibi Lanse Ettiniz Bu Saatten Sonra Hiçbirinizle Çalışmıyorum... 
Fake Mailler Açıp iletişime Geçemeyin Yakalarsam Anlarsam Firmalara İfşa Ederim


Перевод записки на русский язык:
######################## В общем ########################
Ваши данные в вашей системе зашифрованы нами.
Мы хотим, чтобы вы знали, что вы не можете вернуть свои данные с помощью известных методов восстановления данных...
Делать восстановление данных - ваше право, но...
Обратите внимание, затраты на восстановление и время на восстановление, сработают против вас, ***.
Выбор за вами, и вы можете быть уверены, что попытки восстановить данные будут пустой тратой времени и денег — восстановление данных с помощью компаний по восстановлению данных или аналогичными способами.
1-) В последнее время есть ситуация, когда на рынке слишком много платежей, и данные не открываются, особенно люди, испытавшие на себе взломанные программы, чтобы платить меньше...
(Мы делаем свою работу профессионально, мы берем оплату и возвращаем данные. Мы всегда открываем оплаченные данные....)
Я написал это заявление, чтобы показать, что я ожидаю от вас ясности и честности при ответе по email. Помните, четкие и честные подходы облегчат вашу работу.
Что касается доверия, я могу сослаться на компанию, для которой я ранее зашифровал и открыл ее данные, или, если хотите, мы можем сделать образец файлов....
2-) Опять же, вы можете обратиться в любую компанию по восстановлению данных, большинство из них работают с хакерами. Но я не работаю. Я хотел бы, чтобы вы знали, что я беру дополнительную плату за данные клиентов, обращающихся в компании по восстановлению данных....
3-) Чтобы не столкнуться с проблемами, о которых я рассказал выше, не отправляйте нам email, открывая поддельные email.
4-) Я вас не знаю, поэтому мы не хотим испытывать к вам плохие чувства и делать вам плохо.
Мы ведём наш бизнес как коммерцию, мы берем свои деньги, мы возвращаем данные, мы получаем доход от этого бизнеса полностью профессионально.
Я отправлю программу Decrypter (для расшифровки зашифрованных файлов) для восстановления ваших данных как можно быстро после оплаты...
Если вы хотите получить свои данные с приведенным ниже ссылочным кодом, отправьте email до 11:00.
Однако, если вы хотите попробовать фирмы по восстановлению данных, попытаетесь восстановления данные или программы, скопируйте куда-нибудь исходные файлы, а не пробуйте их.
В противном случае вы несете ответственность за поврежденные файлы.
######################## Что нужно учитывать при обращении ко мне #################### # ####
1-) Не торгуйтесь на предлагаемую Вам сумму, т.к. Вы её не снизите, а мы её повысим, если Вы будете настаивать.
Таким образом, вы не единственный, Мы выполняем десятки заказов каждый день, и у нас нет времени торговаться.
2-) Опять же, если есть бэкап для отката, скидки не запрашивайте с заявлениями типа Есть бэкап недельной давности, если это так, то настройте свой бэкап и продолжайте.
В таких случаях, хотя цена не подлежит скидке, она вообще не может быть предметом переговоров.
3-) Будет против вас, если вы обратитесь к тем, кто говорит, что сохранит ваши данные, вместо того, чтобы связаться с нами, с чем мы часто сталкиваемся, и вы придете к нам через 3 или 5 дней, не найдя решения.
Пожалуйста, также примите во внимание, что задержки отразятся на вас как на дополнительные расходы. Например, мы часто сталкиваемся с тем, что
многие восстановители данных обращаются к нам с информацией, которую они получают от вас, и мы отдаем их по той цене, которую мы дали бы вам, а они повышают ее и отдают вам :)
Мы, конечно же, не ведем переговоры ни с кем, кроме уполномоченной компании или учреждения, и мы не предоставляем и не открываем данные.
Мы хотели бы, чтобы вы знали, что если вы придете к нам после таких попыток, ваш выкуп будет выше суммы, которую я запросил.
4-) Если вы придете вовремя четко и честно, не с пустыми требованиями типа эмоциональной эксплуатации, а как полноправный профессионал, мы проявим к вам необходимую чуткость и заботу.
Мы делаем свое дело профессионально, не огорчая друг друга. Кроме того, не запрашивайте скидку с оправданиями, финансовыми причинами и т. д.,
мы не учитываем такие причины, мы не делаем свое дело на эмоциях, мы не даем премии таким ситуациям с нашим 10-летним опытом...
5-) При обращении к нам мы не учитываем, что вы не отправляете никакой почты, кроме Почты Компании. Причина в том, что многие фирмы по восстановлению данных и мошенники утверждают, что решают свои данные с помощью информации, которую они получают от вас.
(Особенно на Youtube) Они открывают поддельные письма, доходят до нас и исчезают, забрав у вас деньги.
По этой причине мы отвечаем только на сообщения с email компании или с email-адресов, которые, как мы уверены, принадлежат вам.
Наконец, даже если вы доберетесь до восстановителей данных, они также запросят данные у нас, т.к. у них нет никакой миссии, кроме своего рода посредника, в последнее время стало средством мошенничества. Обращаясь к нам напрямую, ваш четкий и профессиональный подход позволяет решить вашу сделку очень быстро, даже в течение дня.
=> ВАШ РЕФЕРЕНЦИОННЫЙ КОД <=
Jf1IjVuXiailC0QqO1hPcXAxXzrWDnxe5RhvQRFeCyA*databankasi
=> НАШ АДРЕС ЭЛЕКТРОННОЙ ПОЧТЫ <=
databankasi@mail.ru
databankasi@mail.ru
Наш резервный email-адрес (на случай, если вы не получите ответ сверху)
databankasi@techmail.info
######################## Это специальное примечание для фирм по восстановлению данных ################## ## #####
Вы годами зарабатывали деньги на наших спинах, вы рекламировалиcm, как будто вы восстанавливаете данные, которые вы не восстанавливали, после этого часа я не буду работать ни с кем из вас...
Не открывайте поддельные письма и обращайтесь, если я поймаю, если я узнаю, я сообщу фирмам


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
---BILGILENDIRME----NOTU---.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: databankasi@mail.ru, databankasi@techmail.info
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *