Если вы не видите здесь изображений, то используйте VPN.

вторник, 11 октября 2022 г.

Prestige

Prestige Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



 Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует купить у вымогателей программу для расшифровки файлов. Оригинальное название: в записке написано Prestige ranusomeware. Использует библиотеку Crypto C++. На файле написано: 123.exe. 
---
 Обнаружения:
DrWeb -> Trojan.MulDrop20.65519
BitDefender -> DeepScan:Generic.Ransom.Spora.C08F87D6
ESET-NOD32 -> A Variant Of Win32/Filecoder.Prestige.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Prestige.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Prestige.B
Rising -> Trojan.Generic@AI.91 (RDML:bhj***
Tencent -> Win32.Trojan.Filecoder.Kajl
TrendMicro -> Ransom_Prestige.R03BC0DJE22
---
© Генеалогия: родство выясняется >> Prestige


Сайт "ID Ransomware" Prestige пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была якобы обнаружена сотрудниками Microsoft в начале октября 2022 г. По их утверждению, программа-вымогатель распространяется российскими хакерами, и направлена на украинских и польских пользователей. 
Так как компания Microsoft находится в США, много раз была уличена в  русофобском и антироссийском настроении, потому верить очередному "выплеску русофобии" нет необходимости. Антивирусные продукты Microsoft много лет занимаются шпионажем в пользу НАТО, потому должны быть удалены со всех компьютеров в России, Беларуси и изъяты из продаж в магазинах. 
Здесь мы только суммируем информацию. Программа-вымогатель есть, угроза шифрования файлов существует, а кто её запускает — это другая тема. 

К зашифрованным файлам добавляется расширение: .enc

 Записка с требованием выкупа называется: README


Этот файл не имеет расширения .txt и запускается с помощью следующей команды в Блокноте. 


 Содержание записки о выкупе:
YOU PERSONAL FILES HAVE BEEN ENCRYPTED.
To decrypt all the data, you will need to purchase our decryption software.
Contact us Prestige.ranusomeware@Proton.me. In the letter, type your ID = *******.
* ATTENTION *
- Do not try to decrypt your data using third party software, it may cause permanent data loss.
- Do not modify or rename encrypted files. You will lose them.

 Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ.
Чтобы расшифровать все данные, вам надо приобрести нашу программу для расшифровки.
Пишите нам на Prestige.ranusomeware@Proton.me. В письме введите свой ID = *******.
* ВНИМАНИЕ *
- Не пытайтесь расшифровать свои данные сторонними программами, это приведет к потере данных.
- Не изменяйте и не переименовывайте зашифрованные файлы. Вы потеряете их.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 
Технические детали + IOC

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые и резервные копии файлов, чтобы затруднить восстановление. 

➤ По данным MSTIC (Microsoft) вымогатели использовали следующие утилиты: RemoteExec — платный инструмент для безагентного удаленного выполнения кода; Impacket WMIexec — инструмент на основе сценариев с открытым исходным кодом для удаленного выполнения кода.
Чтобы получить доступ к учетным данным с высоким уровнем привилегий, использовались следующие инструменты для повышения привилегий и извлечения учетных данных:
winPEAS — набор скриптов с открытым исходным кодом для повышения привилегий в Windows;
comsvcs.dll — используется для дампа памяти процесса LSASS и кражи учетных данных;
ntdsutil.exe — используется для резервного копирования базы данных Active Directory, вероятно, для последующего использования учетных данных.


 Список типов файлов, подвергающихся шифрованию:
.1cd, .7z, .abk, .accdb, .accdc, .accde, .accdr, .alz, .apk, .apng, .arc, .asd, .asf, .asm, .asx, .avhd, .avi, .avif, .bac, .backup, .bak, .bak2, .bak3, .bh, .bkp, .bkup, .bkz, .bmp, .btr, .bz, .bz2, .bzip, .bzip2, .c, .cab, .cer, .cf, .cfu, .cpp, .crt, .db, .db3, .dbf, .db-wal, .der, .dmg, .dmp, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dsk, .dt, .dump, .dz, .ecf, .edb, .epf, .ess, .exb, .ged, .gif, .gpg, .gzi, .gzip, .hdd, .img, .iso, .jar, .java, .jpeg, .jpg, .js, .json, .kdb, .key, .lz, .lz4, .lzh, .lzma, .mdmr, .mkv, .mov, .mp3, .mp4, .mpeg, .myd, .nude, .nvram, .oab, .odf, .ods, .old, .ott, .ovf, .pac, .pdf, .pern, .pfl, .pfx, .php, .pkg, .pl2, .png, .pot, .potm, .potx, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .pvm, .py, .qcow, .qcow2, .r0, .rar, .raw, .rz, .s7z, .sdb, .sdc, .sdd, .sdf, .sfx, .skey, .sldm, .sldx, .sql, .sqlite, .svd, .svg, .tar, .taz, .tbz, .tbz2, .tg, .tib, .tiff, .trn, .txt, .txz, .tz, .vb, .vbox, .vbox-old, .vbox-prev, .vdi, .vdx, .vhd, .vhdx, .vmc, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmx, .vmxf, .vsd, .vsdx, .vss, .vst, .vsx, .vtx, .wav, .wbk, .webp, .wmdb, .wmv, .xar, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .z, .zbf, .zip, .zipx, .zl, .zpi, .zz (194 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README - название файла с требованием выкупа;
123.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: Prestige.ranusomeware@Proton.me
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

 Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 8119c78b7cfb7d9ce37286ec9fc263e2
SHA-1: 986ba7a5714ad5b0de0d040d1c066389bcb81a67
SHA-256: 5fc44c7342b84f50f24758e39c8848b2f0991e8817ef5465844f5f2ff6085a57
Vhash: 075056656d15556038z6b!z
Imphash: a32bbc5df4195de63ea06feb46cd6b55

Публичный образец этого вредоносного файла, не доказывает того, что за распространением Prestige Ransomware стоят российские хакеры, потому я считаю заявление MSTIC (Microsoft) лживым и бездоказательным. 

 Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новость от 10 ноября 2022: 
 Еще одна антироссийская и русофобская статья на сайте BC >>
"Страдальцы" — объекты в Украине и Польше. Технология вранья. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Write-up, Topic of Support
 ***
 Thanks: 
 MSTIC (Microsoft), BleepingComputer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на Комментариев нет:

воскресенье, 2 октября 2022 г.

RedKrypt

RedKrypt Ransomware

RedKryptCryptor Ransomware

CryptoJoker-RedKrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


RedKrypt Ransomware

 Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться по email с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: RedKrypt и RedKryptCryptor. На файле написано: RedKryptCryptor.exe.
---
 Обнаружения:
DrWeb -> Trojan.Encoder.29468
BitDefender -> Generic.Ransom.Hiddentear.A.92480B4E
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CryptoJoker.D
Kaspersky -> HEUR:Trojan-PSW.MSIL.Stealer.gen
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Exploit:Win64/Sandsquarev.B
Rising -> Ransom.CryptoJoker!8.122BA (CLOUD)
Tencent -> Msil.Trojan-QQPass.QQRob.Mjgl
TrendMicro -> Ransom.MSIL.REDKRYPT.THJODBB
---
➤ Для получения программы для расшифровки файлов пишите в тему поддержки - Demonslay335 может помочь.
© Генеалогия: CryptoJoker family >> RedKrypt


Сайт "ID Ransomware" RedKrypt отдельно не идентифицирует, но может определять это как вариант CryptoJoker


Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .p.redkrypt

По традиции семейства CryptoJoker используемых расширений должна быть пара:
.p.redkrypt - при частичном шифровании;
.f.redkrypt - при полном шифровании. 

 Записка с требованием выкупа называется: RedKrypt-Notes-README.txt
RedKryptCryptor Ransomware note записка

Содержание записки о выкупе:
ALL YOUR FILES HAVE BEEN ENCRYPTED BY THE REDKRYPT RANSOMWARE
Why me?
RedKrypt doesn't choose victims. Victims choose RedKrypt.
How I can recovery my files?
You cannot use third party software for decrypt your files: you can use only the official RedKrypt Decryption Tool.
Follow this istructions:
1) Copy your decryption ID
2) Write to rexplo8sdh1ba6ta18lacue8v9@gmail.com and send your decryption id
3) We'll reply with our conditions, and the decryption tool will be sent to you.
YOUR REDKRYPT CLIENT-ID:
36F4858E078BFBFF000306D2

 Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ПРОГРАММОЙ- ВЫМОГАТЕЛЕМ REDKRYPT
Почему я?
RedKrypt не выбирает жертв. Жертвы выбирают RedKrypt.
Как я могу восстановить свои файлы?
Вы не можете использовать сторонние программы для расшифровки ваших файлов: вы можете использовать только официальное средство расшифровки RedKrypt.
Следуйте этим инструкциям:
1) Скопируйте свой ID дешифрования
2) Напишите на rexplo8sdh1ba6ta18lacue8v9@gmail.com и пришлите свой ID дешифрования
3) Мы ответим с нашими условиями, а инструмент расшифровки будет отправлен вам.
YOUR REDKRYPT CLIENT-ID:
36F4858E078BFBFF000306D2


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

 Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RedKrypt-Notes-README.txt - название файла с требованием выкупа;
RedKryptCryptor.exe - случайное название вредоносного файла;
rnsKey.txt - специальный файл с ключом; 
DONTDELETEME.redkrypt - специальный файл, который не рекомендуется удалять. 

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\giuni\Desktop\RedKrypt Ransomware\CryptoJoker\obj\Debug\RedKryptCryptor.pdb

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: rexplo8sdh1ba6ta18lacue8v9@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

 Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 4f6173eb23deaff1670b1b2f0f6882fe
SHA-1: 8b0aa4a785803ebcd71fa71dfe5b3671c1ab6c13
SHA-256: 16764b173314ddeb7341f18a7b33066a319476847ba715c53c4f0f8e9ed43a20
Vhash: 244036551513501018351a2074
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

 Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020
CryptoJoker 2021 Ransomware - октябрь 2021
CryptoJoker 2022 Ransomware - март 2022
RedKryptCryptor Ransomware - октябрь 2022


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 Tomas Meskauskas (PCrisk)
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на Комментариев нет:

среда, 28 сентября 2022 г.

Raptor

Raptor Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Raptor Ransomware

 Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha + AES + RSA, а затем требует написать в чат поддержки, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано, но слово Raptor используется в контактах. На файле написано: нет данных.
---
 Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется > Raptor


Сайт "ID Ransomware" Raptor пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце сентября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Были сообщения о других "рапторах", но связь не отслеживалась. 

К зашифрованным файлам добавляется расширение: .dec

 Записка с требованием выкупа называется: #_HOW_TO_DECRYPT_#_.TXT

Raptor Ransomware note записка

Raptor Ransomware note записка

 Содержание записки о выкупе:
################################################### # ######
############## YOUR FILES HAVE BEEN ENCRYPTED ###############
############ AND MARKED WITH .dec ##############
################################################### # ######
--
YOUR FILES ARE SAFE! ENCRYPTED ONLY :: ChaCha + AES
WE STRONGLY RECOMMEND that you DO NOT use any "Decryption Tools".
These tools can corrupt your data, making recovery IMPOSSIBLE.
We also recommend not contacting data recovery companies.
They will just contact us, buy the key and sell it to you for a higher price.
If you want to decrypt your files, you need to get the RSA private key.
--
In order to obtain the RSA private key, you need to contact us at the link below, located on the private TOR network.
Follow this link to get all the support you need and make the payment.
You just need to download and install the TOR browser (google) through the official website 
Select "Chat Support" 
>> hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php} <<
--
If you have any problems with the TOR browser, write to us on Telegram: >> @fileraptor <<
Or to our mail: >> Raptorfiles@yahooweb.co <<
and send us your id: >> {C185DDF4-E47E-D527-CF0084B78*******} <<
--
HOW to understand that we are NOT scammers? 
You can contact SUPPORT for TEST decryption of ONE file!
--
After successful payment and decryption of your files, we give 
you FULL instructions HOW TO IMPROVE your security system.
We are ready to answer all your questions!
--
################################################### # ######
################ LIST OF ENCRYPTED FILES ###############
---------------------------------------------------------
C:\DumpStack.log.tmp 0
E:\DumpStack.log.tmp 0
C:\360SANDBOX\360SandBox.sav 0
***

Список зашифрованных файлов очень длинный, потому размер записки может достигать десятки мегабайт и больше. 

Другая записка с требованием выкупа более короткая. Предоставлена пострадавшим, но в результатах анализа не обнаружена. 

Содержание второй записки:
Your files have been encrypted... Contact Telegram or Email!
Contact Telegram or Email!Contact Telegram or Email!
Decrypt files? Write to this mails: Raptorfiles@yahooweb.co or . Telegram @Fileraptor
You unique ID [2000X57BA-E235-5634-6476BC********] [copy] 


 Перевод первой записки на русский язык:
###########################################################
############### ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ################
############ И ПОМЕЧЕНЫ .dec ###############
###########################################################
--
ВАШИ ФАЙЛЫ В БЕЗОПАСНОСТИ! ТОЛЬКО ЗАШИФРОВАНЫ :: ChaCha + AES
НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ НЕ ИСПОЛЬЗОВАТЬ никакие «инструменты расшифровки».
Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.
Мы также рекомендуем не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый ключ RSA.
--
Чтобы получить закрытый ключ RSA, вам надо написать нам по ссылке ниже, находящейся в закрытой сети TOR.
Перейдите по этой ссылке, чтобы получить всю необходимую поддержку и произвести оплату.
Вам достаточно скачать и установить браузер TOR (google) через официальный сайт
Выберите «Поддержка в чате».
>> hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php} <<
--
Если у вас возникли проблемы с браузером TOR, напишите нам в Telegram: >> @fileraptor <<
Или на нашу почту: >> Raptorfiles@yahooweb.co <<
и отправьте нам свой идентификатор: >> {C185DDF4-E47E-D527-CF0084B78*******} <<
--
КАК понять, что мы НЕ мошенники?
Вы можете обратиться в ПОДДЕРЖКУ для ТЕСТ-расшифровки ОДНОГО файла!
--
После успешной оплаты и расшифровки ваших файлов мы дарим
Вам ПОЛНУЮ инструкция КАК УЛУЧШИТЬ вашу систему безопасности.
Мы готовы ответить на все ваши вопросы!
--
###########################################################
################ СПИСОК ЗАШИФРОВАННЫХ ФАЙЛОВ ################
---------------------------------------------------------
***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 
Технические детали + IOC

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

 Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#_HOW_TO_DECRYPT_#_.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Tor-URL: hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php
Email: Raptorfiles@yahooweb.co
Telegram: @fileraptor
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

 Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


 Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***
Внимание!
В некоторых случаях файлы можно расшифровать. 
Рекомендую обратиться за помощью к специалистам DrWeb >>
 Thanks: 
 Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на Комментариев нет:

понедельник, 26 сентября 2022 г.

EnCrypt

EnCrypt Ransomware

EnCrypt Ransomware (2022-2024)

EnCrypt-config Ransomware

Aliases: Milovski, Mawahelper, Devicdata

(шифровальщик-вымогатель) (первоисточник)
Translation into English


EnCrypt Ransomware

 Этот крипто-вымогатель шифрует данные сайтов и серверов компаний с помощью комбинации алгоритмов AES (режим ECB) + RSA, а затем требует связаться с вымогателями по email, чтобы купить инструмент расшифровки, и инструкцию для расшифровки файлов. Оригинальное название: в записке не указано. На файле написано: EnCrypt.exe, Copyright © 2022, 1.0.0.0.
---
 Обнаружения:
DrWeb -> Trojan.Encoder.36167
 BitDefender -> Trojan.GenericKD.63577359
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ATV
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Generic!8.E315 (CLOUD)
Tencent -> Win32.Trojan-Ransom.Generic.Rgil
TrendMicro -> Trojan.MSIL.TARGETCOMP.YCCLC
---
© Генеалогия: BlackHeart NextGen (modified) >> EnCrypt


Сайт "ID Ransomware" EnCrypt пока отдельно не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была замечена в сентябре 2022 г. Пострадавшие были и в 2023-2024 гг. Ориентирован на англоязычных пользователей, но для атак выбираются объекты в Юго-Восточной Азии. Может распространяться по всему миру.

К зашифрованным файлам добавляется составное расширение по шаблону:
.<email-login>-{LETTER}-<random>
.<email-login>-{LETTER}-<random{8}>

Примеры зашифрованных файлов: 
Searching.htm.milovski-G-f1c2d3cd
Searching.htm.mawahelper-V-f0b7b1bc
Searching.htm.Devicdata-C-e9f25a67

 Записки с требованием выкупа называются: 
RECOVERY INFORMATION !!!.txt  (в 2022-2023 годах)
Recover files!!!.txt  (в 2024 году)

EnCrypt Ransomware, milovski, ransom note, записка о выкупе


 Содержание записки RECOVERY INFORMATION !!!.txt:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder.
5.Your key is only kept for seven days beyond which it will never be decrypted!
6.Do not rename, do not use third-party software or the data will be permanently damaged!
7.Do not run any programs after the computer is encrypted. It may cause program damage!
8.If you delete any encrypted files from the current computer, you may not be able to decrypt them!
CONTACT US:
milovski@tutanota.com
If no response is received within 12 hours contact: milovski@onionmail.org
ID:********

 Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!
ЧТОБЫ РАСШИФРОВАТЬ, СЛЕДУЙТЕ ИНСТРУКЦИЯМ:
Для восстановления данных вам нужен инструмент дешифрования.
Чтобы получить инструмент дешифрования, вам нужно:
1. В письме указать свой личный ID! Отправить мне этот ID в первом письме!
2. Мы можем предоставить вам бесплатный тест для расшифровки нескольких файлов (НЕ ВАЖНЫХ) и назначить цену за расшифровку всех файлов!
3. После того, как мы отправим вам инструкцию по оплате инструмента дешифрования, и после оплаты вы получите инструмент дешифрования!
4. Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.
5. Ваш ключ хранится только семь дней, после чего он никогда не будет расшифрован!
6. Не переименовывайте, не используйте сторонние программы, иначе данные будут навсегда повреждены!
7. Не запускайте никакие программы после шифрования компьютера. Это может привести к повреждению программы!
8. Если вы удалите какие-либо зашифрованные файлы с текущего компьютера, вы не сможете их расшифровать!
СВЯЗЬ С НАМИ:
milovski@tutanota.com
Если в течение 12 часов не будет получен ответ, пишите на: milovski@onionmail.org
ID:********


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 
Технические детали + IOC

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Подробности о запуске шифровальщика: 
➤ Полученный файл не запускается корректно без своих дополнительных файлов, ему требуется config-файл, написанный на языке .NET. В этом config-файле хранятся ключи шифрования (AES, RSA), расширение и текст записки о выкупе. Для ключа AES и ID используется сгенерированный GUID. Данные шифруются с помощью AES ECB.

 Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVERY INFORMATION !!!.txt - название файла с требованием выкупа в 2022-2023 гг.;
Recover files!!!.txt  - название файла с требованием выкупа в 2024 году; 
EnCrypt.exe, EnCrypt---000.exe - названия вредоносного файла;
<APP_NAME>.exe.config - файл, содержащий ключи шифрования (удаляется после работы программы-вымогателя). 
EnCrypt.pdb - файл проекта программы-вымогателя;
DeEnCryptDemo.exe, EnCryptDemo.exe - файлы шифровальщика. 

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\<USER>\AppData\Local\Temp\EnCrypt.exe
C:\Users\<USER>\AppData\Roaming
C:\Users\<USER>\Desktop\DWrite.dll
C:\Users\<USER>\Desktop\program.INI
C:\Users\<USER>\Desktop\program.exe
C:\Users\<USER>\Desktop\program.exe.config

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: milovski@tutanota.com, milovski@onionmail.org
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

 Результаты анализов: 
IOC: VT, IA, TG, AR
MD5: d055658ed50601a747d0970ed1db6242 
SHA-1: c8f6a350c149b6a74622d45a6f9fc1154e0f8493 
SHA-256: 3e2b2f7e72226f935b4672a850a814e23c189830169b86073787bc7522c514bd 
Vhash: 2150466d551511509c2b1b3010 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


 Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BlackHeart Ransomware
BlackHeart NextGen ⇒ modified versions
EnCrypt Ransomware

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== 2023 ===

Вариант от 27 февраля 2023 или раньше:
Расширение: .mawahelper-V-********
Записка: RECOVERY INFORMATION !!!.txt
Email: mawahelper@tutanota.com, mawahelper@onionmail.com


Вариант от 15 марта 2023:
Аналогично предыдущему. 

Вариант от 10 апреля 2023:
Расширение: .mawahelper-V-********
Записка: RECOVERY INFORMATION !!!.txt
Email: mawahelper@tutanota.com, mawahelper@onionmail.com




=== 2024 ===

Вариант от 26 ноября 2024:
Расширение: .Devicdata-C-e9f*****
Записка: Recover files!!!.txt
Email: Devicdata@tuta.com, Devicdata@onionmail.org




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на Комментариев нет:
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *