RobbinHood Ransomware
Enc_RobbinHood Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.8 BTC за один ПК или 13 BTC за все ПК скомпрометированной системы, чтобы вернуть файлы. В другом примере было 3 BTC за один ПК и 13 BTC за все. Оригинальное название: в записке не указано. Написан на языке GO (Golang).
Обнаружения:
DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.29715, Trojan.Encoder.32994
BitDefender -> Trojan.GenericKD.31919436, Trojan.GenericKD.44347786
Emsisoft -> Trojan-Ransom.RobbinHood (A)
ESET-NOD32 -> Win32/Filecoder.RobbinHood.A, A Variant Of Win32/Filecoder.RobbinHood.D
Kaspersky -> Trojan-Ransom.Win32.Robin.a, Trojan-Ransom.Win32.Robin.ab
Malwarebytes -> Ransom.RobbinHood.GO, Ransom.RobinHood
Microsoft -> Ransom:Win32/Robin
Microsoft -> Ransom:Win32/Robin
TrendMicro -> Ransom.Win32.ROBBINHOOD.A, Ransom.Win32.ROBBINHOOD.SMTH
© Генеалогия: HiddenTear + изменения >> RobbinHood
К зашифрованным файлам добавляется составное расширение по шаблону: Encrypted_<random{16}>.enc_robbinhood
Пример: Encrypted_2e3b4cea89S49adl.enc_robbinhood
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на вторую половину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: _Decryption_ReadMe.html
Но могут быть еще файлы
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html
Содержание записки о выкупе:
What happened to your files?
All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:
1 - We encrypted your files with our "Public key"
2 - You can decrypt, the encrypted files with specific "Private key" and your private key is in our hands ( It's not possible to recover your files without our private key )
---
Is it possible to get back your data?
Yes, We have a decrypter with all your private keys. We have two options to get all your data back.
Follow the instructions to get all your data back:
OPTION 1
Step 1 : You must send us 0.8 Bitcoin(s) for each affected system
Step 2 : Inform us in panel with hostname(s) of the system you want, wait for confirmation and get your decrypter
OPTION 2
Step 1 : You must send us 13 Bitcoin(s) for all affected system
Step 2 : Inform us in panel, wait for confirmation and get all your decrypters
Our Bitcoin address is: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
BE CAREFUL, THE COST OF YOUR PAYMENT INCREASES $10,000 EACH DAY AFTER THE FOURTH DAY
---
Access to the panel ( Contact us )
The panel address: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Alternative addresses
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Access to the panel using Tor Browser
If non of our links are accessible you can try tor browser to get in touch with us:
Step 1: Download Tor Browser from here: https://www.torproject.org/download/download.html.en
Step 2: Run Tor Browser and wait to connect
Step 3: Visit our website at: panel address
If you're having a problem with using Tor Browser, Ask Google: how to use tor browser
---
Wants to make sure we have your decrypter?
To make sure we have your decrypter you can upload at most 3 files (maximum size allowance is 10 MB in total) and get your data back as a demo.
---
Where to buy Bitcoin?
The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online
---
Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы зашифрованы с RSA-4096, подробнее на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA - это алгоритм, используемый современными компьютерами для шифрования и дешифрования данных. RSA - это асимметричный криптографический алгоритм. Асимметричный означает, что есть два разных ключа. Это также называется криптографией с открытым ключом, потому что один из ключей может быть предоставлен любому:
1 - Мы зашифровали ваши файлы с помощью нашего "Открытого ключа"
2 - Вы можете расшифровать, зашифрованные файлы с определенным "Закрытым ключом", а ваш закрытый ключ у нас в руках (восстановить наши файлы без нашего закрытого ключа невозможно)
---
Можно ли вернуть ваши данные?
Да, у нас есть дешифратор со всеми вашими личными ключами. У нас есть два варианта вернуть все ваши данные.
Следуйте инструкциям, чтобы вернуть все ваши данные:
ВАРИАНТ 1
Шаг 1: Вы должны отправить нам 0.8 Биткоина для каждой уязвимой системы
Шаг 2: Сообщите нам на панели с именами хостов желаемой системы, дождитесь подтверждения и получите дешифратор
ВАРИАНТ 2
Шаг 1: Вы должны отправить нам 13 биткоинов на всю затронутую систему
Шаг 2: Сообщите нам в панели, дождитесь подтверждения и получите все ваши дешифраторы
Наш биткоин-адрес: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
БУДЬТЕ ОСТОРОЖНЫ, СТОИМОСТЬ ВАШЕЙ ОПЛАТЫ РАСТЕТ НА 10 000 ДОЛЛАРОВ КАЖДЫЙ ДЕНЬ ПОСЛЕ ЧЕТВЕРТОГО ДНЯ
---
Доступ к панели (свяжитесь с нами)
Адрес панели: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Альтернативные адреса
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Доступ к панели с помощью Tor браузер
Если ни одна из наших ссылок недоступна, вы можете пробовать браузер, чтобы связаться с нами:
Шаг 1: Загрузите Tor браузер отсюда: https://www.torproject.org/download/download.html.en
Шаг 2: Запустите Tor браузер и дождитесь подключения
Шаг 3: Посетите наш сайт по адресу: адрес панели
Если у вас возникли проблемы с использованием Tor браузер, спросите Google: как использовать Tor браузер
---
Хотите убедиться, что у нас есть ваш дешифратор?
Чтобы убедиться, что у нас есть ваш дешифратор, вы можете загрузить максимум 3 файла (максимально допустимый размер составляет 10 МБ) и вернуть свои данные в виде демонстрации.
---
Где купить биткоин?
Самый простой способ - LocalBitcoins, но вы можете найти больше сайтов, где можно купить биткоины, используя Поиск Google: купить биткоины онлайн
---
Скриншот страницы вымогателей в сети Tor
Содержание текста со страницы:
Important points
You can upload only 3 files (maximum size allowance is 10 MB in total) for free recovery to make sure we are honest. Afterwards you need to pay 0.8 Bitcoin for each affected system or 13 Bitcoin for all affected systems.
Bitcoin Address: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
I want to mention that your privacy is important for us, all of your records including IP address and Encryption keys will be wiped out after your payment. Also the bitcoin address you should pay to, is generated specifically for you and nobody knows about it.
There is no need to mention that our servers have no event a bit of your network data and information.
Choose your encrypted file
[Upload]
Перевод текст на русский язык:
Важные моменты
Вы можете загрузить только 3 файла (максимально допустимый размер составляет 10 МБ) для бесплатного восстановления, чтобы быть честными. После этого вам нужно заплатить 0.8 биткойна за каждую уязвимую систему или 13 биткоинов за все затронутые системы.
Адрес биткойна: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
Хочу отметить, что ваша конфиденциальность важна для нас, все ваши записи, включая IP-адрес и ключи шифрования, будут стерты после вашей оплаты. Кроме того, биткоин-адрес, на который вы должны платить, сгенерирован специально для вас, и никто не знает об этом.
Нет необходимости упоминать, что на наших серверах нет событий о вашей сети, данных и информации.
Выберите зашифрованный файл
[Загрузить]
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ RobbinHood останавливает 181 работающую службу Windows, из тех, что могут быть связанные с работой антивирусов, базой данных, почтовым сервером и другими программами, которые могут использовать открытые файлы и помещать их шифрованию.
Это делается с помощью команды cmd.exe /c sc.exe stop AVP /y
Полный список служб, который останавливает RobbinHood:
AVP, MMS, ARSM, SNAC, ekrn, KAVFS, RESvc, SamSs, W3Svc, WRSVC, bedbg, masvc, SDRSVC, TmCCSF, mfemms, mfevtp, sacsvr, DCAgent, ESHASRV, KAVFSGT, MySQL80, POP3Svc, SMTPSvc, Smcinst, SstpSvc, TrueKey, mfefire, EhttpSrv, IISAdmin, IMAP4Svc, McShield, MySQL57, kavfsslp, klnagent, macmnsvc, ntrtscan, tmlisten, wbengine, Antivirus, MSSQL$TPS, SQLWriter, ShMonitor, UI0Detect, sophossps, MSOLAP$TPS, MSSQL$PROD, SAVService, SQLBrowser, SmcService, swi_filter, swi_update, AcrSch2Svc, EsgShKernel, MBAMService, MSSQLSERVER, MsDtsServer, SntpService, VeeamNFSSvc, swi_service, AcronisAgent, FA_Scheduler, MSExchangeES, MSExchangeIS, MSExchangeSA, MSSQL$ECWDB2, MSSQL$SOPHOS, MSSQL$TPSAMA, PDVFSService, ReportServer, SQLAgent$TPS, SQLTELEMETRY, VeeamRESTSvc, MSExchangeMTA, MSExchangeSRS, MSOLAP$TPSAMA, McTaskManager, SQLAgent$CXDB, SQLAgent$PROD, VeeamCloudSvc, VeeamMountSvc, SQL Backups, mozyprobackup, msftesql$PROD, swi_update_64, EraserSvc11710, MSExchangeMGMT, MSSQL$BKUPEXEC, MSSQL$SQL_2008, MsDtsServer100, MsDtsServer110, SQLSERVERAGENT, VeeamBackupSvc, VeeamBrokerSvc, VeeamDeploySvc, Sophos Agent, svcGenericHost, EPUpdateService, MBEndpointAgent, MSOLAP$SQL_2008, MSSQLFDLauncher, McAfeeFramework, SAVAdminService, SQLAgent$ECWDB2, SQLAgent$SOPHOS, SQLAgent$TPSAMA, VeeamCatalogSvc, MSSQL$SHAREPOINT, MSSQL$SQLEXPRESS, MSSQL$SYSTEM_BGC, NetMsmqActivator, ReportServer$TPS, SepMasterService, TrueKeyScheduler, EPSecurityService, MSOLAP$SYSTEM_BGC, MSSQL$PRACTICEMGT, SQLAgent$BKUPEXEC, SQLAgent$SQL_2008, SQLSafeOLRService, VeeamTransportSvc, Zoolz 2 Service, MSSQL$PRACTTICEBGC, MSSQL$VEEAMSQL2012, Sophos MCS Agent, BackupExecJobEngine, MSSQL$SBSMONITORING, MSSQLFDLauncher$TPS, MSSQLServerADHelper, McAfeeEngineService, OracleClientCache80, ReportServer$TPSAMA, SQLAgent$SHAREPOINT, SQLAgent$SQLEXPRESS, SQLAgent$SYSTEM_BGC, SQLTELEMETRY$ECWDB2, Sophos MCS Client, BackupExecRPCService, MSSQL$VEEAMSQL2008R2, TrueKeyServiceHelper, BackupExecVSSProvider, MSSQL$PROFXENGAGEMENT, ReportServer$SQL_2008, SQLAgent$PRACTTICEBGC, SQLAgent$PRACTTICEMGT, SQLAgent$VEEAMSQL2012, BackupExecAgentBrowser, MSSQLFDLauncher$TPSAMA, MSSQLServerADHelper100, MSSQLServerOLAPService, SQLAgent$SBSMONITORING, VeeamDeploymentService, VeeamHvIntegrationSvc, Acronis VSS Provider, Sophos Clean Service, ReportServer$SYSTEM_BGC, SQLAgent$VEEAMSQL2008R2, Sophos Health Service, Sophos Message Router, MSSQLFDLauncher$SQL_2008, SQLAgent$PROFXENGAGEMENT, SQLsafe Backup Service, SQLsafe Filter Service, SQLAgent$CITRIX_METAFRAME, VeeamEnterpriseManagerSvc, BackupExecAgentAccelerator, MSSQLFDLauncher$SHAREPOINT, MSSQLFDLauncher$SYSTEM_BGC, Sophos Safestore Service, Symantec System Recovery, BackupExecManagementService, Enterprise Client Service, Sophos AutoUpdate Service, BackupExecDeviceMediaService, Sophos Web Control Service, MSSQLFDLauncher$SBSMONITORING, Sophos File Scanner Service, McAfeeFrameworkMcAfeeFramework, MSSQLFDLauncher$PROFXENGAGEMENT, Sophos Device Control Service, Sophos System Protection Service, Veeam Backup Catalog Data Service.
➤ RobbinHood также отключает все сетевые ресурсы с компьютера с помощью следующей команды: cmd.exe /c net use * /DELETE /Y
➤ Может использовать Empire PowerShell и PSExec для удаленного управлениями компьютерами и их администрирования.
➤ RobbinHood попытается прочитать открытый ключ шифрования RSA из C:\Windows\Temp\pub.key. Если этого ключа нет, то появится следующее сообщение.
Если ключ есть, то RobbinHood начнет шифрование файлов. При шифровании файлов для каждого файла создается ключ AES. Затем RobbinHood шифрует этот AES-ключ и исходное имя файла с помощью открытого ключа шифрования RSA, и добавляет его в зашифрованный файл.
➤ Каждый зашифрованный файл затем будет переименован по шаблону Encrypted_<random{16}>.enc_robbinhood, как показано ниже.
Во время работы RobbinHood также создает log-файлы в папке C:\Windows \ Temp. Эти файлы называются rf_, ro_l, ro_s
В настоящее время неизвестно назначение каждого log-файла, кроме файла rf_s, который используется для регистрации создания записок о выкупе в каждой папке. После завершения шифрования эти log-файлы удаляются.
Если консольный вывод включен в программе-вымогателе, после завершения шифрования компьютера будет отображаться финальное сообщение с текстом "Enjoy buddy :)))" (Наслаждайся, приятель :)))), как показано ниже.
Удаляет теневые копии файлов командами:
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=389MB
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=389MB
cmd.exe /c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
_Decryption_ReadMe.html
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html
<random>.exe - случайное название
pub.key
rf_s
ro_l
ro_s
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\Temp\pub.key
C:\Windows\Temp\rf_s
C:\Windows\Temp\ro_l
C:\Windows\Temp\ro_s
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
Tor-URL: xxxx://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Обновление от 26 апреля 2019:
Дополнения в раздел "Технические детали" из статьи Лоуренса Абрамса
Обновление от 4 октября 2019:
Пост в Твиттере >>
Статья на сайте BleepingComputer >>
Tor-URL: xxxx://bmucuto4ipcqupp2.onion
Результаты анализов: VT + IA / VT + IA / VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.29715
ALYac -> Trojan.Ransom.RobinHood
Avira (no cloud) -> TR/Ransom.Robinhood.rcdix
BitDefender -> Trojan.GenericKD.41842925
Microsoft -> Trojan:Win32/Casdet!rfn
Symantec -> ML.Attribute.HighConfidence, Trojan Horse
TrendMicro -> TROJ_FRS.VSNW07J19
Обновление от 4 декабря 2019:
Пост в Твиттере >>
Обновление от 26 января 2020:
Расширение: .enc_robbin_hood
Записки: _Readme_Decrypt__Files.html
_Readme_Help_Help_Help.html
_Readme_Help_Important.html
_Readme_Recovery_ReadMe.html
Tor-URL: xxxx://dmnelmz5o4i2ttne.onion/XcD6kOS3JbSD/
➤ Содержание записки:
How to recovery your files
Your network targeted by RobbinHood ransomware.
We've been watching you for days and we've worked on your systems to gain full access to your company and bypass all of your protections.
You must pay us in 4 days, if you don't pay in the speficied duration, the price increases $10,000 each day after the period. After 10 days your keys and your panel will be removed automatically and you won't be able to get your data back. We're watching you, if you want to know who we are, just ask google, don't upload your files to virustotal or services like that, don't call FBI or other security organizations. For security reasons don't shutdown your systems, don't recover your computer, don't rename your files, it will damage your files. All procedures are automated so don't ask for more times or somthings like that we won't talk more, all we know is MONEY. If you don't care about yourself we won't too. So do not waste your time and hurry up! Tik Tak, Tik Tak, Tik Tak!
What happened to your files?
All of your files locked and protected by a strong encryption with RSA-4096 ciphers.
More information about the RSA can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
In summery you can't read or work with your files, But with our help you can recover them.
It's impossible to recover your files without private key and our unlocking software ( You can google: Baltimore city, Greenville city and RobbinHood ransomware )
Just pay the ransomware and end the suffering then get better cybersecurity
How to get private key or unlocking software?
The only way is to contact us: Click here
How much you must pay ?
The only way is to contact us: Click here
How To Access To Our Website?
For accessing to our website you must install Tor browser:
1 - Open your internet browser (If you don't know run internet explorer or firefox or chrome)
2 - Go to this address: https://www.torproject.org/download/download.html.en
3 - Click on the windows logo and Download Tor Browser
4 - Follow the instruction and install it
5 - Run Tor-Browser with clicking on connect
6 - After initializing a normal internet browser will be opened (similar internet explorer window)
7 - Enter our web site address: http://dmnelmz5o4i2ttne.onion/XcD6kOS3JbSD/
8 - Now you are in our website and we are accessible there!
If you have any problem yet to accessing our web site, Ask Google: " how to use tor browser "
Обновление от 18 апреля 2020:
Пост в Твиттере >>
Расширение: .rbhd
Версия: "Robbinhood6.1"
Обновление от 23 мая 2020:
Пост в Твиттере >>
Сообщение от 4 ноября 2020 >>
© Генеалогия: HiddenTear + изменения >> RobbinHood
Изображение - это только логотип статьи
К зашифрованным файлам добавляется составное расширение по шаблону: Encrypted_<random{16}>.enc_robbinhood
Пример: Encrypted_2e3b4cea89S49adl.enc_robbinhood
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на вторую половину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: _Decryption_ReadMe.html
Но могут быть еще файлы
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html
Оригинальная HTML-записка
HTML-код записки
Содержание записки о выкупе:
What happened to your files?
All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:
1 - We encrypted your files with our "Public key"
2 - You can decrypt, the encrypted files with specific "Private key" and your private key is in our hands ( It's not possible to recover your files without our private key )
---
Is it possible to get back your data?
Yes, We have a decrypter with all your private keys. We have two options to get all your data back.
Follow the instructions to get all your data back:
OPTION 1
Step 1 : You must send us 0.8 Bitcoin(s) for each affected system
Step 2 : Inform us in panel with hostname(s) of the system you want, wait for confirmation and get your decrypter
OPTION 2
Step 1 : You must send us 13 Bitcoin(s) for all affected system
Step 2 : Inform us in panel, wait for confirmation and get all your decrypters
Our Bitcoin address is: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
BE CAREFUL, THE COST OF YOUR PAYMENT INCREASES $10,000 EACH DAY AFTER THE FOURTH DAY
---
Access to the panel ( Contact us )
The panel address: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Alternative addresses
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Access to the panel using Tor Browser
If non of our links are accessible you can try tor browser to get in touch with us:
Step 1: Download Tor Browser from here: https://www.torproject.org/download/download.html.en
Step 2: Run Tor Browser and wait to connect
Step 3: Visit our website at: panel address
If you're having a problem with using Tor Browser, Ask Google: how to use tor browser
---
Wants to make sure we have your decrypter?
To make sure we have your decrypter you can upload at most 3 files (maximum size allowance is 10 MB in total) and get your data back as a demo.
---
Where to buy Bitcoin?
The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online
---
Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы зашифрованы с RSA-4096, подробнее на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA - это алгоритм, используемый современными компьютерами для шифрования и дешифрования данных. RSA - это асимметричный криптографический алгоритм. Асимметричный означает, что есть два разных ключа. Это также называется криптографией с открытым ключом, потому что один из ключей может быть предоставлен любому:
1 - Мы зашифровали ваши файлы с помощью нашего "Открытого ключа"
2 - Вы можете расшифровать, зашифрованные файлы с определенным "Закрытым ключом", а ваш закрытый ключ у нас в руках (восстановить наши файлы без нашего закрытого ключа невозможно)
---
Можно ли вернуть ваши данные?
Да, у нас есть дешифратор со всеми вашими личными ключами. У нас есть два варианта вернуть все ваши данные.
Следуйте инструкциям, чтобы вернуть все ваши данные:
ВАРИАНТ 1
Шаг 1: Вы должны отправить нам 0.8 Биткоина для каждой уязвимой системы
Шаг 2: Сообщите нам на панели с именами хостов желаемой системы, дождитесь подтверждения и получите дешифратор
ВАРИАНТ 2
Шаг 1: Вы должны отправить нам 13 биткоинов на всю затронутую систему
Шаг 2: Сообщите нам в панели, дождитесь подтверждения и получите все ваши дешифраторы
Наш биткоин-адрес: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
БУДЬТЕ ОСТОРОЖНЫ, СТОИМОСТЬ ВАШЕЙ ОПЛАТЫ РАСТЕТ НА 10 000 ДОЛЛАРОВ КАЖДЫЙ ДЕНЬ ПОСЛЕ ЧЕТВЕРТОГО ДНЯ
---
Доступ к панели (свяжитесь с нами)
Адрес панели: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Альтернативные адреса
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Доступ к панели с помощью Tor браузер
Если ни одна из наших ссылок недоступна, вы можете пробовать браузер, чтобы связаться с нами:
Шаг 1: Загрузите Tor браузер отсюда: https://www.torproject.org/download/download.html.en
Шаг 2: Запустите Tor браузер и дождитесь подключения
Шаг 3: Посетите наш сайт по адресу: адрес панели
Если у вас возникли проблемы с использованием Tor браузер, спросите Google: как использовать Tor браузер
---
Хотите убедиться, что у нас есть ваш дешифратор?
Чтобы убедиться, что у нас есть ваш дешифратор, вы можете загрузить максимум 3 файла (максимально допустимый размер составляет 10 МБ) и вернуть свои данные в виде демонстрации.
---
Где купить биткоин?
Самый простой способ - LocalBitcoins, но вы можете найти больше сайтов, где можно купить биткоины, используя Поиск Google: купить биткоины онлайн
---
Скриншот страницы вымогателей в сети Tor
Содержание текста со страницы:
Important points
You can upload only 3 files (maximum size allowance is 10 MB in total) for free recovery to make sure we are honest. Afterwards you need to pay 0.8 Bitcoin for each affected system or 13 Bitcoin for all affected systems.
Bitcoin Address: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
I want to mention that your privacy is important for us, all of your records including IP address and Encryption keys will be wiped out after your payment. Also the bitcoin address you should pay to, is generated specifically for you and nobody knows about it.
There is no need to mention that our servers have no event a bit of your network data and information.
Choose your encrypted file
[Upload]
Перевод текст на русский язык:
Важные моменты
Вы можете загрузить только 3 файла (максимально допустимый размер составляет 10 МБ) для бесплатного восстановления, чтобы быть честными. После этого вам нужно заплатить 0.8 биткойна за каждую уязвимую систему или 13 биткоинов за все затронутые системы.
Адрес биткойна: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
Хочу отметить, что ваша конфиденциальность важна для нас, все ваши записи, включая IP-адрес и ключи шифрования, будут стерты после вашей оплаты. Кроме того, биткоин-адрес, на который вы должны платить, сгенерирован специально для вас, и никто не знает об этом.
Нет необходимости упоминать, что на наших серверах нет событий о вашей сети, данных и информации.
Выберите зашифрованный файл
[Загрузить]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ RobbinHood останавливает 181 работающую службу Windows, из тех, что могут быть связанные с работой антивирусов, базой данных, почтовым сервером и другими программами, которые могут использовать открытые файлы и помещать их шифрованию.
Это делается с помощью команды cmd.exe /c sc.exe stop AVP /y
Полный список служб, который останавливает RobbinHood:
AVP, MMS, ARSM, SNAC, ekrn, KAVFS, RESvc, SamSs, W3Svc, WRSVC, bedbg, masvc, SDRSVC, TmCCSF, mfemms, mfevtp, sacsvr, DCAgent, ESHASRV, KAVFSGT, MySQL80, POP3Svc, SMTPSvc, Smcinst, SstpSvc, TrueKey, mfefire, EhttpSrv, IISAdmin, IMAP4Svc, McShield, MySQL57, kavfsslp, klnagent, macmnsvc, ntrtscan, tmlisten, wbengine, Antivirus, MSSQL$TPS, SQLWriter, ShMonitor, UI0Detect, sophossps, MSOLAP$TPS, MSSQL$PROD, SAVService, SQLBrowser, SmcService, swi_filter, swi_update, AcrSch2Svc, EsgShKernel, MBAMService, MSSQLSERVER, MsDtsServer, SntpService, VeeamNFSSvc, swi_service, AcronisAgent, FA_Scheduler, MSExchangeES, MSExchangeIS, MSExchangeSA, MSSQL$ECWDB2, MSSQL$SOPHOS, MSSQL$TPSAMA, PDVFSService, ReportServer, SQLAgent$TPS, SQLTELEMETRY, VeeamRESTSvc, MSExchangeMTA, MSExchangeSRS, MSOLAP$TPSAMA, McTaskManager, SQLAgent$CXDB, SQLAgent$PROD, VeeamCloudSvc, VeeamMountSvc, SQL Backups, mozyprobackup, msftesql$PROD, swi_update_64, EraserSvc11710, MSExchangeMGMT, MSSQL$BKUPEXEC, MSSQL$SQL_2008, MsDtsServer100, MsDtsServer110, SQLSERVERAGENT, VeeamBackupSvc, VeeamBrokerSvc, VeeamDeploySvc, Sophos Agent, svcGenericHost, EPUpdateService, MBEndpointAgent, MSOLAP$SQL_2008, MSSQLFDLauncher, McAfeeFramework, SAVAdminService, SQLAgent$ECWDB2, SQLAgent$SOPHOS, SQLAgent$TPSAMA, VeeamCatalogSvc, MSSQL$SHAREPOINT, MSSQL$SQLEXPRESS, MSSQL$SYSTEM_BGC, NetMsmqActivator, ReportServer$TPS, SepMasterService, TrueKeyScheduler, EPSecurityService, MSOLAP$SYSTEM_BGC, MSSQL$PRACTICEMGT, SQLAgent$BKUPEXEC, SQLAgent$SQL_2008, SQLSafeOLRService, VeeamTransportSvc, Zoolz 2 Service, MSSQL$PRACTTICEBGC, MSSQL$VEEAMSQL2012, Sophos MCS Agent, BackupExecJobEngine, MSSQL$SBSMONITORING, MSSQLFDLauncher$TPS, MSSQLServerADHelper, McAfeeEngineService, OracleClientCache80, ReportServer$TPSAMA, SQLAgent$SHAREPOINT, SQLAgent$SQLEXPRESS, SQLAgent$SYSTEM_BGC, SQLTELEMETRY$ECWDB2, Sophos MCS Client, BackupExecRPCService, MSSQL$VEEAMSQL2008R2, TrueKeyServiceHelper, BackupExecVSSProvider, MSSQL$PROFXENGAGEMENT, ReportServer$SQL_2008, SQLAgent$PRACTTICEBGC, SQLAgent$PRACTTICEMGT, SQLAgent$VEEAMSQL2012, BackupExecAgentBrowser, MSSQLFDLauncher$TPSAMA, MSSQLServerADHelper100, MSSQLServerOLAPService, SQLAgent$SBSMONITORING, VeeamDeploymentService, VeeamHvIntegrationSvc, Acronis VSS Provider, Sophos Clean Service, ReportServer$SYSTEM_BGC, SQLAgent$VEEAMSQL2008R2, Sophos Health Service, Sophos Message Router, MSSQLFDLauncher$SQL_2008, SQLAgent$PROFXENGAGEMENT, SQLsafe Backup Service, SQLsafe Filter Service, SQLAgent$CITRIX_METAFRAME, VeeamEnterpriseManagerSvc, BackupExecAgentAccelerator, MSSQLFDLauncher$SHAREPOINT, MSSQLFDLauncher$SYSTEM_BGC, Sophos Safestore Service, Symantec System Recovery, BackupExecManagementService, Enterprise Client Service, Sophos AutoUpdate Service, BackupExecDeviceMediaService, Sophos Web Control Service, MSSQLFDLauncher$SBSMONITORING, Sophos File Scanner Service, McAfeeFrameworkMcAfeeFramework, MSSQLFDLauncher$PROFXENGAGEMENT, Sophos Device Control Service, Sophos System Protection Service, Veeam Backup Catalog Data Service.
➤ RobbinHood также отключает все сетевые ресурсы с компьютера с помощью следующей команды: cmd.exe /c net use * /DELETE /Y
➤ Может использовать Empire PowerShell и PSExec для удаленного управлениями компьютерами и их администрирования.
➤ RobbinHood попытается прочитать открытый ключ шифрования RSA из C:\Windows\Temp\pub.key. Если этого ключа нет, то появится следующее сообщение.
Если ключ есть, то RobbinHood начнет шифрование файлов. При шифровании файлов для каждого файла создается ключ AES. Затем RobbinHood шифрует этот AES-ключ и исходное имя файла с помощью открытого ключа шифрования RSA, и добавляет его в зашифрованный файл.
➤ Каждый зашифрованный файл затем будет переименован по шаблону Encrypted_<random{16}>.enc_robbinhood, как показано ниже.
Во время работы RobbinHood также создает log-файлы в папке C:\Windows \ Temp. Эти файлы называются rf_, ro_l, ro_s
В настоящее время неизвестно назначение каждого log-файла, кроме файла rf_s, который используется для регистрации создания записок о выкупе в каждой папке. После завершения шифрования эти log-файлы удаляются.
Если консольный вывод включен в программе-вымогателе, после завершения шифрования компьютера будет отображаться финальное сообщение с текстом "Enjoy buddy :)))" (Наслаждайся, приятель :)))), как показано ниже.
Удаляет теневые копии файлов командами:
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=389MB
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=389MB
cmd.exe /c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
_Decryption_ReadMe.html
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html
<random>.exe - случайное название
pub.key
rf_s
ro_l
ro_s
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\Temp\pub.key
C:\Windows\Temp\rf_s
C:\Windows\Temp\ro_l
C:\Windows\Temp\ro_s
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
Tor-URL: xxxx://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 26 апреля 2019:
Дополнения в раздел "Технические детали" из статьи Лоуренса Абрамса
Обновление от 4 октября 2019:
Пост в Твиттере >>
Статья на сайте BleepingComputer >>
Tor-URL: xxxx://bmucuto4ipcqupp2.onion
Результаты анализов: VT + IA / VT + IA / VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.29715
ALYac -> Trojan.Ransom.RobinHood
Avira (no cloud) -> TR/Ransom.Robinhood.rcdix
BitDefender -> Trojan.GenericKD.41842925
Microsoft -> Trojan:Win32/Casdet!rfn
Symantec -> ML.Attribute.HighConfidence, Trojan Horse
TrendMicro -> TROJ_FRS.VSNW07J19
Обновление от 4 декабря 2019:
Пост в Твиттере >>
Обновление от 26 января 2020:
Расширение: .enc_robbin_hood
Записки: _Readme_Decrypt__Files.html
_Readme_Help_Help_Help.html
_Readme_Help_Important.html
_Readme_Recovery_ReadMe.html
Tor-URL: xxxx://dmnelmz5o4i2ttne.onion/XcD6kOS3JbSD/
➤ Содержание записки:
How to recovery your files
Your network targeted by RobbinHood ransomware.
We've been watching you for days and we've worked on your systems to gain full access to your company and bypass all of your protections.
You must pay us in 4 days, if you don't pay in the speficied duration, the price increases $10,000 each day after the period. After 10 days your keys and your panel will be removed automatically and you won't be able to get your data back. We're watching you, if you want to know who we are, just ask google, don't upload your files to virustotal or services like that, don't call FBI or other security organizations. For security reasons don't shutdown your systems, don't recover your computer, don't rename your files, it will damage your files. All procedures are automated so don't ask for more times or somthings like that we won't talk more, all we know is MONEY. If you don't care about yourself we won't too. So do not waste your time and hurry up! Tik Tak, Tik Tak, Tik Tak!
What happened to your files?
All of your files locked and protected by a strong encryption with RSA-4096 ciphers.
More information about the RSA can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
In summery you can't read or work with your files, But with our help you can recover them.
It's impossible to recover your files without private key and our unlocking software ( You can google: Baltimore city, Greenville city and RobbinHood ransomware )
Just pay the ransomware and end the suffering then get better cybersecurity
How to get private key or unlocking software?
The only way is to contact us: Click here
How much you must pay ?
The only way is to contact us: Click here
How To Access To Our Website?
For accessing to our website you must install Tor browser:
1 - Open your internet browser (If you don't know run internet explorer or firefox or chrome)
2 - Go to this address: https://www.torproject.org/download/download.html.en
3 - Click on the windows logo and Download Tor Browser
4 - Follow the instruction and install it
5 - Run Tor-Browser with clicking on connect
6 - After initializing a normal internet browser will be opened (similar internet explorer window)
7 - Enter our web site address: http://dmnelmz5o4i2ttne.onion/XcD6kOS3JbSD/
8 - Now you are in our website and we are accessible there!
If you have any problem yet to accessing our web site, Ask Google: " how to use tor browser "
---
Результаты анализов: AR (VT, VT + IA, VT + IA)
Дополнение к обновлению от 26 января 2020:
Выдержка из статьи на сайте BleepingComputer >>
Злоумышленники, запускающие RobbinHood Ransomware, используют уязвимый драйвер GIGABYTE, который был подписан Microsoft, для установки второго вредоносного и неподписанного драйвера в Windows, который используется для прекращения работы антивирусного и защитного программного обеспечения.
Исполняемый файл-вымогатель распространяется по всей скомпрометированной сети, чтобы инфицировать как можно большее количество компьютерных систем, пока его не обнаружили.
Антивирусное программное обеспечение, работающее на рабочей станции, может удалить исполняемый файл вымогателя до его выполнения. Чтобы преодолеть это препятствие, операторы RobbinHood Ransomware используют специальный анти-антивирусный пакет для удаления антивирусного ПО, который передается на рабочие станции для подготовки их к шифрованию файлов.
Результаты анализов: AR (VT, VT + IA, VT + IA)
Дополнение к обновлению от 26 января 2020:
Выдержка из статьи на сайте BleepingComputer >>
Злоумышленники, запускающие RobbinHood Ransomware, используют уязвимый драйвер GIGABYTE, который был подписан Microsoft, для установки второго вредоносного и неподписанного драйвера в Windows, который используется для прекращения работы антивирусного и защитного программного обеспечения.
Исполняемый файл-вымогатель распространяется по всей скомпрометированной сети, чтобы инфицировать как можно большее количество компьютерных систем, пока его не обнаружили.
Антивирусное программное обеспечение, работающее на рабочей станции, может удалить исполняемый файл вымогателя до его выполнения. Чтобы преодолеть это препятствие, операторы RobbinHood Ransomware используют специальный анти-антивирусный пакет для удаления антивирусного ПО, который передается на рабочие станции для подготовки их к шифрованию файлов.
Обновление от 18 апреля 2020:
Пост в Твиттере >>
Расширение: .rbhd
Версия: "Robbinhood6.1"
Обновление от 23 мая 2020:
Пост в Твиттере >>
Сообщение от 4 ноября 2020 >>
Файл проекта: C:/Users/User/go/src/Robbinhood7
Анализы: VT + IA
© Amigo-A (Andrew Ivanov): All blog articles.
Анализы: VT + IA
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as RobbinHood) Write-up, Topic of Support *
Added layer: Write-up by BleepingComputer (on April 26, 2019) * *
Thanks: Michael Gillespie, Lawrence Abrams, Vitali Kremez Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.