Если вы не видите здесь изображений, то используйте VPN.

среда, 20 марта 2019 г.

RobbinHood

RobbinHood Ransomware

Enc_RobbinHood Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.8 BTC за один ПК или 13 BTC за все ПК скомпрометированной системы, чтобы вернуть файлы. В другом примере было 3 BTC за один ПК и 13 BTC за все. Оригинальное название: в записке не указано. Написан на языке GO (Golang).

Обнаружения: 
DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.29715, Trojan.Encoder.32994
BitDefender -> Trojan.GenericKD.31919436, Trojan.GenericKD.44347786
Emsisoft -> Trojan-Ransom.RobbinHood (A)
ESET-NOD32 -> Win32/Filecoder.RobbinHood.A, A Variant Of Win32/Filecoder.RobbinHood.D
Kaspersky -> Trojan-Ransom.Win32.Robin.a, 
Trojan-Ransom.Win32.Robin.ab
Malwarebytes -> Ransom.RobbinHood.GO, Ransom.RobinHood
Microsoft -> Ransom:Win32/Robin
TrendMicro -> Ransom.Win32.ROBBINHOOD.A, Ransom.Win32.ROBBINHOOD.SMTH

© Генеалогия: HiddenTear + изменения >> RobbinHood

Изображение - это только логотип статьи

К зашифрованным файлам добавляется составное расширение по шаблону: Encrypted_<random{16}>.enc_robbinhood

Пример: Encrypted_2e3b4cea89S49adl.enc_robbinhood


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _Decryption_ReadMe.html
Но могут быть еще файлы 
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html


Enc_RobinHood Ransomware
Enc_RobinHood Ransomware
Оригинальная HTML-записка
Enc_RobinHood Ransomware
HTML-код записки

Содержание записки о выкупе:
What happened to your files?
All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:
1 - We encrypted your files with our "Public key" 
2 - You can decrypt, the encrypted files with specific "Private key" and your private key is in our hands ( It's not possible to recover your files without our private key )
---
Is it possible to get back your data?
Yes, We have a decrypter with all your private keys. We have two options to get all your data back.
Follow the instructions to get all your data back:
OPTION 1
Step 1 : You must send us 0.8 Bitcoin(s) for each affected system
Step 2 : Inform us in panel with hostname(s) of the system you want, wait for confirmation and get your decrypter
OPTION 2
Step 1 : You must send us 13 Bitcoin(s) for all affected system
Step 2 : Inform us in panel, wait for confirmation and get all your decrypters
Our Bitcoin address is: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE 
BE CAREFUL, THE COST OF YOUR PAYMENT INCREASES $10,000 EACH DAY AFTER THE FOURTH DAY
---
Access to the panel ( Contact us )
The panel address: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Alternative addresses
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Access to the panel using Tor Browser
If non of our links are accessible you can try tor browser to get in touch with us:
Step 1: Download Tor Browser from here: https://www.torproject.org/download/download.html.en
Step 2: Run Tor Browser and wait to connect
Step 3: Visit our website at: panel address
If you're having a problem with using Tor Browser, Ask Google: how to use tor browser
---
Wants to make sure we have your decrypter?
To make sure we have your decrypter you can upload at most 3 files (maximum size allowance is 10 MB in total) and get your data back as a demo.
---
Where to buy Bitcoin?
The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online
---

Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы зашифрованы с RSA-4096, подробнее на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA - это алгоритм, используемый современными компьютерами для шифрования и дешифрования данных. RSA - это асимметричный криптографический алгоритм. Асимметричный означает, что есть два разных ключа. Это также называется криптографией с открытым ключом, потому что один из ключей может быть предоставлен любому:
1 - Мы зашифровали ваши файлы с помощью нашего "Открытого ключа"
2 - Вы можете расшифровать, зашифрованные файлы с определенным "Закрытым ключом", а ваш закрытый ключ у нас в руках (восстановить наши файлы без нашего закрытого ключа невозможно)
---
Можно ли вернуть ваши данные?
Да, у нас есть дешифратор со всеми вашими личными ключами. У нас есть два варианта вернуть все ваши данные.
Следуйте инструкциям, чтобы вернуть все ваши данные:
ВАРИАНТ 1
Шаг 1: Вы должны отправить нам 0.8 Биткоина для каждой уязвимой системы
Шаг 2: Сообщите нам на панели с именами хостов желаемой системы, дождитесь подтверждения и получите дешифратор
ВАРИАНТ 2
Шаг 1: Вы должны отправить нам 13 биткоинов на всю затронутую систему
Шаг 2: Сообщите нам в панели, дождитесь подтверждения и получите все ваши дешифраторы
Наш биткоин-адрес: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
БУДЬТЕ ОСТОРОЖНЫ, СТОИМОСТЬ ВАШЕЙ ОПЛАТЫ РАСТЕТ НА 10 000 ДОЛЛАРОВ КАЖДЫЙ ДЕНЬ ПОСЛЕ ЧЕТВЕРТОГО ДНЯ
---
Доступ к панели (свяжитесь с нами)
Адрес панели: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Альтернативные адреса
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Доступ к панели с помощью Tor браузер
Если ни одна из наших ссылок недоступна, вы можете пробовать браузер, чтобы связаться с нами:
Шаг 1: Загрузите Tor браузер отсюда: https://www.torproject.org/download/download.html.en
Шаг 2: Запустите Tor браузер и дождитесь подключения
Шаг 3: Посетите наш сайт по адресу: адрес панели
Если у вас возникли проблемы с использованием Tor браузер, спросите Google: как использовать Tor браузер
---
Хотите убедиться, что у нас есть ваш дешифратор?
Чтобы убедиться, что у нас есть ваш дешифратор, вы можете загрузить максимум 3 файла (максимально допустимый размер составляет 10 МБ) и вернуть свои данные в виде демонстрации.
---
Где купить биткоин?
Самый простой способ - LocalBitcoins, но вы можете найти больше сайтов, где можно купить биткоины, используя Поиск Google: купить биткоины онлайн
---


Скриншот страницы вымогателей в сети Tor
Enc_RobinHood Ransomware site сайт
Содержание текста со страницы:
Important points
You can upload only 3 files (maximum size allowance is 10 MB in total) for free recovery to make sure we are honest. Afterwards you need to pay 0.8 Bitcoin for each affected system or 13 Bitcoin for all affected systems.
Bitcoin Address: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
I want to mention that your privacy is important for us, all of your records including IP address and Encryption keys will be wiped out after your payment. Also the bitcoin address you should pay to, is generated specifically for you and nobody knows about it.
There is no need to mention that our servers have no event a bit of your network data and information.
Choose your encrypted file
[Upload]

Перевод текст на русский язык:
Важные моменты
Вы можете загрузить только 3 файла (максимально допустимый размер составляет 10 МБ) для бесплатного восстановления, чтобы быть честными. После этого вам нужно заплатить 0.8 биткойна за каждую уязвимую систему или 13 биткоинов за все затронутые системы.
Адрес биткойна: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
Хочу отметить, что ваша конфиденциальность важна для нас, все ваши записи, включая IP-адрес и ключи шифрования, будут стерты после вашей оплаты. Кроме того, биткоин-адрес, на который вы должны платить, сгенерирован специально для вас, и никто не знает об этом.
Нет необходимости упоминать, что на наших серверах нет событий о вашей сети, данных и информации.
Выберите зашифрованный файл
[Загрузить]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ RobbinHood останавливает 181 работающую службу Windows, из тех, что могут быть связанные с работой антивирусов, базой данных, почтовым сервером и другими программами, которые могут использовать открытые файлы и помещать их шифрованию.
Это делается с помощью команды cmd.exe /c sc.exe stop AVP /y

Полный список служб, который останавливает RobbinHood: 
AVP, MMS, ARSM, SNAC, ekrn, KAVFS, RESvc, SamSs, W3Svc, WRSVC, bedbg, masvc, SDRSVC, TmCCSF, mfemms, mfevtp, sacsvr, DCAgent, ESHASRV, KAVFSGT, MySQL80, POP3Svc, SMTPSvc, Smcinst, SstpSvc, TrueKey, mfefire, EhttpSrv, IISAdmin, IMAP4Svc, McShield, MySQL57, kavfsslp, klnagent, macmnsvc, ntrtscan, tmlisten, wbengine, Antivirus, MSSQL$TPS, SQLWriter, ShMonitor, UI0Detect, sophossps, MSOLAP$TPS, MSSQL$PROD, SAVService, SQLBrowser, SmcService, swi_filter, swi_update, AcrSch2Svc, EsgShKernel, MBAMService, MSSQLSERVER, MsDtsServer, SntpService, VeeamNFSSvc, swi_service, AcronisAgent, FA_Scheduler, MSExchangeES, MSExchangeIS, MSExchangeSA, MSSQL$ECWDB2, MSSQL$SOPHOS, MSSQL$TPSAMA, PDVFSService, ReportServer, SQLAgent$TPS, SQLTELEMETRY, VeeamRESTSvc, MSExchangeMTA, MSExchangeSRS, MSOLAP$TPSAMA, McTaskManager, SQLAgent$CXDB, SQLAgent$PROD, VeeamCloudSvc, VeeamMountSvc, SQL Backups, mozyprobackup, msftesql$PROD, swi_update_64, EraserSvc11710, MSExchangeMGMT, MSSQL$BKUPEXEC, MSSQL$SQL_2008, MsDtsServer100, MsDtsServer110, SQLSERVERAGENT, VeeamBackupSvc, VeeamBrokerSvc, VeeamDeploySvc, Sophos Agent, svcGenericHost, EPUpdateService, MBEndpointAgent, MSOLAP$SQL_2008, MSSQLFDLauncher, McAfeeFramework, SAVAdminService, SQLAgent$ECWDB2, SQLAgent$SOPHOS, SQLAgent$TPSAMA, VeeamCatalogSvc, MSSQL$SHAREPOINT, MSSQL$SQLEXPRESS, MSSQL$SYSTEM_BGC, NetMsmqActivator, ReportServer$TPS, SepMasterService, TrueKeyScheduler, EPSecurityService, MSOLAP$SYSTEM_BGC, MSSQL$PRACTICEMGT, SQLAgent$BKUPEXEC, SQLAgent$SQL_2008, SQLSafeOLRService, VeeamTransportSvc, Zoolz 2 Service, MSSQL$PRACTTICEBGC, MSSQL$VEEAMSQL2012, Sophos MCS Agent, BackupExecJobEngine, MSSQL$SBSMONITORING, MSSQLFDLauncher$TPS, MSSQLServerADHelper, McAfeeEngineService, OracleClientCache80, ReportServer$TPSAMA, SQLAgent$SHAREPOINT, SQLAgent$SQLEXPRESS, SQLAgent$SYSTEM_BGC, SQLTELEMETRY$ECWDB2, Sophos MCS Client, BackupExecRPCService, MSSQL$VEEAMSQL2008R2, TrueKeyServiceHelper, BackupExecVSSProvider, MSSQL$PROFXENGAGEMENT, ReportServer$SQL_2008, SQLAgent$PRACTTICEBGC, SQLAgent$PRACTTICEMGT, SQLAgent$VEEAMSQL2012, BackupExecAgentBrowser, MSSQLFDLauncher$TPSAMA, MSSQLServerADHelper100, MSSQLServerOLAPService, SQLAgent$SBSMONITORING, VeeamDeploymentService, VeeamHvIntegrationSvc, Acronis VSS Provider, Sophos Clean Service, ReportServer$SYSTEM_BGC, SQLAgent$VEEAMSQL2008R2, Sophos Health Service, Sophos Message Router, MSSQLFDLauncher$SQL_2008, SQLAgent$PROFXENGAGEMENT, SQLsafe Backup Service, SQLsafe Filter Service, SQLAgent$CITRIX_METAFRAME, VeeamEnterpriseManagerSvc, BackupExecAgentAccelerator, MSSQLFDLauncher$SHAREPOINT, MSSQLFDLauncher$SYSTEM_BGC, Sophos Safestore Service, Symantec System Recovery, BackupExecManagementService, Enterprise Client Service, Sophos AutoUpdate Service, BackupExecDeviceMediaService, Sophos Web Control Service, MSSQLFDLauncher$SBSMONITORING, Sophos File Scanner Service, McAfeeFrameworkMcAfeeFramework, MSSQLFDLauncher$PROFXENGAGEMENT, Sophos Device Control Service, Sophos System Protection Service, Veeam Backup Catalog Data Service.

➤ RobbinHood также отключает все сетевые ресурсы с компьютера с помощью следующей команды: cmd.exe /c net use * /DELETE /Y

➤ Может использовать Empire PowerShell и PSExec для удаленного управлениями компьютерами и их администрирования. 

➤ RobbinHood попытается прочитать открытый ключ шифрования RSA из C:\Windows\Temp\pub.key. Если этого ключа нет, то появится следующее сообщение.

Если ключ есть, то RobbinHood начнет шифрование файлов. При шифровании файлов для каждого файла создается ключ AES. Затем RobbinHood шифрует этот AES-ключ и исходное имя файла с помощью открытого ключа шифрования RSA, и добавляет его в зашифрованный файл. 

 Каждый зашифрованный файл затем будет переименован по шаблону Encrypted_<random{16}>.enc_robbinhood, как показано ниже.



Во время работы RobbinHood также создает log-файлы в папке C:\Windows \ Temp. Эти файлы называются rf_, ro_l, ro_s
В настоящее время неизвестно назначение каждого log-файла, кроме файла rf_s, который используется для регистрации создания записок о выкупе в каждой папке. После завершения шифрования эти log-файлы удаляются.

Если консольный вывод включен в программе-вымогателе, после завершения шифрования компьютера будет отображаться финальное сообщение с текстом "Enjoy buddy :)))" (Наслаждайся, приятель :)))), как показано ниже. 

Удаляет теневые копии файлов командами:
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=389MB
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=389MB
cmd.exe /c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_Decryption_ReadMe.html
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html
<random>.exe - случайное название
pub.key
rf_s 
ro_l
ro_s

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\Temp\pub.key
C:\Windows\Temp\rf_s 
C:\Windows\Temp\ro_l
C:\Windows\Temp\ro_s

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE 
Tor-URL: xxxx://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 26 апреля 2019:
Дополнения в раздел "Технические детали" из статьи Лоуренса Абрамса


Обновление от 4 октября 2019:
Пост в Твиттере >>
Статья на сайте BleepingComputer >>
Tor-URL: xxxx://bmucuto4ipcqupp2.onion
Результаты анализов: VT + IA / VT + IA / VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.29715
ALYac -> Trojan.Ransom.RobinHood
Avira (no cloud) -> TR/Ransom.Robinhood.rcdix
BitDefender -> Trojan.GenericKD.41842925
Microsoft -> Trojan:Win32/Casdet!rfn
Symantec -> ML.Attribute.HighConfidence, Trojan Horse
TrendMicro -> TROJ_FRS.VSNW07J19

Обновление от 4 декабря 2019:
Пост в Твиттере >>


Обновление от 26 января 2020:
Расширение: .enc_robbin_hood
Записки: _Readme_Decrypt__Files.html
_Readme_Help_Help_Help.html
_Readme_Help_Important.html
_Readme_Recovery_ReadMe.html
Tor-URL: xxxx://dmnelmz5o4i2ttne.onion/XcD6kOS3JbSD/
➤ Содержание записки: 
How to recovery your files
Your network targeted by RobbinHood ransomware.
We've been watching you for days and we've worked on your systems to gain full access to your company and bypass all of your protections.
You must pay us in 4 days, if you don't pay in the speficied duration, the price increases $10,000 each day after the period. After 10 days your keys and your panel will be removed automatically and you won't be able to get your data back. We're watching you, if you want to know who we are, just ask google, don't upload your files to virustotal or services like that, don't call FBI or other security organizations. For security reasons don't shutdown your systems, don't recover your computer, don't rename your files, it will damage your files. All procedures are automated so don't ask for more times or somthings like that we won't talk more, all we know is MONEY. If you don't care about yourself we won't too. So do not waste your time and hurry up! Tik Tak, Tik Tak, Tik Tak!
What happened to your files?
All of your files locked and protected by a strong encryption with RSA-4096 ciphers.
More information about the RSA can be found here:
  https://en.wikipedia.org/wiki/RSA_(cryptosystem)
In summery you can't read or work with your files, But with our help you can recover them.
It's impossible to recover your files without private key and our unlocking software ( You can google: Baltimore city, Greenville city and RobbinHood ransomware )
Just pay the ransomware and end the suffering then get better cybersecurity
How to get private key or unlocking software?
The only way is to contact us: Click here
How much you must pay ?
The only way is to contact us: Click here
How To Access To Our Website?
For accessing to our website you must install Tor browser:
  1 - Open your internet browser (If you don't know run internet explorer or firefox or chrome)
  2 - Go to this address: https://www.torproject.org/download/download.html.en
  3 - Click on the windows logo and Download Tor Browser
  4 - Follow the instruction and install it
  5 - Run Tor-Browser with clicking on connect
  6 - After initializing a normal internet browser will be opened (similar internet explorer window)
  7 - Enter our web site address: http://dmnelmz5o4i2ttne.onion/XcD6kOS3JbSD/
  8 - Now you are in our website and we are accessible there!
If you have any problem yet to accessing our web site, Ask Google: " how to use tor browser "
---
Результаты анализов: AR (VT, VT + IA, VT + IA

Дополнение к обновлению от 26 января 2020:
Выдержка из статьи на сайте BleepingComputer >>
Злоумышленники, запускающие RobbinHood Ransomware, используют уязвимый драйвер GIGABYTE, который был подписан Microsoft, для установки второго вредоносного и неподписанного драйвера в Windows, который используется для прекращения работы антивирусного и защитного программного обеспечения. 
Исполняемый файл-вымогатель распространяется по всей скомпрометированной сети, чтобы инфицировать как можно большее количество компьютерных систем, пока его не обнаружили.
Антивирусное программное обеспечение, работающее на рабочей станции, может удалить исполняемый файл вымогателя до его выполнения. Чтобы преодолеть это препятствие, операторы RobbinHood Ransomware используют специальный анти-антивирусный пакет для удаления антивирусного ПО, который передается на рабочие станции для подготовки их к шифрованию файлов.

Обновление от 18 апреля 2020:
Пост в Твиттере >>
Расширение: .rbhd
Версия: "Robbinhood6.1"

Обновление от 23 мая 2020:
Пост в Твиттере >>


Сообщение от 4 ноября 2020 >>
Файл проекта: C:/Users/User/go/src/Robbinhood7
Анализы: VT + IA




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as RobbinHood)
 Write-up, Topic of Support
 * 
Added layer:
Write-up by BleepingComputer (on April 26, 2019)
*
*
 Thanks: 
 Michael Gillespie, Lawrence Abrams, Vitali Kremez
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

RabbitFox

RabbitFox Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.PWS.Banker1.31757
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.TF
Malwarebytes -> Ransom.Fox
Symantec -> ML.Attribute.HighConfidence

© Генеалогия: выясняется, явное родство с кем-то не доказано.
RabbitFox Ransomware
Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .fox

Фактически используется составное расширение: id 1720406111 [Rabbit2002@pm.me].fox

Шаблон зашифрованного файла можно представить так: <original_filename> id <numbers>[Rabbit2002@pm.me].fox

Пример зашифрованного файла: Important.doc id 1720406111 [Rabbit2002@pm.me].fox


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первый образец был загружен из Литвы. 

Записка с требованием выкупа называется: Decrypt.txt
RabbitFox Ransomware note записка

Содержание записки о выкупе:
All your files have been encrypted due to a security problem 
with your PC. If you want to restore them, write us to the e-mail Rabbit2002@pm.me 
You have to pay for decryption in Bitcoins. The price depends 
on how fast you write to us. After payment we will send you 
the decryption tool that will decrypt all your files. 
Free decryption as guarantee 
Before paying you can send us up to 2 files for free 
decryption. The total size of files must be less than 1Mb (non archived), 
and files should not contain valuable information. 
Attention! 
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it 
may cause permanent data loss.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК. Если вы хотите восстановить их, напишите нам на email Rabbit2002@pm.me
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы напишите нам. После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 2 файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 1 Мб (не в архиве), и файлы не должны содержать ценной информации.
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ RabbitFox шифрует 10 первых байтов файла ➤ Возможно, это может быть маркер файлов. 
RabbitFox marker


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Rabbit2002@pm.me
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


RabbitFox с расширением .fox - март 2019
RabbitFox с расширением .vendetta - июнь 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 3 июня 2019:
Пост в Твиттере >>
Расширение: .vendetta
Составное расширение (пример):  id 7162402.[Foxdecrypt@protonmail.com].vendetta
Записка: Decrypt.txt
Email: foxdecrypt@protonmail.com, Rabbit2002@pm.me
Текстовый файл: passwordd!.txt
Файл EXE: ConsoleApp1.exe
Результаты анализов: VT + VMR






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Возможно, что файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
***
Файлы можно расшифровать:
ссылка на Github >>
ссылка на видеоролик >>
*
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as RabbitFox)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie,
 Andrew Ivanov (author)
 Kestukas (decrypt)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *