Uh-Oh Ransomware
JGY Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 0.01 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: JGY.exe. Разработка с использованием .NET.
---
Обнаружения:
DrWeb -> ***
ALYac -> Trojan.Ransom.Cute, Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.eakmq, TR/Ransom.fhdiz
BitDefender -> Trojan.GenericKD.35799648, Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UZ, A Variant Of MSIL/Filecoder.AET
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Trumper.gen
Malwarebytes -> Ransom.CuteRansom, Ransom.FileCryptor
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Trumper.Wsas, Msil.Trojan.Trumper.Sxnv
---© Генеалогия: CuteRansomware >> Uh-Oh
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .JGY
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на вторую половину декабря 2020 г. Ориентирован на англоязычных и франкоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание текста о выкупе:
Перевод текста на русский язык:
UH-OH! YOUR FILES HAVE BEEN TAKEN OVER!
Your files have now been encrypted with irreversible AES-256 algorithm. Please do not modify, move or delete any of your files as it may cause permanent loss of your data. Instead, we have a better solution for your dilemma.
You may pay us a ransom to get your files decrypted. This guarantees all of your data to be returned as they were before you executed this file.
Send 0.01 BTC to the following address: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
TIME EXPIRES ON: Monday, December 28, 2020
Перевод текста на русский язык:
ОЙ-ОЙ! ВАШИ ФАЙЛЫ ЗАХВАЧЕНЫ!
Теперь ваши файлы зашифрованы с необратимым алгоритмом AES-256. Пожалуйста, не изменяйте, не перемещайте и не удаляйте какие-либо из ваших файлов, так как это может привести к безвозвратной потере ваших данных. Вместо этого у нас есть лучшее решение вашей дилеммы.
Вы можете заплатить нам выкуп за расшифровку ваших файлов. Это гарантирует, что все ваши данные будут возвращены в том виде, в котором они были до выполнения этого файла.
Отправьте 0.01 BTC на следующий адрес: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
ВРЕМЯ ИСТЕКАЕТ: понедельник, 28 декабря 2020 г.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Копия исполняемого файла добавлется в Автозагрузку системы, чтобы стартовать вместе с системой.
%APPDATA%\Microsoft\Xindows\Start menu\Programs\Startup\***.exe
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
JGY.exe - название вредоносного файла
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
JGY.exe - название вредоносного файла
%APPDATA%\Microsoft\Xindows\Start menu\Programs\Startup\***.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 26 января 2021:
Расширение: .jgy
BTC: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
Файл: Chromio.exe
Результаты анализов: VT + IA
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: S!Ri, Kangxiaopao Andrew Ivanov (article author) Intezer Analyze to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.