Motocos Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем, чтобы вернуть файлы, требует выкуп, который увеличивается через каждые 6 часов на в 0.025 BTC (0.1 в сутки). Оригинальное название: Motocos, указано в записке. На файле написано: taskhos.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33982
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> DR/Delphi.Gen7
BitDefender -> Trojan.GenericKD.36977710
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan.Win32.Agentb.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Filecoder!ml
Rising -> Ransom.Destructor!1.B060 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> Trojan.Win32.MOTOCOS.A
---
© Генеалогия: ??? >> Motocos
К зашифрованным файлам добавляется расширение: .mo2
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя была в конце мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется:
Readme.txt,
Обнаружения:
DrWeb -> Trojan.Encoder.33982
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> DR/Delphi.Gen7
BitDefender -> Trojan.GenericKD.36977710
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan.Win32.Agentb.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Filecoder!ml
Rising -> Ransom.Destructor!1.B060 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> Trojan.Win32.MOTOCOS.A
---
© Генеалогия: ??? >> Motocos
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .mo2
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя была в конце мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется:
Readme.txt,
Motocos_Readme.txt,
Ransomware_Readme.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Содержание записки о выкупе:
Not your language? Use https://translate.google.com
--------------------------------------------------------------
What happens to your files?
It's clear, your files encrypted with [RSA-2048] algorithm and the decryption key is safe with us.
Don't worry, you can get all your data back.
- To decrypt your files send this readme file to (@Motocos_bot) bot in Telegram messenger and follow the instructions, (https://telegram.org)
*** Don't waste your time and money on forensics or recovery techniques to restore files, it definitely makes your files unrecoverable :(
*** To ensure you'll get a working decrypter, you can decrypt 2 files for free using the bot.
*** Remember, the entire process from payment to decryption will be handle by a stupid automated bot, so don't beg on it!
*** From now [05-27-2021] you have exactly 5 days to contact our bot to pay the requested money.
There's a pressure about time on you! An extra 0.025 BTC will be add to
the price every 6 hours (0.1 a day), which calculated by the bot as well.
After 5 days, the bot stops responding to you, but you can still pay negotiation price to make a deal.
*** The bot needs below information to decrypt your files, so don't remove or modify any part of this file ***
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9wOBAQEFAAOCAQ8AMIIBCgKCAQEAnbsRBXMv7IHWJXdHv3F***
.....END PUBLIC KEY-----
Перевод записки на русский язык:
Не твой язык? Используй https://translate.google.com
-------------------------------------------------- ------------
Что случилось с вашими файлами?
Понятно, что ваши файлы зашифрованы с алгоритмом [RSA-2048] и ключ дешифрования находится у нас.
Не волнуйтесь, вы можете вернуть все свои данные.
- Чтобы расшифровать ваши файлы, отправьте этот файл readme боту (@Motocos_bot) в мессенджере Telegram и следуйте инструкциям (https://telegram.org)
*** Не тратьте свое время и деньги на форензику или способы восстановления файлов, это точно сделает ваши файлы невосстановимыми :(
*** Чтобы получить работающий дешифратор, вы можете бесплатно расшифровать 2 файла с помощью бота.
*** Помните, что весь процесс от оплаты до расшифровки будет обрабатываться тупым автоматическим ботом, так что не просите его!
*** С этого момента [05-27-2021] у вас есть ровно 5 дней, чтобы связаться с нашим ботом и выплатить запрошенные деньги.
Время давит на тебя! Дополнительные 0.025 BTC будут добавлены к
цена каждые 6 часов (0.1 в день), которая также рассчитывается ботом.
Через 5 дней бот перестанет вам отвечать, но вы все равно можете заплатить договорную цену, чтобы заключить сделку.
*** Боту требуется указанная ниже информация для расшифровки ваших файлов, поэтому не удаляйте и не изменяйте никакую часть этого файла ***
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9wOBAQEFAAOCAQ8AMIIBCgKCAQEAnbsRBXMv7IHWJXdHv3F***
.....END PUBLIC KEY-----
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, манипулирует параметрами, отключает функции восстановления и исправления Windows на этапе загрузки, дополнительно удаляет каталог общей командой:
vssadmin.exe delete shadows /all /quiet;wmic shadowcopy delete;bcdedit /set {default} bootstatuspolicy ignoreallfailures;bcdedit /set {default} recoveryenabled no;wbadmin delete catalog -quiet
➤ Очищает журналы системы с помощью команды:
vssadmin.exe delete shadows /all /quiet;wmic shadowcopy delete;bcdedit /set {default} bootstatuspolicy ignoreallfailures;bcdedit /set {default} recoveryenabled no;wbadmin delete catalog -quiet
➤ Очищает журналы системы с помощью команды:
PowerShell.exe Clear-EventLog -LogName application, system, security
➤ Блокирует доступ к следующим сайтам:
google.com,youtube.com,baidu.com,facebook.com,amazon.com,360.cn,yahoo.com,wikipedia.org,zoom.us,live.com,reddit.com,netflix.com,microsoft.com,instagram.com,vk.com,alipay.com,myshopify.com,office.com,bing.com,ebay.com,microsoftonline.com,aliexpress.com,adobe.com,apple.com,twitter.com
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
➤ Блокирует доступ к следующим сайтам:
google.com,youtube.com,baidu.com,facebook.com,amazon.com,360.cn,yahoo.com,wikipedia.org,zoom.us,live.com,reddit.com,netflix.com,microsoft.com,instagram.com,vk.com,alipay.com,myshopify.com,office.com,bing.com,ebay.com,microsoftonline.com,aliexpress.com,adobe.com,apple.com,twitter.com
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Readme.txt, Motocos_Readme.txt, Ransomware_Readme.txt - названия файлов с требованием выкупа;
0046562091.exe - название вредоносного файла;
taskhos.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Lucas\AppData\Local\Temp\0046562091.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Telegram: @Motocos_bot
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Telegram: @Motocos_bot
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 88af65ad6b23ee2f9745ddacff604748
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.