Сorona Ransomware
Сoronaviryz Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Образец вредоносного файла не обнаружен.
---
© Генеалогия: Paymen45 ? >> Corona
Информация для идентификации
Активность этого крипто-вымогателя была во второй половине февраля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .corona
Записка с требованием выкупа называется: readme.txt
Записка с требованием выкупа называется: readme.txt
Содержание записки о выкупе:
Your personal ID: no7dead70ed7
To recover data you need decrypt tool.
To get the decrypt tool you should:
Send your personal ID to coronaviryz@gmail.com
Or alternate mail korona@bestkoronavirus.com
Or jabber coronavirus@exploit.im
MOST IMPORTANT!
Do not contact other services that promise to decrypt your files, this is fraud on their part! They will buy a decoder from us, and you will pay more for his services.
Only (coronaviryz@gmail.com/korona@bestkoronavirus.com/coronavirus@exploit.im) can decrypt your files.
Antivirus programs can delete this document and you can not contact us later.
Attempts to self-decrypting files will result in the loss of your data.
Перевод записки на русский язык:
Ваш личный ID: no7dead70ed7
Для восстановления данных вам нужен инструмент расшифровки.
Чтобы получить инструмент расшифровки, вам необходимо:
Отправьте свой личный ID на coronaviryz@gmail.com
Или альтернативная почта korona@bestkoronavirus.com
Или jabber коронавирус@exploit.im
САМОЕ ВАЖНОЕ!
Не связывайтесь с другими сервисами, которые обещают расшифровать ваши файлы, это мошенничество с их стороны! У нас купят декодер, а вы заплатите еще за его услуги.
Только (coronaviryz@gmail.com/korona@bestkoronavirus.com/coronavirus@exploit.im) может расшифровать ваши файлы.
Антивирусные программы могут удалить этот документ и вы не сможете связаться с нами позже.
Попытки самостоятельно расшифровать файлы приведут к потере ваших данных.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: coronaviryz@gmail.com, korona@bestkoronavirus.com
Jabber: coronavirus@exploit.im
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support *
Thanks: *** Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.