Smock Ransomware
Aliases: Smok, Mehro, Phobos, ciphx
(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/GenKryptik.HCKM
Kaspersky -> ***
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:MSIL/Smock!MTB
Rising -> Trojan.Kryptik!8.8 (CLOUD)
Tencent -> Msil.Trojan.Genkryptik.Etgl
TrendMicro -> TROJ_GEN.R002H09J524
---
© Генеалогия: Koolova modified >> Smock
Активность этого крипто-вымогателя была замечена в июня-августе 2024 г., но продолжилась до октября. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется одно из следующих расширений:
.SMOCK
.SMOK
.MEHRO
.PHOBOS
.ciphx (в октябре)
Фактически используется известный шаблон:
.[ID{8}][<email_ransom>].extension
Здесь ID{8} = pcid (идентификатор компьютера).
Примеры зашифрованных файлов:
.[614FD522][smocksupport@protonmail.com].SMOCK
.[812EH413][smoksupport@onionmail.com].SMOK
Записки с требованием выкупа называются: ReadMe.txt, info.hta
Содержание записки ReadMe.txt:
Smock Ransomware!!!
ATTENTION!
YOUR PERSONAL DECRYPTION ID : 102AB***
At the moment, your system is not protected.
We can fix it and restore your files.
To get started, send 1-2 small files to decrypt them as proof
You can trust us after opening them
2.Do not use free programs to unlock.
OUR CONTACTS:
[+] Email 1 : smoksupport@onionmail.com
[+] Email 2 : smocksupport@protonmail.com
[+] Write Us To The ID-Telegram :@Recovery_Data_*** (https://t.me/Recovery_Data_*** )
1) TOX messenger (fast and anonymous)
https://tox.chat/download.html
Install qtox
Press sign up
Create your own name
Press plus
Put there our tox ID:
AD2***
And add me/write message
Перевод записки на русский язык:
Smock Ransomware!!!
ВНИМАНИЕ!
ВАШ ПЕРСОНАЛЬНЫЙ ИД РАСШИФРОВКИ: 102AB***
В данный момент ваша система не защищена.
Мы можем исправить это и вернуть ваши файлы.
Для начала отправьте 1-2 небольших файла для доказательства расшифровки
Вы можете доверять нам после их открытия
2. Не используйте бесплатные программы для разблокировки.
НАШИ КОНТАКТЫ:
[+] Email 1 : smoksupport@onionmail.com
[+] Email 2 : smocksupport@protonmail.com
[+] Напишите нам в ID-Telegram :@Recovery_Data_*** (https://t.me/Recovery_Data_*** )
1) TOX messenger (быстрый и анонимный)
https://tox.chat/download.html
Установите qtox
Нажмите sign up
Создайте свое имя
Нажмите plus
Вставьте туда наш tox ID:
AD2***
И добавьте меня/напишите сообщение
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ReadMe.txt - название файла с требованием выкупа;
info.hta - название файла с требованием выкупа;
Ransomware.exe - случайное название вредоносного файла;
Ransomware.exe - случайное название вредоносного файла;
Ransomware.pdb - файл проекта вредоносного файла;
ControlledEncryptionTest.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Administrator\Desktop\rans\Ransomware\Ransomware\Ransomware\Ransomware\Ransomware\Ransomware\obj\Release\Ransomware.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: smoksupport@onionmail.com
Email-2: smocksupport@protonmail.com
Email-3: Smoksupport@cloudminerapp.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Koolova Ransomware — ноябрь-декабрь 2016
Koolova HT Ransomware — ноябрь-декабрь 2016
DUMB (Ramsomeer) Ransomware — февраль 2017
Повторные варианты — 2018
Модифицированные варианты — 2018-2024
Smock, Smok и другие — июнь-октябрь 2024
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 2 октября 2024:
Сообщение на форуме >>
Расширение: .ciphx
Расширение: .ciphx
Пример зашифрованного файла: document.txt.[508AB610][ciphx@onionmail.com].ciphx
Email-1:ciphx@onionmail.com
Email-2: Ciphx99@protonmail.com
Telegram: @Recovery_Data_ciphx
Обновление октября 2024:
Мошенники или их пособники используют сайт:
hxxxs://phobosdecryptor.ru/smock-ransomware/
Для вымогания денег через поддельные адреса и поддельный Whats App.
Остерегайтесь что-то оттуда скачивать и не переводите никакую сумму.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: *** Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.