SymmyWare

SymmyWare Ransomware

SymmiWare Ransomware

(шифровальщик-НЕ-вымогатель, деструктор) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем даже не требует выкуп (в записке написано 0 биткоин), чтобы вернуть файлы. Оригинальное название: SymmyWare. На файле написано: что попало (случайное название). Название разработчика: TODO.

Обнаружения:

DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.32725

BitDefender -> Gen:Heur.Ransom.Imps.3, Trojan.GenericKD.43938747

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK, A Variant Of Win32/Packed.Obsidium.AS

Malwarebytes -> Ransom.HiddenTear

Microsoft -> Ransom:Win32/HiddenTear.gen

Symantec -> Downloader, ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Raas.Auto, 

TrendMicro -> Ransom_HiddenTear.R002C0DIU20, Ransom.MSIL.SYMMYWARE.AA

© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnic, SymmyWare > SymmyWare NextGen

К зашифрованным файлам добавляется расширение: .SYMMYWARE

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Выпуск этого шифровальщика пришёлся на 1 ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру, если это произойдет.

Записка с требованием выкупа называется: SIMMYWARE.TXT

Содержание записки о выкупе:
*-------=SymmiWare=-------*
All your files was ciphered by Strong algorythm AES-128.
Take your time, no one will be able to decrypt your files without our decryption service.
To decrypt files, pay $ 0 in Bitcoins. If you do not have 0 bitcoins (everyone has it) then go to the site localbitcoins.com and there send to our wallet (which we do not have) and write to the mail simmyware@protonmail.ch to get the key and the decoder.
We advise you not to mess around because you still do not restore their hands.
We've also encrypted all your drives, files on your hard drives and network drives.
AES-128 is the Most reliable military-grade cryptographic algorithm.
There's no way to hack it, not even with a supercomputer.
The file cutter will start in 48 hours.
Don't be stupid and ugly like Patrick.
Any hacking attempts can fuck all of your data and the locker will turn them into pee-pee.
Good luck. Goodbye.
P.S I'm not spreading, and I can't.
P.P.S. The best time to send a letter: after November 25 (while we register the mail), and the fact that we wrote about 48 hours - it was a joke. We do not count down the time until the system is removed.
*-------=SymmiWare=-------*

Перевод записки на русский язык:
* ------- = SymmiWare = ------- *
Все ваши файлы были зашифрованы сильным алгоритмом AES-128.
Не спешите, никто не сможет расшифровать ваши файлы без нашей службы расшифровки.
Чтобы расшифровать файлы, заплатите $ 0 в биткойнах. Если у вас нет 0 биткоинов (у каждого есть), перейдите на сайт localbitcoins.com и отправьте на наш кошелек (которого у нас нет) и напишите на адрес simmyware@protonmail.ch, чтобы получить ключ и декодер.
Мы советуем вам не возиться, т.к. вы все равно не восстановите своими руками.
Мы также зашифровали все ваши диски, файлы на жестких дисках и сетевых дисках.
AES-128 - самый надежный криптографический алгоритм военного класса.
Невозможно взломать его, даже с помощью суперкомпьютера.
Резак файлов включится через 48 часов.
Не будь глупым и вздорным, как Патрик.
Любые попытки взлома могут трахнуть все ваши данные и локер превратит их в пи-пи.
Удачи. Прощай.
P.S Я не распространяю, и я не могу.
P.P.S. Лучшее время для отправки письма: после 25 ноября (пока мы регистрируем почту), и тот факт, что мы писали около 48 часов - это была шутка. Мы не отсчитываем время, когда система не будет удалена.


---
*| Перевод на русский опубликован, как есть, без исправления ошибок и лексики. 

Технические детали

По сообщениям разработчика: никогда не распространялся через RDP, но в этой версии замечено использование утилиты PsExec. 
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Шифрует данные, используя следующий порядок действий:
- генерирует пароль
- ищет диски и другие хранители информации
- проброс
- шифрует их с помощью AES-128 (Размер блока 128), дополнительно оставляет сообщение
- проброс
- если есть интернет - он посылает запрос на сайт (И так будет в цикле пока пользователь не включит интернет (если же он выключен))
- стирает пароль
- запускает видео с Youtube
- закрывается

➤ Пытается использовать утилиту PsExec.exe для выполнения команд на удалённых ПК. По данным исследователей, PsExec использовался без админ-прав, то ли из-за ошибки, то ли на пробу. 

Список файловых расширений, подвергающихся шифрованию:
Это документы, базы данных 1С, видео, фото, картинки, сертификаты и прочие файлы. 

Файлы, связанные с этим Ransomware:
SIMMYWARE.TXT
hyBrDFjOidLuty.exe
jisMlDfmBgdeF.exe
watadminsvc.exe
<random>.exe - случайное название
hyBrDFjOidLuty.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\65F3.tmp\6604.bat C:\jisMlDfmBgdeF.exe  - пример
D:\delphi\hyBrDFjOidLuty\hyBrDFjOidLuty\hyBrDFjOidLuty\obj\x86\Release\hyBrDFjOidLuty.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-host: fairybreathes.6te.net
Email: simmyware@protonmail.ch
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>  HA>>
𝚺  VirusTotal анализ >>  VT>> VT>>  VT на PsExec >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>  AR>>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 сентября 2020:

Пост в Твиттере >>

Расширение: .SYMMYWARE

Записка: SYMMYWARE.TXT

Добавляется в Автозагрузку Windows: C:\Users\Admin\AppData\Roaming\Microsoft\Word\STARTUP\SYMMYWARE.TXT

Email: simmyware@protonmail.ch

URL: fairybreathes.6te.net

Файлы: ky.exe

%TEMP%\PsExec.exe

%TEMP%\hyBrDFjOidLuty.exe

Результаты анализов: TG + VT + IA + AR + VMR + JSB

➤ Обнаружения:

DrWeb -> Trojan.Encoder.32725

BitDefender -> Trojan.GenericKD.43938747

ESET-NOD32 -> A Variant Of Win32/Packed.Obsidium.AS

Malwarebytes -> Ransom.HiddenTear

McAfee -> Generic-FAWW!80143152971E

Rising -> Trojan.Generic@ML.94 (RDML:qiz***

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> Ransom_HiddenTear.R002C0DIU20

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 🎥 Video review >>

 Thanks: 
 gnation
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Desktop, Ourmine

Desktop Ransomware

Ourmine Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Desktop Ransomware. На файле написано: Desktop Ransomware.exe. Написан на Autohit v.3. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется приставка: Lock.

Примеры зашифрованных файлов:
Lock.Ihhj7L6.docx
Lock.JfK4PzqcH7ER.csv
Lock.FsWV1eA3OkafmtB.xlsx


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Welcome in Desktop Ransomware
Oooooops All your files on the desktop are encrypted To decrypt files enter PIN
see you soon
Enter PIN LHNIWSJ <- (PC name)
PIN - [       ]
[Decryption]
[Get PIN]

Перевод записки на русский язык:
Добро пожаловать в Desktop Ransomware
Ууупс Все ваши файлы на рабочем столе зашифрованы. Для дешифрования файлов введите PIN-код
до скорой встречи
Введите PIN LHNIWSJ <- (имя ПК)
PIN - [       ]
[Decryption]
[Get PIN]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Нажатие на кнопку "Get PIN" окрывает страницу в Facebook xxxxs://www.facebook.com/profile.php?id=100027091457754
Уже недоступна. 

➤ Код разблокировки: 00114455220033669988554477++//

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Desktop Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://www.facebook.com/profile.php?id=100027091457754
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 13-14 мая 2019:
Пост в Твиттере >>
Самоназвание: OURMINE
Вместо расширения используется приставка Lock.
Написан на Autohit v.3. 
Email: waoeha@gmail.com

Надпись на изображении, встающем обоями Рабочего стола:
YOUR FILES ARE ALL GONE
[!] HACKED BY OURMINE [!]
EMAIL US 
WAOEHA@GMAIL.COM
YOUR SERCURITY IS LOW — 
TO GET YOUR FILES BACK
Файл EXE: Academics.pdf.exe
Результаты анализов: VT + VMR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as *** )
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 Cyber Security Gruja
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Vendetta

Vendetta Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Vendetta. На файле написано: Defender, Windows Defender и enc.exe. Фальш-копирайт: MICROSOFT Corporation © 2021

© Генеалогия: DecryptFox > Vendetta 

К зашифрованным файлам добавляются расширения: 
.vendetta
.VENDETTA
.vendetta2

Зашифрованные файлы переименовываются до неузнаваемости. 
Пример зашифрованного файла:
01-3F-F3-3C-6B-E0-16-F1-70-BA-45-23-FD-5C-DF-0F.vendetta
01-3F-F3-3C-6B-E0-16-F1-70-BA-45-23-FD-5C-DF-0F.VENDETTA


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
How to decrypt files.html
how_to_decrypt_files.txt

Содержание записки о выкупе:
All your filed have been encrypted!
All your filed have been encrypted due to a security problem with your PC. If you want to restore them, write us to the email DecryptFox@protonmail.com
Write this ID in the title of your message [redacted 32 lowercase hex]---[redacted different 32 lowercase hex]
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. the total size of files must be less than 10Mb (non archived), and the files should not contain valuable information. (databases, backups, large excel sheets, etc.)
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на email DecryptFox@protonmail.com
Напишите этот идентификатор в заголовке вашего сообщения [32 строчные HEX] --- [разные 32 строчные буквы]
Вы должны заплатить за дешифрование в биткоbнах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования. общий размер файлов должен быть меньше 10 МБ (без архивирования), и файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Внимание!
Не переименовывать зашифрованные файлы.
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует сервис api.ipify.org для определения IP компьютера. 
Отправляет информацию с помощью Telegram.

➤ Использует следующий белый список.

➤ Удивил следующим показателем: RSA-5008

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
enc.exe
How to decrypt files.html
how_to_decrypt_files.txt
<random>.exe - случайное название
log.html
processes.csv
_enc.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
p:\read\st3\bin\release\_enc.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: DecryptFox@protonmail.com
http://api.ipify.org/
https://api.telegram.org/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
Только перед этим НЕ перезагружайте систему!!!
Attention!
Files can be decrypted! DO NOT restart the system !!!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Vendetta)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SnowPicnic

SnowPicnic Ransomware 

0BtcRansoware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем не требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SnowPicnic. На файле написано: SnowPicnic.exe и SnowPicnicFrensomware.exe. Разработчик: _GOSHA

© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnic

К зашифрованным файлам добавляется расширение: .snowpicnic


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
Read.HTML
Read.TXT

Содержание записки о выкупе:
Your files has been encrypted with Millitary Grade Algorithm AES-256 (Advanced Encrypting Standard) https://en.wikipedia.org/wiki/Advanced_Encryption_Standard,
And for decrypt: Buy to my wallet 0 bitcoins, not 0.5, not 1, not 2,0 bitcoins!ator will be crypted, obfuscated, and encoded with ASCII chars. Abort - spread to all computers. Retry - Record to BIOS and Hard Disk for installation and spreading before reinstaleut:***
Good luck!
Good bye!

Перевод записки на русский язык:
Ваши файлы зашифрованы с алгоритмом Millitary Grade AES-256 (Advanced Encryptioning Standard) https://en.wikipedia.org/wiki/Advanced_Encryption_Standard,
И для расшифровки: купите мой кошелек 0 биткоинов, не 0,5, не 1, не 2,0 биткоинов! ator будет зашифрован, запутан и закодирован символами ASCII. Прервать - распространится на все компьютеры. Повторите попытку - запись в BIOS и жесткий диск для установки и распространения перед повторной установкой: ***
Удачи!
Пока!

Другой текст, для тех, кто будет смотреть код:
it's called a ransomware-not-ransomware.
EnyBeny Crypt - second ransomware.
Scrabber - withheld support, and no longer in service.
#0BtcRansoware

Другой текст с уведомлением Ask.com:
Ask.Com Notification
Install ask.com? Yes = yes, no = yes
Ask Toolbar started a installation to all computers of your network, and installator will be crypted, obfuscated, and encoded with ASCII chars. Abort - spread to all computers. Retry - Record to BIOS and Hard Disk for installation and spreading before reinstalling Windows. Ignore - Infect with ASK users.

Технические детали

По сообщениям разработчика: никогда не распространялся через RDP. 
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.7z, .asp, .aspx, .avi, .bc6, .bc7, .bkf, .bkp, .cas, .csv, .d3dbsp, .doc, .docx, .fos, .gdb, .gho, .hkdb, .hplg, .html, .hvpl, .ibank, .icxs, .itdb, .itl, .itm, .m4a, .map, .mdb, .mdbackup, .mddata, .mov, .mp4, .odt, .php, .pkpass, .png, .ppt, .pptx, .psd, .qdf, .qic, .rar, .sb, .sid, .sidd, .sidn, .sie, .sis, .sql, .sum, .svg, .syncdb, .t12, .t13, .tax, .vdf, .wma, .wmo, .wmv, .xls, .xlsx, .xml, .zip, .ztmp (64 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read.HTML
Read.TXT
SnowPicnicFrensomware.exe
SnowPicnicFrensomware.pdb
SnowPicnic.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\_GOSHA\SnowPicnic\SnowPicnicFrensomware\SnowPicnicFrensomware\obj\x86\Release\SnowPicnicFrensomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 gnation, anonymous / unknown
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CommonRansom

CommonRansom Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: CommonRansom. Для дешифрования файлов после получения выкупа, вымогатели требуют от жертв открыть службы удаленных рабочих столов на заражённых ПК и отправить им учетные данные администратора. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .CommonRansom

Фактически используется составное расширение по шаблону: .[<email>].CommonRansom

На данный момент это .[old@nuke.africa].CommonRansom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPTING.txt

 Записка, открытая в Блокноте

Записка, открытая в браузере

Содержание записки о выкупе:
===
CommonRansom
===
Hello dear friend,
Your files were encrypted!
You have only 12 hours to decrypt it
In case of no answer our team will delete your decryption password
Write back to our e-mail: old@nuke.africa
In your message you have to write:
1. This ID-345678901234567
2. [IP_ADDRESS]:PORT(rdp) of infected machine
3. Username:Password with admin rights
4. Time when you have paid 0.1 btc to this bitcoin wallet:
35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF
After payment our team will decrypt your files immediatly
Free decryption as guarantee:
1. File must be less than 10MB
2. Only .txt or .lnk files, no databases
3. Only 5 files
How to obtain bitcoin:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Перевод записки на русский язык:
Привет, дорогой друг,
Твои файлы зашифрованы!
У тебя есть только 12 часов, чтобы расшифровать их
При отсутствии ответа наша команда удалит твой пароль дешифрования
Напишите на наш e-mail: old@nuke.africa
В своем сообщении ты должен написать:
1. Этот ID-345678901234567
2. [IP_ADDRESS]: PORT (rdp) зараженной машины
3. Имя пользователя: Пароль с админ-правами 
4. Время, когда ты заплатил 0.1 бит за этот биткоин-кошелек:
35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF
После оплаты наша команда немедленно расшифрует твои файлы
Бесплатное дешифрование в качестве гарантии:
1. Файл должен быть меньше 10 МБ
2. Только файлы .txt или .lnk, без баз данных
3. Только 5 файлов
Как получить биткоин:
Самый простой способ купить биткоины - сайт LocalBitcoins. Ты должен зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также можно найти другие места для покупки биткоинов и руководство для новичков здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPTING.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: old@nuke.africa
BTC: 35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.