CXK-NMSL, ChineseBAT

CXK-NMSL Ransomware

ChineseBAT Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: CXK-NMSL (указано в записке). На файле написано: CXK-NMSL.bat. Разработчик: NyanMEMZ, Mimiks-Workshop.

Обнаружения:
DrWeb -> BAT.Encoder.82, BAT.671, BAT.MulDrop.7, Trojan.Encoder.30983
BitDefender -> Trojan.BAT.Ransom.C, Trojan.BAT.Ransom.D, Trojan.GenericKD.32724777
ESET-NOD32 -> BAT/TrojanDropper.Agent.NCY
Symantec -> Trojan Horse, Trojan.Gen.MBT
Microsoft -> Trojan:Win32/Zpevdo.B

© Генеалогия: более ранние BAT Ransomware >> CXK-NMSL (ChineseBAT)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .cxk_nmsl

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру. Может быть связан с ExpBoot Ransomware.

Записка с требованием выкупа называется: CXK-NMSL-README.txt

Содержание записки о выкупе:
---=    CXK NMSL!    =---******************************************************************************************
你电脑上的文件都被加密了！
-----------------------------------------------------------
你电脑上的文档、图片、视频、音频、压缩包……几乎所有类型的文件都被cxk-nmsl!勒索 软件加密了，因此无法正常打开。这和已经损坏的文件有本质上的区别。你大可去网上找
找恢复文件的方法，我敢保证，没有我来帮你解密，就算是蔡徐坤来了也恢复不了你的文 件。
如何解密这些文件？
--------------------------------------------------------------------
只有我能帮你解密你的文件，但是这是要付些费用的。你需要购买我的解密器，用它来扫 描并解密你电脑上的文件。
价格及付款方法。
----------------------------------------------------------------------
我只会接受B币如果你搞不懂B币是什么或是不知道怎么购买B币请前往
https://www.bilibili.com/blackboard/help.html#B%E5%B8%81%E7%9B%B8%E5%85%B3?id=669064f15cb84ca5a9ff48081bf00c99
价格 
你需要支付100B币，以及给bilibili上的10个蔡徐坤鬼畜视频三连以解密你的文件。
顺便明一下，三连即点赞、投币、收藏。投币即打赏硬币，这和B币是两个概念。
如果你不懂硬币是什么或者不知道怎么获取硬币请前往
https://www.bilibili.com/blackboard/help.html#%E7%A1%AC%E5%B8%81%E7%9B%B8%E5%85%B3?id=0a9b4e2ca5e942b4a565a83390399d0c
付款方法
| 0. 注册一个帐号 - https://www.bilibili.com/ 
| 1. 购买B币 
| 2. 支付100B币到https://space.bilibili.com/272280576
       注意，请通过“充电”进行支付，如果你不知道怎么操作讲前往
https://www.bilibili.com/blackboard/help.html#%E5%85%85%E7%94%B5%E8%AE%A1%E5%88%92?id=14cf474095a44dae9a497fba17fa55d7
       然后点击<如何给UP主充电？> 电池=B币
 | 3. 支付完成后点击<发消息>进行联系，确认付款成功，并将给10个蔡徐坤鬼畜视频三连的截图发给我。                   
 | 4. 由于我不是时刻在线，所以付款完成和发完消息之后请等待回复。
 注意！
---------------------------------------------------------------------------------
不要修改文件扩展名及文件内容，这可能会损坏文件。
所以，请不要尝试。

Перевод записки на русский язык:
Файлы на вашем компьютере зашифрованы!
---=    CXK NMSL!    =---**********************
-----------------------------------------------------------
Документы, изображения, видео, аудио и zip-файлы на вашем компьютере ... Почти все типы файлов зашифрованы с помощью программы-вымогателя cxk-nmsl!, Поэтому их нельзя открыть обычным способом. Это существенно отличается от поврежденного файла. Вы можете выйти в интернет, чтобы найти
Ища способы восстановления файлов, я могу гарантировать, что без меня, чтобы помочь вам расшифровать, даже если придет Cai Xukun, вы не сможете восстановить ваши файлы.
Как расшифровать эти файлы?
--------------------------------------------------------------------
Только я могу помочь вам расшифровать ваши файлы, но это плата. Вам необходимо приобрести мой расшифровщик и использовать его для сканирования и расшифровки файлов на вашем компьютере.
Цена и способ оплаты.
----------------------------------------------------------------------
Я принимаю только B-монеты. Если вы не понимаете, что такое B-монеты или не знаете, как купить B-монеты, перейдите по ссылке
https://www.bilibili.com/blackboard/help.html#B%E5%B8%81%E7%9B%B8%E5%85%B3?id=669064f15cb84ca5a9ff48081bf00c99
Цена
Вам нужно заплатить 100 B-монет и 10 каскадных призрачных видео на bilibili, чтобы расшифровать ваши файлы.
Кстати, три связи - это как монета и коллекция. Монеты, управляемые монетами, вознаграждены, и это и B-монета - два понятия.
Если вы не понимаете, что такое монета или не знаете, как ее получить, перейдите по ссылке
https://www.bilibili.com/blackboard/help.html#%E7%A1%AC%E5%B8%81%E7%9B%B8%E5%85%B3?id=0a9b4e2ca5e942b4a565a83390399d0c
Способ оплаты
| 0. Зарегистрировать аккаунт - https://www.bilibili.com/
| 1. Купить B-монеты
2. Заплатите 100 B-монет на https://space.bilibili.com/272280576
       Обратите внимание, пожалуйста, оплатите "зарядкой", если вы не знаете, как работать, перейдите на
https://www.bilibili.com/blackboard/help.html#%E5%85%85%E7%94%B5%E8%AE%A1%E5%88%92?id=14cf474095a44dae9a497fba17fa55d7
       Затем нажмите <Как подзарядить батарею? >  = валюта B
 3. После завершения платежа нажмите <Отправить сообщение>, чтобы связаться, подтвердите, что платеж прошел успешно, и пришлите мне снимок экрана 10 Cai Xukun Ghost Video Three.
 4. Поскольку я не в сети все время, дождитесь ответа после завершения платежа и отправки сообщения.
 Обратите внимание!
---------------------------------------------------------------------------------
Не изменяйте расширение файла и его содержимое, так как это может повредить файл.
Поэтому, пожалуйста, не пытайтесь.

Технические детали

Нет точных данных о распространении, кроме китайских сайтов и форумов. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Из-за ошибки в коде шифровальщика удаляет большинство файлов на системном диске, вместо шифрования. 

Файлы, связанные с этим Ransomware:
CXK-NMSL.bat
CXK-NMSL-README.txt
CXK-NMSL-README.txt.exe
js-файл
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Страница разработчика NyanMEMZ и его твит:
xxxxs://space.bilibili.com/272280576

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20-22 октября 2019:
DrWeb -> BAT.671
Версия: CXK-NMSL V2.0
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .cxkdata
Записка: CXK-NMSL-README.txt.exe
Файлы: CXK-NMSL V2.0.bat, CXK-NMSLV2.0.bat.js, x.js
Заменяет обои рабочего стола своим изображением с текстом на китайском и картинками неприличного содержания. 
Файл загруженного архива: CXK-NMSL V2.0.bat.zip
Результаты анализов: VT + VT + AR + AR

Обновление от 12 ноября 2019:
Версия: CXK-NMSL V3.1
DrWeb -> BAT.MulDrop.7
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .cxkdata
Записки: CXK-NMSL-README.txt, CXK-NMSL-README.e
Файлы: exe2bat.py, CXK-NMSL V3.1.bat, CXK-NMSLV3.1.bat.js, CXK-NMSL V3.1.bat.cxkdata
Результаты анализов: VT + HA + AR

➤ Содержание записки: 
---= CXK NMSL! V3.1 =---

******************************************************************************************
你电脑上的文件都被加密了！-----------------------------------------------------------
你电脑上的文档、图片、视频、音频、压缩包……几乎所有类型的文件都被cxk-nmsl!勒索
软件加密了，因此无法正常打开。这和已经损坏的文件有本质上的区别。你大可去网上找
找恢复文件的方法，我敢保证，没有我来帮你解密，就算是蔡徐坤来了也恢复不了你的文
件。
如何解密这些文件？--------------------------------------------------------------------
只有我能帮你解密你的文件，但是这是要付些费用的。你需要购买我的解密器，用它来扫
描并解密你电脑上的文件。
价格及付款方法。----------------------------------------------------------------------
我只会接受B币如果你搞不懂B币是什么或是不知道怎么购买B币请前往
https://www.bilibili.com/blackboard/help.html#B%E5%B8%81%E7%9B%B8%E5%85%B3?id=669064f15cb84ca5a9ff48081bf00c99
价格
你需要支付100B币，以及给bilibili上的10个蔡徐坤鬼畜视频三连以解密你的文件。
顺便明一下，三连即点赞、投币、收藏。投币即打赏硬币，这和B币是两个概念。
如果你不懂硬币是什么或者不知道怎么获取硬币请前往
https://www.bilibili.com/blackboard/help.html#%E7%A1%AC%E5%B8%81%E7%9B%B8%E5%85%B3?id=0a9b4e2ca5e942b4a565a83390399d0c
付款方法
| 0. 注册一个帐号 - https://www.bilibili.com/ 
| 1. 购买B币 
| 2. 支付100B币到https://space.bilibili.com/477206244
      注意，请通过“充电”进行支付，如果你不知道怎么操作讲前往
https://www.bilibili.com/blackboard/help.html#%E5%85%85%E7%94%B5%E8%AE%A1%E5%88%92?id=14cf474095a44dae9a497fba17fa55d7
      然后点击<如何给UP主充电？> 注意：电池=硬币
| 3. 支付完成后点击<发消息>进行联系，确认付款成功，并将给10个蔡徐坤鬼畜视频三连的截图发给我。                        
| 4. 由于我不是时刻在线，所以付款完成和发完消息之后请等待回复。
注意！---------------------------------------------------------------------------------
不要修改文件扩展名及文件内容，这可能会损坏文件。
所以，请不要尝试。
---=    END    =---

Обновление от 17 ноября 2019:
Версия: CXK-NMSL V3.2
DrWeb -> BAT.MulDrop.7
BitDefender -> Trojan.BAT.Ransom.D, Trojan.GenericKD.32724777
Qihoo-360 -> Win32/Trojan.Ransom.30a
Пост в Твиттере >>
Пост в Твиттере >>
Расширения: .cxkdata и .cxk_nmsl
Записки: CXK-NMSL-README.txt, CXK-NMSL-README.e
Файлы: CXK-NMSL V3.2.bat, exe2bat.py
Результаты анализов: VT + HA + AR / AR + VT

➤ Содержание записки: 
---= CXK NMSL! V3.2 =---

******************************************************************************************
你电脑上的文件都被加密了！-----------------------------------------------------------
你电脑上的文档、图片、视频、音频、压缩包……几乎所有类型的文件都被cxk-nmsl!勒索
软件加密了，因此无法正常打开。这和已经损坏的文件有本质上的区别。你大可去网上找
找恢复文件的方法，我敢保证，没有我来帮你解密，就算是蔡徐坤来了也恢复不了你的文
件。
如何解密这些文件？--------------------------------------------------------------------
只有我能帮你解密你的文件，但是这是要付些费用的。你需要购买我的解密器，用它来扫
描并解密你电脑上的文件。
价格及付款方法。----------------------------------------------------------------------
我只会接受B币如果你搞不懂B币是什么或是不知道怎么购买B币请前往
https://www.bilibili.com/blackboard/help.html#B%E5%B8%81%E7%9B%B8%E5%85%B3?id=669064f15cb84ca5a9ff48081bf00c99
价格
你需要支付100B币，以及给bilibili上的10个蔡徐坤鬼畜视频三连以解密你的文件。
顺便明一下，三连即点赞、投币、收藏。投币即打赏硬币，这和B币是两个概念。
如果你不懂硬币是什么或者不知道怎么获取硬币请前往
https://www.bilibili.com/blackboard/help.html#%E7%A1%AC%E5%B8%81%E7%9B%B8%E5%85%B3?id=0a9b4e2ca5e942b4a565a83390399d0c
付款方法
| 0. 注册一个帐号 - https://www.bilibili.com/ 
| 1. 购买B币 
| 2. 支付100B币到https://space.bilibili.com/477206244
      注意，请通过“充电”进行支付，如果你不知道怎么操作讲前往
https://www.bilibili.com/blackboard/help.html#%E5%85%85%E7%94%B5%E8%AE%A1%E5%88%92?id=14cf474095a44dae9a497fba17fa55d7
      然后点击<如何给UP主充电？> 注意：电池=硬币
| 3. 支付完成后点击<发消息>进行联系，确认付款成功，并将给10个蔡徐坤鬼畜视频三连的截图发给我。                        
| 4. 由于我不是时刻在线，所以付款完成和发完消息之后请等待回复。
注意！---------------------------------------------------------------------------------
不要修改文件扩展名及文件内容，这可能会损坏文件。
所以，请不要尝试。
---=    END    =---

Обновление от 20 декабря 2019:
Пост в Твиттере >>
Версия: CXK-NMSL V3.3.1

Обновление от 9 февраля 2020: 
Пост в Твиттере >>
Теперь группа разработчиков стала называться: Mimiks-Workshop

NyanMEMZ (CXK-NMSL) + MIAIONE (ExpBoot)

Обновление от 25 февраля 2020:
Пост в Твиттере >>
Расширение: .cxkdata
Файлы: CXK-NMSL.bat, MBR.bat, fuse.bat
Результаты анализов: VT + AR
---
Пост в Твиттере >>
Версия: CXK-NMSL V3.3
Расширения: .cxk_nmsl и .cxkdata
Файлы: CXK-NMSL.bat, fuse.vbs, fuse.bat
Результаты анализов: VT + AR
DrWeb -> Trojan.Encoder.30983
BitDefender -> Gen:Heur.Zilix.1
Rising -> Dropper.Generic!8.35E (CLOUD)
Tencent -> Win32.Packed.Black.Eddt
Symantec -> Trojan.Gen.MBT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать, кроме тех, которые физически повреждены или удалены. 
Пострадавшие могут написать Майклу Джиллеспи.
***
В более новых версиях, вероятно, шифрование улучшено. 

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CXK-NMSL)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, Michael Gillespie
 Andrew Ivanov (author)
 NyanMEMZ, dnwls0719, 
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

DoppelPaymer

DoppelPaymer Ransomware

DoppelPaymer Doxware

Variants: Doppeled

(шифровальщик-вымогатель, публикатор) (первоисточник на русском)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью сочетания AES-256 и RSA-2048, а затем требует выкуп в 2 BTC, чтобы вернуть файлы. Есть выкупы и с большей суммой в 40 и 100 BTC. Оригинальное название: называет себя как Bit paymer. На файле написано: SpotLife WebAlbum Service Plugin и WASpotLife.DLL. 
Разработка: INDRIK SPIDER или того, кто вышел из этой группы. 

Вымогатели, распространяющие DoppelPaymer, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов с помощью программных средств (doxware). Об этих акциях вымогателей сообщалось в СМИ. 

Обнаружения:
DrWeb -> Trojan.Encoder.28753, Trojan.PWS.Stealer.26607, Trojan.MulDrop11.19507

BitDefender -> Trojan.GenericKD.32262052, Trojan.GenericKD.41423874, Trojan.GenericKD.32262038

Avira (no cloud) -> TR/AD.Dridex.zmiof
ALYac -> Spyware.Banker.Dridex
ESET-NOD32 -> A Variant Of Win32/Kryptik.GUHR, A Variant Of Win32/Kryptik.GUJU

Kaspersky -> Trojan.Win32.Yakes.ytqt, Trojan-Ransom.Win32.DoppelPaymer.c
McAfee -> Ransomware-GPP!9141D1D189AF
Symantec -> Trojan.Gen.MBT
VBA32 -> TScope.Malware-Cryptor.SB

© Генеалогия: Bitpaymer >> DoppelPaymer

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя был обнаружена в середине-конце июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа добавляется к каждому зашифрованному файлу как расширение и называется по шаблону:<original_filename>.readme2unlock.txt

Примеры: 

ATT00001 (002).txt.readme2unlock.txt

IrakHau.htm.readme2unlock.txt

Содержание записки о выкупе:

Your network has been penetrated.

All files on each host in the network have been encrypted with a strong algorythm.

Backups were either encrypted or deleted or backup disks were formatted.

Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation

No decryption software is available in the public.

DO NOT RESET OR SHUTDOWN - files may be damaged.

DO NOT RENAME OR MOVE the encrypted and readme files.

DO NOT DELETE readme files.

DO NOT use any recovery software with restoring files overwriting encrypted.

This may lead to the impossibility of recovery of the certain files.

To get info (decrypt your files) contact us at your personal page:

1. Download and install Tor Browser: https://www.torproject.org/download/

2. After a successful installation, run the browser and wait for initialization.

3. Type in the address bar:

http://2anwyjsh7qgbuc5i.onion/order/f6940a89-8faa-11e9-84dc-bba3fe1360a9

4. Follow the instructions on the site

5. You should get in contact in 48 HOURS since your systems been infected.

6. The link above is valid for 7 days.

   After that period if you not get in contact

   your local data would be lost completely.

The faster you get in contact - the lower price you can expect.

DATA

CwAAAEU+qY+uobTGM0JkAQIAABBmAAAApAAAujwi0n4EUQhOIf0YqbzlhG3U7PJEZSzFQBXdoD2j

QXjLwuWIYN1g0T3eAQyOBK7PaKkzGzuMiHS6XUwEZz2504KxeN9T1V5grfc5OvmITsL/CiYYxwoP

2Di7pdyzqIikNs5x2ZnNyXQPRDfB6BsINBpl06jQIuuRKkYyUHh+1fdSUMBcGmKZs+U78xxze5+m

x1a9P1LtpMTkBvBZO9i306PGiBOPgE6AqodDwh3T6HGvC3RHl9XfQgNADsgMdq0YGjC1+PsYyB12

uCG2N+KNT4pcQS3mm2DEpijV0wb5Em5sQfS5zn5PrryBHJ7nhzMEvvqxLh9KKSKhdZcOk+KaXw==

Перевод записки на русский язык:
Ваша сеть скомпрометирована. 
Все файлы на каждом хосте в сети были зашифрованы с надежным алгоритмом.
Резервные копии были либо зашифрованы, либо удалены, либо диски отформатированы.
Теневые копии также удалены, поэтому F8 или любые другие методы могут повредить зашифрованные данные, но не восстановить.
У нас есть эксклюзивная программа для вашей ситуации
В открытом доступе программа для расшифровки недоступна. 
НЕ СБРОСИТЬ ИЛИ НЕ ВЫКЛЮЧАТЬ - файлы могут быть повреждены.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ИЛИ НЕ ПЕРЕМЕЩАЙТЕ зашифрованные и файлы readme.
НЕ УДАЛЯЙТЕ файлы readme.
НЕ ИСПОЛЬЗУЙТЕ какие-то программы для восстановления с восстановлением перезаписываемых файлов.
Это может привести к невозможности восстановления определенных файлов.
Чтобы получить информацию (расшифровать ваши файлы), свяжитесь с нами на вашей личной странице:
1. Загрузите и установите браузер Tor: https://www.torproject.org/download/
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресной строке:
http://2anwyjsh7qgbuc5i.onion/order/f6940a89-8faa-11e9-84dc-bba3fe1360a9
4. Следуйте инструкциям на сайте
5. Вы должны связаться через 48 ЧАСОВ, так как ваши системы были заражены.
6. Ссылка выше действительна в течение 7 дней.
По истечении этого срока, если вы не связались
ваши локальные данные будут потеряны полностью.
Чем быстрее вы вступите в контакт - тем ниже цена, которую вы можете ожидать.
ДАННЫЕ
***

Специалисты из CrowdStrike выделили DoppelPaymer из семейства BitPaymer. 

Они сравнили страницы сайта вымогателей и записки о выкупе. По их предположению кто-то, ранее работавший на BitPaymer, решил сделать свой вымогатель на его основе. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Каждый файл readme содержит зашифрованный 256-битный ключ AES в поле с именем DATA.

➤ DopplePaymer использует легитимную утилиту с открытым исходным кодом ProcessHacker (его PE-файлы встроены в DopplePaymer), чтобы завершать в системе некоторые из процессов и сервисов (подробнее).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название вредоносного файла
<random>.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://2anwyjsh7qgbuc5i.onion/***

Email: btpsupport@protonmail.com

Твиттер: https://twitter.com/doppelpaymer
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >> 
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >> 
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BitPaymer Ransomware - июль 2017
DoppelPaymer Ransomware - июнь-июль 2019
DoppelPaymer Ransomware с расширением .doppeled - январь 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 октября 2019:
Пост в Твиттере >>
Видеообзор >>
Расширение: .locked
Записка: <original_filename>.readme2unlock.txt
Результаты анализов: VT + HA + VMR

 

Обновление от 5 ноября 2020:

Пост в Твиттере >>

Расширение: .locked
Записка: <original_filename>.readme2unlock.txt

Email: btpsupport@protonmail.com

Tor-URL: http://q7wp5u55lhtuafjtsl6lkt24z4wvon2jexfzhzqqfrt3bqnpqboyqoid.onion

Результаты анализов: VT + IA + AR + VMR + JSB

Обновление от 13 ноября 2019:

Пост в Твиттере >>

Идентификаторы как из 5 ноября 2019. 

Результаты анализов: VT + HA + IA

Обновление от 25 января 2020: 
Пост в Твиттере >>
Расширение: .doppeled
Записка: Файлы записок теперь заканчиваются на .how2decrypt.txt

Обновление от 3 февраля 2020:
Статья на сайте BleepingComputer >>

Обновление февраля 2020:

Аккаунт в Твиттере: https://twitter.com/doppelpaymer

Сайт Dopple Leaks для публикации утечек: http://hpoo4dosa3x4ognfxpqcrjwnsigvslm7kv6hvmhh2yqczaxy3j6qnwad.onion/

Другой сайт (не открывается): http://dopplenews.xyz/

Новости от 22 июля 2021:

DoppelPaymer переименовались в Grief (Pay or Grief) и перешли на криптовалюту Monero. 

Статья-исследование >>

Статья-новость >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet + Tweet
 ID Ransomware (ID as Bitpaymer / DoppelPaymer)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 CrowdStrike (Brett Stone-Gross, Sergei Frankoff, Bex Hartley)
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

ChineseRarypt

ChineseRarypt Ransomware
"Fake GlobeImposter" Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные взломанных серверов, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: что попало. 
На самом деле помещает файлы в Rar-архив вместо шифрования. Пароль может находиться в той же директории, в Rar-файле. В описанном здесь случае пароль на архив с файлами был: lll.hc3t6b9s8kz5r26

Обнаружения: 
DrWeb -> BAT.Siggen.140
ALYac -> Trojan.Ransom.ChinCrypt
Tencent -> Win32.Trojan.Fakeglo.Xfow
Qihoo-360 -> Script/Virus.bd5

© Генеалогия: ✂️ GlobeImposter >> ✂️ Maoloa > ChineseRarypt

Этимология названия:
Оригинального названия нет совсем, т.к. он выдает себя за других вымогателей. Название составлено из слов "Chinese", "Rar" и "crypt".
В итоге: Chinese + Rar + (cr)ypt = ChineseRarypt
Шифрования в чистом виде нет, поэтому, по традиции, слово "crypt" обрезается до "ypt".
См. в Дайджесте также: 0kilobypt Ransomware, Ordinypt Ransomware, Zeropadypt Ransomware, названные по той же схеме. 

Изображение — логотип статьи

К фейк-зашифрованным файлам добавляется расширение, в котором есть фиксированное слово и случайный набор цифр .<random>tiger88818

Пример такого расширения: .32419tiger88818

Фактически используется приставка в виде email и это расширение. Мы не видели других вариантов с другим расширением, возможно, они берут названия животных из китайского гороскопа и случайный набор цифр.  

Пример зашифрованного (фактически: блокированного в архиве) файла: Decryptcn@protonmail.ch_jpg.32419tiger88818

Здесь мы видим email вымогателей, jpg - тип файлов в архиве, расширение с набором цифр "32419" и фиксированным словом "tiger88818".  

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июня - начало июля 2019 г. Ориентирован на многомиллионных китайских и англоязычных пользователей, чтобы гарантированно получить выкуп. Но распространяется, вероятно, только на китайских сайтах, т.к. был впервые исследован специалистами китайской антивирусной компании Tencent. 

Записки с требованием выкупа называется: HOW_TO_BACK_YOUR_FILES.txt

Одна написана на китайском и английском языках, другая с тем же названием, специально помещена в архив без пароля и содержит только английский текст. 

Англоязычный текст записки взят из Maoloa Ransomware, который сам имитирует записку GlobeImposter. 

Содержание записки о выкупе:
*** китайский текст пропускаем ***
---
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder.
 DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Decryptcn@protonmail.ch
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
s2 1r xx A2 Jd Bj An Px hg 7C rj au LE BC s2 a6
26 1c 23 0s ku Fr KV OF l0 IV VX hz fE YK p+ KJ
***

Перевод записки на русский язык:
*** китайский текст пропускаем ***
---
Ваши файлы зашифрованы !!!
Чтобы расшифровать, следуйте инструкциям:
Для восстановления данных вам нужен декриптор.
Чтобы получить декриптор вы должны:
1.В письме укажите свой персональный ID! Отправьте мне этот ID в своем первом письме!
2. Мы можем дать вам бесплатный тест для расшифровки нескольких файлов (НЕЦЕННЫХ) и назначить цену для расшифровки всех файлов!
3. После этого вышлем вам инструкцию как оплатить декриптор, после оплаты вы получите декриптор!
4. Мы можем дешифровать несколько файлов как доказательство того, что у нас есть декодер.
  НЕ ПЫТАЙТЕСЬ ДЕЛАТЬ ЧТО-ТО С ВАШИМИ ФАЙЛАМИ, ВЫ СМОЖЕТЕ ПОВРЕДИТЬ ВАШИ ДАННЫЕ !!! ТОЛЬКО МЫ МОЖЕМ ПОМОЧЬ ВАМ! КОНТАКТ С НАМИ:
Decryptcn@protonmail.ch
ВНИМАНИЕ !!! ЭТО ВАШ ЛИЧНЫЙ ID, КОТОРЫЙ ВЫ ДОЛЖНЫ ОТПРАВИТЬ В ПЕРВОМ ПИСЬМЕ:
s2 1r xx A2 Jd Bj An Px hg 7C rj au LE BC s2 a6
26 1c 23 0s ku Fr KV OF l0 IV VX hz fE YK p+ KJ
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Файлы не зашифрованы, а помещены в архив с паролем. 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_BACK_YOUR_FILES.txt - на китайском и английском языках
HOW_TO_BACK_YOUR_FILES.txt - на английском языке
HOW_TO_BACK_YOUR_FILESxx.rar - архив с запиской на английском языке
<random>.exe - случайное название вредоносного файла
jr.cmd
jr.rar
Rar.exe
Rar.rar
web.config

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://47.92.55.239/s/
Email: Decryptcn@protonmail.ch
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> 
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 июля 2019:
Результаты анализов: VT + AR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ChineseRarypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, Michael Gillespie
 Andrew Ivanov (author)
 Tencent (company)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.