LonleyCrypt

LonleyCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: _ApiHook_LEFgangaDEV.exe и WpfInjector. Разработчик: LEFgangaDEV.

Обнаружения:
DrWeb -> файл не опасен
BitDefender -> Trojan.GenericKD.32461855
ALYac -> Trojan.Ransom.LonleyCrypt
Tencent -> Win32.Trojan.Lonley.Zqla
Malwarebytes -> Trojan.Dropper
Kaspersky -> Trojan.Win32.Agentb.jtpr
Symantec -> Trojan Horse

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .LonleyEncryptedFile


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2019 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа не найдена. Есть некий текстовый файл, сообщающий о наличии 24 часов. Можно ли его считать запиской о выкупе неясно. Возможно, что этот вымогатель еще недоработан. 

Некую краткую информацию сообщает экран с текстом на китайском и кнопками на английском, и текст на китайском, помещенный исследователем в текстовый файл, чтобы показать оригинальный текст и перевод на английский.

Перевод на английский:
Delete within 24 hours, otherwise please bear the consequences.

Перевод на русский:
Удалить в течение 24 часов, иначе получите последствия.

➤ Мы не стали заморачиваться с текстом, выбирать и переводить каждую строчку из этого окна. Желающие докопаться до смысла могут сами получить образец по ссылкам в конце статьи. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_ApiHook_LEFgangaDEV.exe
<random>.exe - случайное название вредоносного файла

В коде найдена запись о разработчике: 
made by LEFgangaDEV\r\npowered by LEFgangaDEV\r\napihookDemo by LEFgangaDEV\r\nax fucked by LEFgangaDEV\r\nmargele killed by LEFgangaDEV

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as LonleyCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, CyberSecurity GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

PhoneNumber

PhoneNumber Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные организаций и учреждений, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: другие Ransomware, направленные против организаций >> PhoneNumber

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение, представляющее собой телефон пострадавшей организации или образовательного учреждения в США, например: 
.619-300-6500

Таким образом, шаблон расширения: .<victim_official_phone>

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: !_<victim_official_name>_README_!.txt
В названии записки используется аббревиатура пострадавшей организации (учреждения) или название ПК. 
Например: 
!_ABCDE_README_!.txt
!_SDCCD_README_!.txt

Содержание записки о выкупе:
Hello, San Diego ***!
Check this message in details and contact someone from IT department.
All your files are encrypted with the strongest millitary algorithms (4096 bit RSA and 256 bit AES).
Do not modify or rename encrypted files - this may cause decryption failure.
If you want to restore your files you will need to make the payment.
You can send us an encrypted file (about 300KB) and we will decrypt it for free, so you have no doubts in possibility to restore the files any time.
Files should not contain sensitive information (databases, backups, large documents, etc).
The rest of the data will be available to you after the full payment.
Contact us only if you are authorized to make a deal from the whole affected network.
Don't contact us if you are not a such person.
Use english when contacting us.
Email: abcde@protonmail.com
If you don't get an answer within one day download BitMessage software.
Homelink: https://bitmessage.org
Identity: BM-2cVWAFSDMW6TG6GafBWKXK4o2T4sn1ctEx

Перевод записки на русский язык:
Привет, Сан-Диего ***!
Проверьте это сообщение в деталях и свяжитесь с кем-то из ИТ-отдела.
Все ваши файлы зашифрованы с использованием самых надежных военных алгоритмов (4096 бит RSA и 256 бит AES).
Не изменяйте и не переименовывайте зашифрованные файлы - это может привести к ошибке расшифровки.
Если вы хотите восстановить ваши файлы, вам нужно будет произвести оплату.
Вы можете отправить нам зашифрованный файл (около 300 КБ), и мы бесплатно расшифруем его, поэтому не сомневайтесь в возможности восстановления файлов в любое время.
Файлы не должны содержать конфиденциальную информацию (базы данных, резервные копии, большие документы и т. Д.).
Остальные данные будут вам доступны после полной оплаты.
Свяжитесь с нами, только если вы уполномочены совершать сделки со всей затронутой сетью.
Не связывайтесь с нами, если вы не такой человек.
Используйте английский при обращении к нам.
Email: abcde@protonmail.com
Если вы не получили ответ в течение одного дня, загрузите программное обеспечение BitMessage.
Домашняя ссылка: https://bitmessage.org
Идентификация: BM-2cVWAFSDMW6TG6GafBWKXK4o2T4sn1ctEx

---
Шаблон email-адреса пострадавших: <victim_official_name>@protonmail.com

Email-адрес представляет собой аббревиатуру пострадавшей организации и таким образом создается вымогателями для каждой пострадавшей организации. 
Например: 
abcde@@protonmail.com - A* B* C* D* E* аббревиатура из первых пяти букв английского алфавита
sdccd@protonmail.com - San Diego C* C* D*

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!_SDCCD_README_!.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email для пострадавших: sdccd@protonmail.com
BitMessage вымогателей: BM-2cVWAFSDMW6TG6GafBWKXK4o2T4sn1ctEx
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as PhoneNumber)
 Write-up, Topic of Support
 * 

 Thanks: 
 quietman7, Jsage, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Is, EvaRichter

Is Ransomware

EvaRichter Ransomware

(фейк-шифровальщик, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью AES, а затем требует выкуп в 1500$ в BTC (в ~0.147 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Is.exe. Фальш-копирайт: (C) 2007-2015 Xiaomi.

Обнаружения:
DrWeb -> Trojan.Encoder.29521
BitDefender -> Trojan.GenericKD.32440367
Symantec -> Trojan.Gen.MBT

Avira (no cloud) -> TR/AD.MalwareCrypter.lxp

Kaspersky -> Trojan.Win32.Yakes.zanc

Tencent -> Win32.Trojan.Raas.Auto

© Генеалогия: Ordinypt >> Is (EvaRichter)

Изображение — только логотип статьи "Is Eva Richter" :)

К фейк-зашифрованным файлам добавляется случайное расширение: .<random{5}>

Например: 
.1Alba
.wkaTs
.Jddkt

Это расширение потом используется в названии записки о выкупе. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую полоивну августа 2019 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру. Наиболее активен в Германии и соседних странах. 

Записка с требованием выкупа называется по шаблону: <random{5}>_how_to_decrypt.txt

Примеры: 
1Alba_how_to_decrypt.txt
wkaTs_how_to_decrypt.txt

Содержание записки о выкупе:
============================ WELCOME ============================
============== DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAS BEEN RECOVERED! ==============
All of your files have been encrypted and now have the file extension: .1Alba
The only way to recover your files is to purchase our decrypter software, which will only work for your PC.
For further instructions how to decrypt your files, please download the TOR Browser
=================================================
=======
1. Download Tor Browser from: https://www.torproject.org
2. Install and open TOR Browser
3. Navigate to the following url: http://2u6gynsdszbd7ey3.onion/
4. Enter your access code
Your access code:
VVNFUi1QQw==|YWRtaW4=|MUFsYmE=|9UIsLJkGUDPqAQ***
Copy & Paste it into the access code field
========================================================
Warning:
DO NOT MODIFY ANY OF THE ENCRYPTED FILES OR TRY OTHERWISE TO DECRYPT THEM YOURSELF
YOU RISK DAMAGING THE FILES AND YOU WILL LOOSE YOUR FILES FOREVER!

Перевод записки на русский язык:
============================ ДОБРО ПОЖАЛОВАТЬ ===================== =======
============== НЕ УДАЛЯЙТЕ ДАННЫЙ ФАЙЛ ПОКА ВСЕ ДАННЫЕ НЕ БУДУТ ВОССТАНОВЛЕНЫ! ==============
Все ваши файлы были зашифрованы и теперь имеют расширение: .1Alba
Единственный способ восстановить ваши файлы - это приобрести нашу программу для дешифрования, которое будет работать только на вашем ПК.
Для дальнейших инструкций о том, как расшифровать ваши файлы, пожалуйста, скачайте TOR браузер
=================================================
=======
1. Загрузите Tor браузер с: https://www.torproject.org
2. Установите и откройте TOR браузер
3. Перейдите по следующему адресу: http://2u6gynsdszbd7ey3.onion/
4. Введите свой код доступа
Ваш код доступа:
VVNFUi1QQw == | YWRtaW4 = | MUFsYmE = | 9UIsLJkGUDPqAQ ***
Скопируйте и вставьте его в поле кода доступа
========================================================
Предупреждение:
НЕ ИЗМЕНЯЙТЕ НИ ОДИН ИЗ ЗАШИФРОВАННЫХ ФАЙЛОВ И НЕ ПЫТАЙТЕСЬ РАСШИФРОВАТЬ ИХ САМОСТОЯТЕЛЬНО.
ВЫ РИСКУЕТЕ ПОВРЕДИТЬ ФАЙЛЫ И ПОТЕРЯЕТЕ ИХ НАВСЕГДА!

---
Другим информатором жертвы является изображение, заменяющее обои Рабочего стола. Текст краткий. 

Подробная информация по оплате представлена на Tor-сайте вымогателей:

Содержание страницы сайта:
Time left until private key is destroyed: ***
All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.
What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer. The price for the software is $1,500. Payment can be made in Bitcoin only.
What happens when the timer runs out?
The private key that is required to recover your files will be deleted from our servers and your files will be lost forever!
What guarantees do I have?
There's no guarantees, but this is our business, it would be bad for our business if we do not stick to our word. We assure you, you will be able to decrypt all of your files after payment. The only guarantee we give you is that you WILL NOT be able to recover your files without our help.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Bitcoin. Many of our customers have reported these sites to be fast and reliable:
    Coinmama - https://www.coinmama.com
    Bitpanda - https://www.bitpanda.com
Payment information
Amount:
    0.1473766 BTC
Address:
    1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
The decrypter will become available for download once your transfer has received 2 confirmations on the Bitcoin network.

Перевод на русский язык:
Оставшееся время до уничтожения закрытого ключа: ***
Все ваши файлы были зашифрованы
Ваш компьютер был заражен вирусом-вымогателем. Ваши файлы были зашифрованы и вы не сможете расшифровать их без нашей помощи.
Что я могу сделать, чтобы вернуть мои файлы?
Вы можете купить нашу специальную программу для расшифровки, эта программа позволит вам восстановить все ваши данные и удалить вымогателей с вашего компьютера. Цена на программу составляет 1500 долларов. Оплата может быть произведена только в биткойнах.
Что произойдет, когда закончится отсчет таймера?
Закрытый ключ, нужный для восстановления ваших файлов, будет удален с наших серверов, и ваши файлы будут потеряны навсегда!
Какие гарантии у меня есть?
Нет никаких гарантий, но это наш бизнес, будет плохо для нашего бизнеса, если мы не будем придерживаться своего слова. Уверяем вас, вы сможете расшифровать все свои файлы после оплаты. Единственная гарантия, которую мы вам даем, заключается в том, что вы НЕ сможете восстановить ваши файлы без нашей помощи.
Как оплатить, где взять биткойны?
Покупка Биткойнов зависист от страны, вам лучше всего сделать быстрый поиск в Google, чтобы узнать, как купить Биткойны. Многие из наших клиентов сообщили, что эти сайты работают быстро и надежно:
    Coinmama - https://www.coinmama.com
    Bitpanda - https://www.bitpanda.com
Платежная информация
Количество:
    0,1473766 BTC
Адрес:
    1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
Дешифровщик станет доступен для загрузки после того, как ваш перевод получит 2 подтверждения в сети Биткойн.

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок. Внутри zip-файла вложен файл "Eva Richter Bewerbung und Lebenslauf.pdf.exe", который выглядит как резюме в формате PDF. После запуска загружается и устанавливается вредоносное ПО Ordinypt, который делает вид, что шифрует, а на самом деле повреждает файлы с целью получения выкупа. Поврежденные файлы получают случайное расширение и внешне выглядит как зашифрованные. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Все файлы популярных форматов, кроме тех, что в белом списке. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений:
.adv, .ADV, .ani, .ANI, .bat, .BAT, .bin, .BIN, .cab, .CAB, .cmd, .CMD, .com, .COM, .cpl, .CPL, .cur, .CUR, .deskthemepack, .DESKTHEMEPACK, .diagcab, .DIAGCAB, .diagcfg, .DIAGCFG, .diagpkg, .DIAGPKG, .dll, .DLL, .drv, .DRV, .exe, .EXE, .hlp, .HLP, .hta, .HTA, .icl, .ICL, .icns, .ICNS, .ico, .ICO, .ics, .ICS, .idx, .IDX, .ldf, .lnk, .LNK, .lock, .LOCK, .mod, .MOD, .mpa, .MPA, .msc, .MSC, .msi, .MSI, .msp, .MSP, .msstyles, .MSSTYLES, .msu, .MSU, .nls, .NLS, .nomedia, .NOMEDIA, .ocx, .OCX, .prf, .PRF, .psl, .PSL, .rom, .ROM, .rtp, .RTP, .scr, .SCR, .shs, .SHS, .spl, .SPL, .sys, .SYS, .theme, .THEME, .themepack, .THEMEPACK, .wpx, .WPX (92 расширения с дублями в верхнем регистре). 

Белый список файлов:
autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, bootmgr, bootnxt, thumbs.db

Белый список директорий (папок):
windows
recycle.bin
mozilla
google
boot
application data
appdata
program files
program files (x86)
programme
programme (x86)
programdata
perflogs
intel
msocache
system volume information

Файлы, связанные с этим Ransomware:
Eva Richter Bewerbung und Lebenslauf.pdf.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://2u6gynsdszbd7ey3.onion/
Email: - 
BTC (генерируется для каждой жертвы): 
В нашем примере: 1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myTweet + other Tweet 
 ID Ransomware (ID as ***)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Tomas Meskauskas (PCrisk), Emmanuel_ADC-Soft
 Andrew Ivanov (author)
 Lawrence Abrams and others
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

PyLock, PyCrypter

PyLock Ransomware
PyCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 5.0 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Номер версии: v2.40. Написан на языке Python. 

Обнаружения:
DrWeb -> Python.Encoder.1
ALYac -> Trojan.Ransom.PyCrypter
BitDefender -> Generic.Ransom.PyCrypter.93A4C9ED
ESET-NOD32 -> Python/Filecoder.AC
GData -> Win32.Trojan-Ransom.Cyclon.G
Kaspersky -> Trojan-Ransom.Python.Pyrgen.a
Malwarebytes -> Ransom.pyLock
Microsoft -> Ransom:Win32/Pccrypter
Rising -> Trojan.Generic@ML.81 (RDML:***)
Symantec ->ML.Attribute.HighConfidence, Trojan.Seaduke, Trojan.Gen.MBT
TrendMicro -> Ransom_Pccrypter.R002C0DIU19

© Генеалогия: SystemCrypter >> PyLock (PyCrypter)

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
The important files on your computer have been encrypted with military grade AES-256 bit encryption. Cannot be unlocked without the decryption key. 
* DON'T MODIFY OR RENAME ENCRYPTED FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY!
* DON'T MODIFY ENCRYPTED UNIQUE KEY, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY!
* DON'T USE THIRD-PARTY OR PUBLIC TOOLS/SOFTWARE TO DECRYPT YOUR FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY!
To acquire this key, transfer the Bitcoin Fee to the specified wallet address before the time runs out, for instructions: solutionshelp@protonmail.com
If you fail to take action within this time window, the decryption key will be destroyed and access to your files will be permanently lost.

Перевод записки на русский язык:
Важные файлы на вашем компьютере зашифрованы с AES-256-битного шифрования военного уровня. Невозможно разблокировать без ключа дешифрования.
* НЕ ИЗМЕНЯЙТЕ И НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ, ЭТО МОЖЕТ НАВСЕГДА ПОВРЕДИТЬ ВАШИ ФАЙЛЫ!
* НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЙ УНИКАЛЬНЫЙ КЛЮЧ, ЭТО НАВСЕГДА ПОВРЕДИТ ВАШИ ФАЙЛЫ!
* НЕ ИСПОЛЬЗУЙТЕ СТОРОННИЕ ИЛИ ПУБЛИЧНЫЕ ИНСТРУМЕНТЫ / ПРОГРАММЫ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ЭТО МОЖЕТ ПРИВЕСТИ К ПОВРЕЖДЕНИЮ ВАШИХ ФАЙЛОВ НАВСЕГДА!
Чтобы получить этот ключ, переведите плату в биткойнах на указанный адрес кошелька до истечения времени, для инструкций: solutionshelp@protonmail.com
Если вы не сделаете никаких действий за отведенное в окне время, ключ дешифрования будет уничтожен, а доступ к вашим файлам будет окончательно потерян.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Этот Ransomware представляет собой скрипт на языке Python, который преобразуется в исполняемый файл. Затем он открывает "заднюю дверь" на скомпрометированном компьютере, позволяя злоумышленнику выполнить следующие действия:
- загрузить и запустить файлы;
- удалить рабочие файлы после шифрования;
- создать ярлык в Автозагрузки системы.

➤  Использует Windows PowerShell. 

➤ Деструктивные действия:
- отключает Диспетчер задач;
- добавляется в автозагрузку Windows (%UserProfile%\Start Menu\Programs\Startup);
- удаляет теневые копии файлов

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .arc, .asf, .asp, .aspx, .avi, .bak, .bat, .bmp, .c, .cbr, .cer, .cfg, .cfm, .cgi, .chk, .class, .com, .cpp, .cs, .css, .csv, .dat, .db, .dbf, .dds, .deb, .dem, .dif, .doc, .docm, .docx, .dotm, .dotx, .DTC, .Edb, .eps, .flv, .fnt, .fon, .fpx, .gam, .ged, .ged, .gif, .gz, .h, .htm, .htm, .html, .html, .ics, .iff, .indd, .ini, .iso, .j2c, .j2k, .java, .jfif, .jif, .jp2, .jpeg, .jpg, .jpx, .js, .json, .jsp, .key, .keychain, .ldf, .log, .lua, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mht, .mhtml, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .msi, .ndf, .nes, .obj, .ods, .odt, .old, .otf, .pages, .pcd, .pct, .pdf, .php, .pkg, .pl, .png, .pps, .ppt, .pptx, .prf, .prn, .ps, .psd, .py, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sh, .slk, .sln, .sql, .srt, .svg, .svg, .swf, .swift, .tar, .tex, .tga, .tgz, .thm, .tif, .tif, .tiff, .tiff, .tmp, .torrent, .trn, .ttf, .txt, .vb, .vcf, .vcxproj, .vhd, .vhdx, .vob, .wav, .wma, .wmv, .wpd, .wps, .xhtml, .xla, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xml, .xps, .yuv, .zip, .zipx (177 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Максимальный размер файла для шифрования: 900000

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название вредоносного файла
Crypto.Util._counter.pyd
pywintypes27.dll
wxmsw30u_html_vc90.dll
select.pyd
Crypto.Util.strxor.pyd
lock.bmp
bitcoin.bmp
runtime.cfg
Main.exe.manifest

Содержание файла конфигурации runtime.cfg:

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\_MEI40202\Crypto.Util._counter.pyd
C:\Users\admin\AppData\Local\Temp\_MEI40202\pywintypes27.dll
C:\Users\admin\AppData\Local\Temp\_MEI40202\wxmsw30u_html_vc90.dll
C:\Users\admin\AppData\Local\Temp\_MEI40202\select.pyd
C:\Users\admin\AppData\Local\Temp\_MEI40202\Crypto.Util.strxor.pyd
C:\Users\admin\AppData\Local\Temp\_MEI40202\lock.bmp
C:\Users\admin\AppData\Local\Temp\_MEI40202\bitcoin.bmp
C:\Users\admin\AppData\Local\Temp\_MEI40202\runtime.cfg
C:\Users\admin\AppData\Local\Temp\_MEI40202\Main.exe.manifest
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: solutionshelp@protonmail.com
BTC: bc1qz7llcz9s6cwnw7qvwdw8yt77h6cuf546s00dfw
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

SystemCrypter Ransomware - июнь 2019
PyLock (PyCrypter) Ransomware - сентябрь 2019

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 октября 2019:
Пост в Твиттере >>
Расширение: .locked
Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 - Видеообзор, сделанный с помощью ANY.RUN 

 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.