CryptoJoker 2019

CryptoJoker 2019 Ransomware

CryptoJoker-Boom Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100€ в BTC или в другом случае - 500$ в BTC, чтобы вернуть файлы. Оригинальное название: CryptoJoker. На файле написано: installer.exe или что-то еще.

Обнаружения:
DrWeb -> Trojan.Encoder.29427, Trojan.Encoder.29485
ALYac -> Trojan.Ransom.CryptoJoker
BitDefender -> DeepScan:Generic.Ransom.Hiddentear.A.*
Malwarebytes -> Ransom.CryptoJoker
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CryptoJoker.C, ***.CryptoJoker.D
Microsoft -> Ransom:MSIL/CryptJoke.B!bit
TrendMicro -> RANSOM_CRYPCRYPTOJOKER_GL110
Rising -> Ransom.CryptJoke!8.EC67 *
Symantec -> Trojan.Gen.MBT, Downloader
Kaspersky -> Trojan-Ransom.MSIL.Agent.gog

© Генеалогия: CryptoJoker 2016 ✂️ + EDA2 >> Executioner ⇔ CryptoJoker 2017 > ExecutionerPlus > CryptoNar (CryptoJoker 2018) > CryptoJoker 2019 > CryptoJoker 2020

Intezer подтверждает родство с более ранними вариантами. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .b00m

Фактически используется составное расширение: 
.[rans0me@protonmail.com].b00m

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HACKED.txt

Содержание записки о выкупе:
Hello, my name is CryptoJoker !!
My name is CryptoJoker. I have encrypted all your precious files including images, videos,
songs, text files, word files and e.t.c  So long story short, you are screwed ... but you are lucky 
in a way. Why is that ?? I am ransomware that leave you an unlimited amount of time to gather the money
to pay me. I am not gonna go somewhere, neither do your encrypted files.
FAQ:
1. Can i get my precious files back ??
Answer: Ofcourse you can. There is just a minor detail. You have to pay to get them back.
2. Ok, how i am gonna get them back ?
Answer: You have to pay 100€ in bitcoin.
3. There isn't any other way to get back my files ?
Answer: Nahhh.
4. Ok, what i have to do then ?
Answer: Simply, you will have to pay 100€ to this bitcoin address: 34rLmycSxXQQ7Mhz5qFhkrTrovi3LskKQR . When time comes to send me the money, make sure to include your e-mail and your personal ID(you can see it bellow) in the extra information box (it may apper also as 'Extra Note' or 'optional message') in order to get your personal decryption key. It may take up to 6-8 hours to take your personal decryption key.
5. What the heck bitcoin is ?
Answer: Bitcoin is a cryptocurrency and a digital payment system. You can see more information here: https://en.wikipedia.org/wiki/Bitcoin . I recommend to use 'Coinbase' or 'Bitcoin Wallet' as a bitcoin wallet, if you are new to the bitcoin-wallet. Ofcourse you can pay me from whatever bitcoin wallet you want, it deosn't really matter.
6. Is there any chance to unclock my files for free ?
Answer: Not really. After 1-2 or max 3 years there is propably gonna be released a free decryptor. So if you want to wait ... it's fine. As i said, i am not gonna go somewhere.
7. What i have to do after getting my decryption key ?
Answer: Simple. Just press the decryption button bellow. Enter your decryption key you received, and wait until the decryption process is done.
Your personal ID: C4BA36471F8BFBFF00050***

Перевод записки на русский язык:
Привет, меня зовут CryptoJoker!
Меня зовут CryptoJoker. Я зашифровал все ваши драгоценные файлы, в том числе изображения, видео, песни, текстовые файлы, word файлы и т.д. Так, короче говоря, вы облажались ... но вам повезло в некотором смысле. Как это ?? Я вымогатель, который оставляет вам неограниченное количество времени, чтобы собрать деньги, чтобы заплатить мне. Я никуда не уйду, как и твои зашифрованные файлы.
ВОПРОСЫ-ОТВЕТЫ:
1. Могу ли я вернуть свои драгоценные файлы?
Ответ: Конечно, вы можете. Есть только незначительная деталь. Вы должны заплатить, чтобы вернуть их.
2. Хорошо, как мне их вернуть?
Ответ: Вы должны заплатить 100 € в биткойнах.
3. Нет другого способа вернуть мои файлы?
Ответ: Nahhh.
4. Хорошо, что мне тогда делать?
Ответ: просто вам придется заплатить 100 € на этот биткойн-адрес: 34rLmycSxXQQ7Mhz5qFhkrTrovi3LskKQR. Когда придет время отправлять мне деньги, обязательно укажите свой адрес email и свой личный ID (вы можете видеть его ниже) в поле дополнительной информации (оно может также отображаться как  'Extra Note' или 'optional message') для того, чтобы получить ваш личный ключ расшифровки. Чтобы получить личный ключ расшифровки, может потребоваться до 6-8 часов.
5. Что за хрень биткойн?
Ответ: Биткойн - это криптовалюта и цифровая платежная система. Вы можете увидеть больше информации здесь: https://en.wikipedia.org/wiki/Bitcoin. Я рекомендую использовать "Coinbase" или "Bitcoin Wallet" в качестве биткойн-кошелька, если вы новичок в биткойн-кошельке. Конечно, вы можете заплатить мне с любого биткойн-кошелька, который вы хотите, это действительно не имеет значения.
6. Есть ли шанс разблокировать мои файлы бесплатно?
Ответ: не совсем. Через 1-2 или максимум 3 года возможно выйдет свободный расшифровщик. Так что, если вы хотите подождать ... это нормально. Как я уже сказал, я никуда не уйду.
7. Что мне нужно сделать после получения ключа расшифровки?
Ответ: просто. Просто нажмите кнопку расшифровки ниже. Введите полученный ключ дешифрования и дождитесь окончания процесса дешифрования.
Ваш личный ID: C4BA36471F8BFBFF00050***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoJoker.exe
dd.exe
b00mDecrypter.exe - отбрасывается на Рабочий стол
HACKED.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс:
CryptJokerWalker90912

Сетевые подключения и связи:
URL: blackrann.000webhostapp.com
Email: rans0me@protonmail.com
BTC: 34rLmycSxXQQ7Mhz5qFhkrTrovi3LskKQR
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 сентября:
Пост в Твиттере >>
Расширение: .wu.b00m
Составное расширение: .[rans0me@protonmail.com].wu.b00m
BTC: 34rLmycSxXQQ7Mhz5qFhkrTrovi3LskKQR

➤ Содержание записки о выкупе:
I have encrypted all your precious files including images, videos,
songs, text files, word files and e.t.c So long story short, you are screwed ... but you are lucky
in a way. Why is that ?? I am ransomware that leave you an unlimited amount of time to gather the money
to pay me. I am not gonna go somewhere, neither do your encrypted files.
1. Can i get my precious files back ??
Answer: Ofcourse you can. There is just a minor detail. You have to pay to get them back.
2. Ok, how i am gonna get them back ?
Answer: You have to pay USD 500 in bitcoin.
3. There isn't any other way to get back my files ?
Answer: Nahhh.
4. Ok, what i have to do then ?
Answer: Simply, you will have to pay USD 500 to this bitcoin address: 34rLmycSxXQQ7Mhz5qFhkrTrovi3LskKQR . When time comes to send me the money, make sure to include your e-mail and your personal ID
5. What the heck bitcoin is ?
Answer: Bitcoin is a cryptocurrency and a digital payment system. You can see more information here: https://en.wikipedia.org/wiki/Bitcoin . I recommend to use 'Coinbase' or 'Bitcoin Wallet" a
6. Is there any chance to unclock my files for free ?
Answer: Wot really. After 1-2 or max 3 years there is propably gonna be released a free decryptor. So if you want to wait ... it's fine. As i said, i am not gonna go somewhere.
7. What i have to do after getting my decryption key ?
Answer: Simple. Dust press the decryption button bellow. Enter your decryption key you received, and wait until the decryption process is done.
Your personal ID: ***
---

Перевод записки на русский язык:
Я зашифровал все ваши драгоценные файлы, в том числе изображения, видео, песни, текстовые файлы, word-файлы и т.д. Так что, короче говоря, вы облажались ... но вам повезло в некотором смысле. Как это ?? Я вымогатель, который оставляет вам неограниченное количество времени, чтобы собрать деньги заплатить мне. Я не уйду куда-то, как и твои зашифрованные файлы.
1. Могу ли я вернуть свои драгоценные файлы?
Ответ: Конечно, вы можете. Есть только незначительная деталь. Вы должны заплатить, чтобы вернуть их.
2. Хорошо, как мне их вернуть?
Ответ: Вы должны заплатить 500$ США в биткойнах.
3. Нет другого способа вернуть мои файлы?
Ответ: Nahhh.
4. Хорошо, что мне тогда делать?
Ответ: просто вам придется заплатить 500$ США на этот адрес биткойна: 34rLmycSxXQQ7Mhz5qFhkrTrovi3LskKQR. Когда придет время отправить мне деньги, обязательно укажите свой адрес email и свой личный ID
5. Что за хрень биткойн?
Ответ: Биткойн - это криптовалюта и цифровая платежная система. Вы можете увидеть больше информации здесь: https://en.wikipedia.org/wiki/Bitcoin. Я рекомендую использовать "Coinbase" или "Bitcoin Wallet"
6. Есть ли шанс разблокировать мои файлы бесплатно?
Ответ: действительно. Через 1-2 или максимум 3 года возможно выйдет свободный расшифровщик. Так что, если вы хотите подождать ... это нормально. Как я уже сказал, я не уйду куда-то.
7. Что мне нужно сделать после получения ключа расшифровки?
Ответ: просто. Нажмите на кнопку расшифровки ниже. Введите полученный ключ дешифрования и дождитесь окончания процесса дешифрования.
Ваш личный ID: ***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CryptoJoker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Raby, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Hermes837, Haka

Hermes837 Ransomware

Haka Ransomware

Variants: Haka, Cobain, Jenkins, Voyager, Hendrix, Dragon

(шифровальщик-вымогатель) (первоисточник) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Hermes837 или просто Hermes. На файле написано: нет данных. Использует библиотеку Crypto++. 

Обнаружения:
DrWeb -> Trojan.Encoder.29514, Trojan.Encoder.29768
BitDefender -> Trojan.GenericKD.32439125, Gen:Variant.Ransom.Hermes.140
Avira (no cloud) -> TR/HermesRansom.A
Kaspersky -> Trojan-Ransom.Win32.Crypmod.actb
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Malwarebytes -> Ransom.ProtoHermes

Symantec -> Downloader
TrendMicro -> Ransom_Crypmod.R002C0PIE19

© Генеалогия: ??? >> Hermes837 > BeijingCrypt с вариантами

Изображение — только логотип статьи (жезл Гермеса)

К зашифрованным файлам добавляется расширение: .hermes837


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа - первую половину сентября 2019 г. Штамп времени на файле: 23 августа 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!READ_ME!!!

Содержание записки о выкупе:
ALL YOUR DATA WAS ENCRYPTED
Whats Happen?
Your files are encrypted, and currently unavailable. You can check it- all files on you computer has extension .hermes
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.
In practise - time is much more valuable than money.
What should You include in your message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
Free decryption as guarantee!
Before paying you send us up to 2 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled 
Email: Hermes837@aol.com
ID: cee02c6d926f2f7d8a63ad06e2dc9a6257082b37***

Перевод записки на русский язык:
Все ваши данные были зашифрованы
Что случилось?
Ваши файлы зашифрованы и в настоящее время недоступны. Вы можете проверить это - все файлы на вашем компьютере имеют расширение .hermes
Кстати, все можно восстановить, но нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
Какие гарантии?
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот.
Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать.
Это не в наших интересах.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ.
На практике время гораздо ценнее денег.
Что Вы должны включить в свое сообщение?
1. Ваша страна и город
2. Этот текстовый файл
3. Некоторые файлы для бесплатной расшифровки
Бесплатная расшифровка как гарантия!
Перед оплатой вы отправляете нам до 2 файлов для бесплатной расшифровки.
Отправляйте картинки, текстовые файлы. (файлы не более 1 МБ)
Если вы загрузите базу данных, ваша цена будет удвоена
Email: Hermes837@aol.com
ID: cee02c6d926f2f7d8a63ad06e2dc9a6257082b37 ***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!READ_ME!!!.txt - файл записки от вымогателей
__lock_XXX__ - файл, содержащий четырехзначное число
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\hermes\deploy-min\http://bin_hdr_enc.pb.cc
\hermes\deploy-min\http://bin_hdr_common.pb.cc
\hermes\build\minsizerel\http://bin_hdr_enc.pb.cc
C:\111\hermes\build\minsizerel\bin_hdr_common.pb.cc
C:\111\hermes\build\minsizerel\bin_hdr_enc.pb.cc
C:\111\hermes\cryptopp\rijndael_simd.cpp
C:\111\hermes\cryptopp\sha_simd.cpp
C:\111\hermes\cryptopp\sse_simd.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Hermes837@aol.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Haka Ransomware - июль 2019

Hermes837 Ransomware - август, сентябрь 2019

BeijingCrypt Ransomware - июль 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант от 20 июля 2019:

Пост в Твиттере >> (может быть двойное шифрование и путаница): 
Расширение: .haka 
Записка: !!!READ_ME_FIRST!!!.txt
Email: mydataback@cock.li, datahelper@protonmail.com

Обновление от 14 октября 2019:
Пост в Твиттере >>
Расширение: .cobain
Записка: !!!READ_ME!!!.txt
Email: cobain_ransom@protonmail.com, cobain0ransom@cock.li 
Специальный файл: __lock_XXX__ 
Результаты анализов: VT + AR + IA + HA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29768
BitDefender -> Gen:Variant.Ransom.Hermes.140
Malwarebytes -> Ransom.ProtoHermes
TrendMicro -> Ransom.Win32.COBAIN.A
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU

➤ Содержание записки:
ALL YOUR DATA WAS ENCRYPTED
Whats Happen?
Your files are encrypted, and currently unavailable. You can check it- all files on you computer has extension .cobain
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.
In practise - time is much more valuable than money.
What should You include in your message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
Free decryption as guarantee!
Before paying you send us up to 2 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled 
Email: cobain_ransom@protonmail.com
       cobain0ransom@cock.li 
ID: 2253bb7a078d5992e3d05911a2*** [всего 237 знаков]

Обновление от 10 января 2020: 
Идентификация в ID Ransomware была Jenkins, потом исчезла.
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .jenkins
Записка: !READ_ME.txt
Email: jenkins0ran@countermail.com, jenkins0ran@cock.li
Специальный файл: __lock_XXX__ 
Результаты анализов: VT + AR + IA + HA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29768
BitDefender -> Trojan.GenericKD.32892452
TrendMicro -> Ransom_Encoder.R067C0WA520
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU

➤ Содержание записки:
SOMETHING WENT WRONG, PLEASE CONTACT YOUR SYSTEM ADMINISTRATOR!
He can help you to understand whats happened.
If he can't help you, contact us via email: 
jenkins0ran@countermail.com
jenkins0ran@cock.li
HURRY UP! WE HAVE ANTIDOTE FOR YOUR FILES! DISCOUNT 20% FOR CLIENTS, WHO CONTACT US IN THE SAME DAY!
You can attach 2 files (text or picture) to check our honest intentions, we will heal them and send  back.
File size not more than 1 Mb and it's should be text or picture, NOT DATABASE.
Fill the following QUESTIONNAIRE and send it in body of your email.
***********************************
QUESTIONNAIRE
Company name: [PUT YOUR COMPANY NAME HERE]
Country: [PUT YOUR COUNTRY HERE]
City: [PUT YOUR CITY HERE]
ID: 4LULBTlEDDZ9mSrwSt3TP8zBTnRZux7GLYZ6BKX6AEn5/eJDHdXzvY2+Zxhj1sv+ [всего 237 знаков]
***********************************
We can help you to avoid same issues in future, after heal we will provide advice how to fix security issues on your network.



Обновление от 10 марта 2020: 
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .voyager
Записка: !READ_ME.txt
Email: voyager010@aol.com, voyager@cock.li

Специальный файл: __lock_XXX__ 
Файл EXE: voyager_en.exe
Результаты анализов: VT + AR + IA + HA + VMR  
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29768
BitDefender -> Gen:Variant.Razy.596169
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Encoder.Hrpn
TrendMicro -> Ransom_Encoder.R011C0GBR20

Обновление от 10 марта 2020 или раньше: 
Расширение: .hendrix
Записка: !!!READ_ME!!!.txt
Email: hendrix0helper@countermail.com, hendrix0helper@cock.li
Результаты анализов: VT + HA
➤ Содержание записки:
ALL YOUR DATA WAS ENCRYPTED
Whats Happen?
Your files are encrypted, and currently unavailable. You can check it- all files on you computer has extension .hendrix
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.
In practise - time is much more valuable than money.
What should You include in your message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
Free decryption as guarantee!
Before paying you send us up to 2 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be ...


Вариант от 10 мая 2020:

Обнаружен: 23 марта 2021. 

Расширение: .dragon

Записка: !!!READ_ME_FIRST!!!.txt

Специальный файл: __lock_xxx__

Результаты анализов: VT + IA

➤ Обнаружения >>

DrWeb -> Trojan.Encoder.33664

BitDefender -> Gen:Variant.Razy.761633

ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU

Malwarebytes -> Malware.Heuristic.1003

Microsoft -> Ransom:Win32/Filecoder.BA!MTB

Rising -> Ransom.Cobain!1.BDBB (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Malware.Win32.Gencirc.11bbb292

TrendMicro -> Ransom.Win32.DRAGON.THCBEBA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Hermes837)
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Avest, Pack14

Avest Ransomware
Pack14 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателей, чтобы узнать, как вернуть файлы. Оригинальное название: installer.pdb. На файле написано: installer.exe или используются другие названия. 

Обнаружения:
DrWeb -> Trojan.MulDrop10.10457
BitDefender -> Trojan.GenericKD.41643801
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Symantec -> Ransom.Wannacry
VBA32 -> TScope.Trojan.MSIL

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pack14

Фактически используется составное расширение: .ckey(<random_ID>).email(data1992@protonmail.com).pack14

Примеры зашифрованных файлов: 001.jpg.ckey(ydimksaf).email(data1992@protonmail.com).pack14
Word.doc.ckey(BC1CE6Xs).email(data1992@protonmail.com).pack14


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2019 г. Штамп даты фиктивный и указывает на 24 мая 2063 года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Априори направлен на российских и русскоязычных пользователей. 

Записка с требованием выкупа называется: !!!Readme!!!Help!!!.txt

Содержание записки о выкупе:
Problems with your data? Contact us: data1992@protonmail.com
key: BC1CE***

Перевод записки на русский язык:
Проблемы с вашими данными? Связь с нами: data1992@protonmail.com
ключ: BC1CE ***

Технические детали

Вымогатели использовали название компании ЗАО Авест (Беларусь), которое выпускает криптографическую защиту и имеет другие разработки. 

Pack14 (или фальшивый Avest) может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Использует taskkill.exe для завершения процессов: 
 commandline "/F /IM WINWORD*"
 commandline "/F /IM EXCEL*"
 commandline "/F /IM 1c*"
 commandline "/F /IM notepad*"

Таким образом завершенными окажутся приложения Microsoft Office Word, Excel, Блокнот и российское бухгалтерское ПО 1С. После этого шифровальщик начнет шифрование файлов этих и других приложений. 

Список файловых расширений, подвергающихся шифрованию:
Это документы 1С, MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!Readme!!!Help!!!.txt
123 Sockets Bifold Brochure.docx
installer.pdb - название файла оригинального проекта
installer.exe
Сообщение для УНП 290473431 (документ защищен Avest).avst.exe - такой файл оказался инфицирован и распроранялся для заражения других ПК
График проверок октябрь-декабрь 2019 (встроен Avest).avst.exe - другой такой же вредоносный файл
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: data1992@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Внимание!
Файлы можно расшифровать! 
Скачайте и используйте Emsisoft Decryptor for Avest >>
*
*

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Avest)
 Write-up, Topic of Support
 * 

 Thanks: 
 Alex Svirid, GrujaRS, Michael Gillespie, 
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.