Если вы не видите здесь изображений, то используйте VPN.

четверг, 3 октября 2019 г.

Pay-or-Lost Ransomware

Pay-or-Lost Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096 (со слов вымогателей), а затем требует выкуп в 0.06 BTC, чтобы вернуть файлы. Но не указывает никаких контактов для связи и адреса для уплаты выкупа. Оригинальное название: в записке не указано. На файле написано: $safeprojectname$.exe и svchost. 

Обнаружения:
DrWeb -> Trojan.Encoder.29644
BitDefender -> Generic.Ransom.Hiddentear.A.4D4E1E2C
Malwarebytes -> Trojan.Dropper.Generic
Kaspersky -> Not-a-virus:HEUR:AdWare.MSIL.ConvertAd.g
Symantec -> PUA.Gen.2
TrendMicro -> TROJ_GEN.R002C0WIQ19
Tencent -> Win32.Trojan.Falsesign.Pgwg
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UY

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

Возможно, что к зашифрованным файлам добавляется расширение: .kkk


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя юыл найден в начале октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Возможно, сделано в Малайзии. 

Тестовая записка с требованием отсутствует. 
Запиской с требованием выкупа выступает экран блокировки: 

Содержание текста о выкупе:
If you are reading this text, it means, we've hacked your corporate network.
Now all your data is encrypted with very serious and powerful algorithms (AES256 and RSA-4,096).
These algorithms now in use in military intelligence, NSA and CIA .
No one can help you to restore your data without our special decipherer.
Don't even waste your time.
But there are good news for you.
We don't want to do any damage to your business.
We are working for profit.
The core of this criminal business is to give back your valuable data in the original form (for ransom of course).
Please do not start your first letter to us with the words:It's a mistake !! Our company is just trimming and grooming little dogs.
We don't have money at all.
There is a big mistake on our site !We are not leaders in our industry and all our competitors don't suck our huge dick.
We're just ? small company, and we are dying because of hard competition.
We are not the Super Mega International Corporation ltd., we are just a nursery etc.
We see it 5 times a day.
This shit doesn't work at all !!!
Don't waste our and your time.
Remember ! We don't work for food.
You have to pay for decryption in Bitcoins (BTC).
If you think you pay $100 and you'll get the decryptor, you are 50 million light years away from reality :)
The ransom begins from 0.06 BTC up to USD 600++.
If you don't have money don't even write to us.
We don't do charity !
Man is the master of everything and decides everything.

Перевод текста на русский язык:
Если вы читаете этот текст, значит, мы взломали вашу корпоративную сеть.
Теперь все ваши данные зашифрованы с очень серьезными и мощными алгоритмами (AES256 и RSA-4096).
Эти алгоритмы сейчас используются в военной разведке, АНБ и ЦРУ.
Никто не может помочь вам восстановить ваши данные без нашего специального расшифровщика.
Даже не теряйте свое время.
Но есть и хорошие новости для вас.
Мы не хотим наносить ущерб вашему бизнесу.
Мы работаем для получения прибыли.
Суть этого криминального бизнеса в том, чтобы вернуть ваши ценные данные в первоначальном виде (за выкуп, конечно).
Пожалуйста, не начинайте свое первое письмо со словами: это ошибка !! Наша компания занимается отделкой и уходом за собачками.
У нас нет денег вообще.
На нашем сайте есть большая ошибка! Мы не лидеры в своей отрасли, и все наши конкуренты не со*** наш огромный ****.
Мы просто? маленькая компания, и мы умираем из-за жесткой конкуренции.
Мы не Super Mega International Corporation ltd., Мы просто питомник и т. Д.
Мы видим это 5 раз в день.
Это дерьмо вообще не работает !!!
Не трать наше и свое время.
Помните ! Мы не работаем за еду.
Вы должны заплатить за дешифрование в биткойнах (BTC).
Если вы думаете, что заплатите 100$ и получите расшифровщик, вы на расстоянии 50 миллионов световых лет от реальности :)
Выкуп начинается с 0,06 BTC до 600$ США ++.
Если у вас нет денег, даже не пишите нам.
Мы не занимаемся благотворительностью!
Человек - хозяин всего и все решает.

---

Дополнительно, совет от разработчика:
The first step to take is to always backup your system. Locally, and offsite.
This is essential. First, it will keep your information backed up in a safe area that hackers cannot easily access. Secondly, it will make it easier for you to wipe your old system and repair with backup files in case of an attack.
Failure to back up your system can cause irreparable damage.
Use a cloud backup solution to protect your data. By protecting your data in the cloud, you keep it safe from infection by ransomware. Cloud backups introduce redundancy and add an extra layer of protection.
Have multiple backups just in case the last back up got overwritten with encrypted ransomware files.


Перевод текста на русский язык:
Первый шаг - всегда делать резервную копию вашей системы. Локально и вне офиса.
Это важно. Во-первых, ваша информация будет храниться в безопасном месте, к которому хакеры не могут получить легкий доступ. Во-вторых, вам будет проще стереть старую систему и восстановить файлы резервных копий в случае атаки.
Отсутствие резервной копии вашей системы может нанести непоправимый ущерб.
Используйте решение облачного резервного копирования для защиты ваших данных. Защищая ваши данные в облаке, вы защищаете их от заражения вымогателями. Резервное копирование в облаке создает излишек и добавляет дополнительный уровень защиты. 
Создайте несколько резервных копий на случай, если последняя резервная копия была перезаписана файлами, зашифрованными Ransomware.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
$safeprojectname$.exe
$safeprojectname$.pdb
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%DESKTOP%\hythty
C:\Users\Illegear\Desktop\svchost\obj\x86\Debug\$safeprojectname$.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: alrajhicashbiz24seven.com.my
DNS: ec2-52-220-60-155.ap-southeast-1.compute.amazonaws.com
Email (фиктивный): testing@example.com
BTC (фиктивный): s4C6MPmpk4AXNVVUWtfG6JWvjPfENVv8k5
Если контакты фиктивные, то уплата выкупа бесполезна. 

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 октября 2019:
Пост в Твиттере >>
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Lost_Files

Lost_Files Ransomware

(фейк-шифровальщик, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в 500$ в BTC, чтобы вернуть файлы. Оригинальное название: Lost_Files Ransomware. На файле написано: Lost_Files.exe.

Обнаружения:
DrWeb -> Trojan.Siggen8.50271, Trojan.Starter.7899
BitDefender -> Generic.Ransom.Hiddentear.A.B2914DE7, Gen:Variant.Johnnie.205743
ESET-NOD32 -> A Variant Of MSIL/Filecoder.IX, Win32/Agent.ABDB, MSIL/Filecoder.VD
Malwarebytes -> Ransom.HiddenTear
Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence
TrendMicro -> Ransom_RAMSIL.SM, TROJ_GEN.R007C0DE820

© Генеалогия: ✂️ HiddenTear + другой код >> Lost_Files

На самом деле там нет HiddenTear в полном виде, а только часть кода. Кроме того, файлы повреждаются. 
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Lost_Files_Encrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября - начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Вместе с ними появляется экран фальшивого сканера Windows. 

Вот как это выглядит в реальности. 
Комбинированное изображение с экраном, сообщением и прочими элементами. 

Содержание текста из экрана блокировки:
Attention!!! First of all we are terribly sorry to have encrypted your data. Because we are human too and we feel some guilt encrypting your data. We offer that we can help you decrypt it again for a small amount of Bitcoins(BTC).
The amount that we need from you is 500 USD that you will transfer to our BTC account. To Get your unique tool to decrypt your files, your need to push the button below and your BTC payment address will show, transfer 500 USD in BTC to that address. After you have transfered the BTC you are going to send an email to our email address(Our email will also get displayed when pushed the button). Where you provide your BTC address of the wallet that you used to send our BTC(If you have other comments, you are welcome to say it)[Also remerber to check your spam inbox for when we send your decryption
tool]. We will check it, if you have sent the BTC, you will get your decryption tool. Everything from family memories to the hard work of yours, will be washed down the toilet and it will never return. So it's strongly advised that you start paying us for helping you to decrypt it. In the case that you are a little older and don't know much about all the computer stuff then you can ask your children or grandchildren.
PLEASE Look below for additional information.
Needing help to get your BTC?
Some resources to get started with BTC:
https://coinsutra.com/buy-bitcoin-uk/
https://cryptocurrencytutors.com/getting-started-with-bitcoin/
https://blokt.com/guides/10-best-bitcoin-cryptocurrency-exchanges-2019-proven-safe-exchanges
Keep in mind!
When you buy BTC you should buy slightly more than 500 USD, just in case the price drops. Also you need it as sending fees which varies at times. So it's recommended to buy 510 USD worth of BTC from one of the exchanges. Then again we are sorry for what happened to you, hope you will have better luck next time! :-)

Перевод текста на русский язык:
Внимание!!! Прежде всего нам очень жаль шифровывать ваши данные. Потому что мы тоже люди и чувствуем вину, зашифровывая ваши данные. Мы предлагаем, что мы можем помочь вам снова расшифровать его за небольшое количество биткойнов (BTC).
Сумма, которая нам нужна от вас, составляет 500$ США, которые вы перечисляете на наш счет BTC. Чтобы получить уникальный инструмент для расшифровки ваших файлов, вам нужно нажать на кнопку ниже, и ваш платежный адрес BTC покажет, перевести 500 долларов США в BTC на этот адрес. После того, как вы передали BTC, отправьте электронное письмо на наш email-адрес (наше письмо также будет отображаться при нажатии кнопки). Где вы предоставляете свой BTC адрес кошелька, который вы использовали для отправки нашего BTC (Если у вас есть другие комментарии, вы можете это сказать) [Также не забывайте проверять свой почтовый ящик на спам, когда мы отправим ваш инструмент дешифрования]. Мы проверим это, если вы отправили BTC, вы получите инструмент для расшифровки. Все, от семейных воспоминаний до тяжелой работы, будет смыто в унитазе и никогда не вернется. Поэтому настоятельно рекомендуется, чтобы вы начали платить нам за помощь в расшифровке. В случае, если вы немного старше и мало знаете обо всех компьютерных вещах, вы можете спросить своих детей или внуков.
ПОЖАЛУЙСТА, смотрите ниже для получения дополнительной информации.
Нужна помощь, чтобы получить BTC?
Некоторые ресурсы для начала работы с BTC:
https://coinsutra.com/buy-bitcoin-uk/
https://cryptocurrencytutors.com/getting-started-with-bitcoin/
https://blokt.com/guides/10-best-bitcoin-cryptocurrency-exchanges-2019-proven-safe-exchanges
Имейте ввиду!
Когда вы покупаете BTC, вы должны купить чуть больше 500$, на случай, если цена упадет. Также вам это нужно, так как плата за отправку варьируется в разы. Поэтому рекомендуется купить BTC стоимостью 510 долларов США на одной из бирж. Опять же, мы сожалеем о том, что случилось с вами, надеюсь, вам повезет в следующий раз! :-)


---

Содержание другого текста о выкупе:
Hi, This is Lost_Files Ransomware, Pay us 500 USD to get our decryption software. So that you can get your files back. The payment is going to be paid in Bitcoin(BTC). For more information about this please click the same EXE file you clicked when you lost all your files. There will be detailed instruction there.
The email is: Lost_Files_Ransom@secmail.pro
Transfer BTC to this address: 13nRGetwvc7UZF8P5KM9bWqHGK6tMk7wyf

Перевод текста на русский язык:
Привет, это Lost_Files Ransomware, платите нам 500$ США, чтобы получить нашу программу для расшифровки. Так вы сможете вернуть свои файлы. Оплата принимается в биткойнах (BTC). Для информации об этом, пожалуйста щелкните тот же EXE-файл, который вы щелкнули, когда Вы потеряли все свои файлы. Там будет подробная инструкция.
Адрес email: Lost_Files_Ransom@secmail.pro
Переведите BTC на этот адрес: 13nRGetwvc7UZF8P5KM9bWqHGK6tMk7wyf




Технические детали

Распространяется с помощью email-спама и вредоносного вложения, имитирует письмо от Microsoft с темой "Virus Detection On Your Computer!". 
В письме сообщается, что на компьютере обнаружен троянский конь, и получатель должен загрузить ссылку на "security scanner". 

Может распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.asp, .ASP, .aspx, .ASPX, .avi, .AVI, .bat, .BAT, .bk, .BK, .bmp, .BMP, .css, .CSS, .csv, .CSV, .divx, .DIVX, .doc, .DOC, .docx, .DOCX, .html, .HTML, .index, .INDEX, .JPEG, .jpeg, .jpg, .JPG, .mdb, .MDB, .mkv, .MKV, .mov, .MOV, .mp3, .MP3, .mp4, .MP4, .mpeg, .MPEG, .odt, .ODT, .ogg, .OGG, .pdf, .PDF, .php, .PHP, .png, .PNG, .ppt, .PPT, .pptx, .PPTX, .psd, .PSD, .rar, .RAR, .sln, .SLN, .sql, .SQL, .txt, .TXT, .wav, .WAV, .wma, .WMA, .wmv, .WMV, .xls, .XLS, .xlsx, .XLSX, .xml, .XML, .zip, .ZIP (80 расширений с дублями в верхнем регистре).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ В реальности файлы не зашифрованы, но вымогатель изменяет первую строку файла и повреждает двоичные данные. Уплата выкупа бесполезна!  



Файлы оказываются поврежденными, потому что программа использует File.ReadAllLines метод для чтения содержимого файла в массив. Поскольку эта функция предназначена для использования в текстовых файлах, то большая часть прочитанных двоичных данных изображений, документов, электронных таблиц и т.д. будет повреждена. Неизвестно, это намеренная функция портит данные или следствие ошибки разработчика. 

Файлы, связанные с этим Ransomware:
WSS.zip - архив с вредоносными файлами
Windows Security Scanner.exe - фальшивый Windows-файл
SecurityUpdater.exe.exe - фальшивый Windows-файл
/Resources/ - скрытая папка в архиве
Lost_Files.exe - вредоносный файл
Lost_Files.pdb - оригинальное название файла проекта
<random>.exe - случайное название вредоносного файла



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Windows Security Scanner/
Windows Security Scanner/Resources/
Windows Security Scanner/Resources/32BitRun.exe
Windows Security Scanner/Resources/Installer_exe.exe
Windows Security Scanner/Resources/SecurityUpdater.exe.exe
Windows Security Scanner/Resources/ShortCutVBS.vbs
Windows Security Scanner/Resources/Temp_Test.tester
Windows Security Scanner/Resources/Windows.LNK
Windows Security Scanner/Windows Security Scanner.exe
Windows Security Scanner/desktop.ini

Оригинальное название проекта: 
C:\Users\lenovo\source\repos\Junk_Code_Lost_Files\Lost_Files\Lost_Files\obj\Release\Lost_Files.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Malware URL: xxxx://104.168.159.201/WSS.zip
Email: Lost_Files_Ransom@secmail.pro
Email из письма на экране: safe@safeplacesllc.com
BTC: 13nRGetwvc7UZF8P5KM9bWqHGK6tMk7wyf
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>> VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Lost_Files)
 Write-up, Write-up, Topic of Support
 * 
 - Видеообзор атаки Lost_Files Ransomware, сделанный мной c помощью сервиса ANY.RUN
 Thanks: 
 Xavier Mertens, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 2 октября 2019 г.

D00mEd

D00mEd Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA-2048, а затем требует написать на email вымогателей, чтобы узнать, как вернуть файлы. Оригинальное название: D00mEd Virus, указано в записке. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .D00mEd


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_MEE.txt

Содержание записки о выкупе:
         ======          DOOmEd Virus (important)          ======
All Your Important files have been Encrypted with D00mEd virus. If you value your files and will like to get them back, you have to contact us to get the unlock key to Decrypt your files so you can start using them again. If not you loose your files forever.
You have limited time to contact us because your unlock key won't be with us very long!
All files are encrypted with RSA-2048 and AES-128 ciphers.
NOTE:
=============
Folders Encrypted:
  Files Encrypted:
How do i get the key to unlock my files?
You will have to pay for it. Contact us quickly!
Its a reasonable price. Just [
Send Email to us = {

Перевод записки на русский язык:
====== DOOmEd Virus (важно) ======
Все Ваши важные файлы были зашифрованы вирусом D00mEd. Если вы цените свои файлы и хотите получить их обратно, вам надо связаться с нами, чтобы получить ключ разблокировки для расшифровки ваших файлов, чтобы вы могли начать использовать их снова. Если нет, вы потеряете свои файлы навсегда.
У вас мало времени, чтобы связаться с нами, потому что ваш ключ разблокировки не будет у нас очень долго!
Все файлы зашифрованы с использованием шифров RSA-2048 и AES-128.
ПРИМЕЧАНИЕ:
=============
Папки зашифрованы:
   Зашифрованные файлы:
Как получить ключ для разблокировки моих файлов?
Вам придется заплатить за это. Свяжитесь с нами быстро!
Это разумная цена. Только что [
Отправить нам письмо = {



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_MEE.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as D00mEd)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Project Root

Project Root Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Project Root. Написан на языке Go. Предназначен для Windows и Linux (для x32 и x64 систем). 


Обнаружения:

DrWeb -> Trojan.Encoder.32554
BitDefender -> Gen:Variant.Ransom.GoRansom.3
Avira (no cloud) -> HEUR/AGEN.1117040
ESET-NOD32 -> A Variant Of Win64/Filecoder.AX
Malwarebytes -> ***
Rising -> Trojan.Generic@ML.80 (RDML:***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09IE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Project Root. Начало

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Lulz



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Этимология названия: 

За основу видимо взято название одноименной онлайн-игры "Project Root". Хотя это может быть лишь сопоставлением известных слов, словосочетание которых просто понравилось разработчикам-стартаперам вымогательского проекта. 

Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Записка с требованием выкупа называется: Fuck.txt




Содержание записки о выкупе:
You are hacked
your all files have been encrypted
if you want you files back
email us here : sxvcsacobyzurlock@protonmail.com with your unique id => QUOWQKOQPAYVOUBSURCVEXLRNOSKSLFY
Fuck you!!!

Перевод записки на русский язык:

Ты взломан
все твои файлы зашифрованы
если ты хочешь вернуть файлы
пиши нам сюда: sxvcsacobyzurlock@protonmail.com с твоим уникальным id => QUOWQKOQPAYVOUBSURCVEXLRNOSKSLFY
Иди ты!!!

Также загружает изображение, заменяющее обои Рабочего стола.





Технические детали

Распространяется на форумах кибер-андеграунда как RaaS. Стартаперы набирают партнеров. Вымогательский проект доступен в двух версиях. "Стандартная" версия стоит $150 в биткойнах и позволяет генерировать неограниченное количество "базовых" полезных данных через свой портал, а также компоненты управления и распространения ключей. Обновления этой версии бесплатны в течение 6 месяцев. В течение последних двух недель цена стандартной версии колебалась от $50 до "Бесплатной". "Pro" версия обеспечивает лучшую поддержку, более длительный срок бесплатных обновлений и расширенные возможности уклонения от анализа. Покупатели получают полный доступ к исходному коду для расширенных "возможностей настройки" и приложение-конструктор . Pro-версия рекламировалась все время, но официально "запущена" 17 октября. 


После покупки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.



Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Шифровальщик пытается очистить локальные журналы событий Windows и установить новый корневой сертификат. 


Список файловых расширений, подвергающихся шифрованию:

.001, .3fr, .7z, .accdb, .ai, .apk, .arch00, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bin, .bkf, .bkp, .blob, .bsa, .c, .cab, .cas, .cdr, .cer, .cfr, .con, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .iso, .itdb, .itl, .itm, .itm, .iwd, .jpe, .jpeg, .jpg, .js, .kdc, .kf, .lbf, .litemod, .lng ttarch2, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mdf, .mef, .menu, .mlx, .mp3, .mp4, .mpq, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .t12, .t13, .tax, .tor, .torrent, .txt, .unity3d, .upk, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .ztmp (196 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

Fuck.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:

\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Мьютексы:

См. ниже результаты анализов.

Сетевые подключения и связи:

Загрузка картинки: https://i.postimg.cc/pdbqqS5P/new.jpg
Загрузка картинки: https://postimg.cc/Snd6KDGP
Tor-URL: http://prootk6nzgp7amie.onion
DNS: ec2-3-18-214-41.us-east-2.compute.amazonaws.com
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

🔻 Triage analysis >>  TG>
Hybrid analysis >>  HA>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.

Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Write-up-2, Topic of Support
 * 
 Thanks: 
 Jim Walter (SentinelOne)
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.


Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *