BigBossHorse

BigBossHorse Ransomware

Variants: Heronpiston, Horsedeal, HorseLeader, XHamster, InHorseWeTrust

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель из семейства GarrantyDecrypt шифрует данные пользователей, а затем требует связаться с вымогателями, чтобы узнать, как заплатить выкуп и файлы. Оригинальное название: в записке не указано. 
---
Обнаружения (нет ранних образцов):
DrWeb -> Trojan.Encoder.30568
BitDefender -> Gen:Heur.Ransom.Imps.1, Trojan.GenericKD.42254464
ALYac -> Trojan.Ransom.BigBosshorse
Avira (no cloud) -> TR/AD.RansomHeur.uvzup
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.C
McAfee -> Ransom/Horsedeal
TrendMicro -> TROJ_FRS.0NA103AH20
Symantec -> Downloader, ML.Attribute.HighConfidence
---

© Генеалогия: GarrantyDecrypt > BigBossHorse (Heronpiston, Horsedeal)

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.bigbosshorse
.heronpiston
.horsedeal


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого варианта крипто-вымогателя из семейства GarrantyDecrypt была замечена в ноябре-декабре 2019 и в январе 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: #Decryption#.txt

Содержание записки о выкупе:
All your files have been ENCRYPTED!!!
Write to our email - bigbosshorse@ctemplar.com
Or contact us via jabber - bigbosshorse@xmpp.jp
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/
After installation, the Pidgin client will prompt you to create a new account.
Click - Add
In the -Protocol field, select XMPP
In -Username - come up with any name
In the field -domain - enter any jabber-server, there are a lot of them, for example - exploit.im
Create a password
At the bottom, put a tick -Create account
Click add
If you selected -domain - exploit.im, then a new window should appear in which you will need to re-enter your data:
User
password
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
tell your unique ID
lJWSLNJGJZbvKjZnL/hl5VwkLusRj1kS8a5Wgv6*** [всего 684 знака]

Перевод записки на русский язык:
Все ваши файлы зашифрованы !!!
Пишите на наш email - bigbosshorse@ctemplar.com
Или свяжитесь с нами через jabber - bigbosshorse@xmpp.jp
Инструкция по установке клиента Jabber:
Загрузите Jabber (Pidgin) клиент с https://pidgin.im/download/windows/
После установки клиент Pidgin предложит вам создать новую учетную запись.
Нажмите - Добавить
В поле -Protocol выберите XMPP
В -Username - придумать любое имя
В поле -domain - введите любой jabber-сервер, их много, например - exploit.im
Создать пароль
Внизу поставьте галочку - Создать аккаунт
Нажмите добавить
Если вы выбрали -domain - exploit.im, то должно появиться новое окно, в котором вам нужно будет повторно ввести ваши данные:
Пользователь
пароль
Вам нужно будет перейти по ссылке на капчу (там вы увидите символы, которые нужно ввести в поле ниже)
Если вы не понимаете наши инструкции по установке клиента Pidgin, вы можете найти множество руководств по установке на YouTube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
сообщите свой уникальный идентификатор
lJWSLNJGJZbvKjZnL / hl5VwkLusRj1kS8a5Wgv6 *** [всего 684 знака]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#Decryption#.txt - название записки о выкупе
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bigbosshorse@ctemplar.com
Jabber: bigbosshorse@xmpp.jp
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 декабря 2019:
Топик на форуме >>
Расширение: .heronpiston
Записка: #Decryption#.txt
Email: heronpiston@ctemplar.com
Jabber: heronpiston@xmpp.jp
Результаты анализов: VT 

➤ Содержание записки: 
All your files have been ENCRYPTED!!!
Write to our email - heronpiston@ctemplar.com
Or contact us via jabber - heronpiston@xmpp.jp
The easiest way:
- register here https://www.xmpp.jp/signup 
- after go here https://www.xmpp.jp/client/
- log in and write us to heronpiston@xmpp.jp 
Or you can download and set up jabber client Pidgin from https://pidgin.im/download/widows/ login and contact us
Attention! 
- Do not rename encrypted files. 
- Do not try to decrypt your data using third party software, it may cause permanent data loss.  
- Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.  
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you decryption tool that will decrypt all your files. 
Free decryption as guarantee 
User 
password 
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins 
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here:  
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Or you can use popular exchange service https://www.bestchange.com/ 
tell your unique ID
VCnwcPRrS5xfEHCf5+HMHkjS2QLV0kXKSa0L7ww*** [всего 684 знака]

=== 2020 ===

Обновление от 14 января 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .horsedeal
Записка: #Decryption#.txt
ICQ: https://icq.im/bigbosshorse 
Jabber: bigbosshorse@xmpp.jp
Файлы: horsedeal.exe, avgdiagex.exe
➤ Результаты анализов: HA + VT + IA + IA + AR / VT + AR

Содержание записки о выкупе:
All your files have been ENCRYPTED!!!
Write to our ICQ https://icq.im/bigbosshorse 
Or contact us via jabber - bigbosshorse@xmpp.jp
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/ 
After installation, the Pidgin client will prompt you to create a new account. 
Click - Add
In the -Protocol field, select XMPP 
In -Username - come up with any name 
In the field -domain - enter any jabber-server, there are a lot of them, for example - exploit.im 
Create a password
At the bottom, put a tick -Create account 
Click add 
If you selected -domain - exploit.im, then a new window should appear in which you will need to re-enter your data: 
User 
password 
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below) 
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install 
If you have not received a response from us then we may have technical problems and please write to us using Jaber here bigbosshorse@xmpp.jp or on icq 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
tell your unique ID
kTRjw264lzZ7JC7gzkXghgEkTTiH0T/lArdIOOwwt0xG7vTzu8QYsiuWpvvXg1OH0jg*** [всего 1368 знаков]
---
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола, содержащее контакты вымогателей:

Need you files? Contact us!
ICQ: @bigbosshorse
XMPP: bigbosshorse@xmpp.jp
---
Исследователь вредоносных программ S!Ri сделал сравнение варианта BigBossHorse-Horsedeal (слева) с GarrantyDecrypt (справа). 

Это подтверждает их родство. 

 

Обновление от 10 марта 2020:
Пост в Твиттере >>
Расширение: .horseleader
Записка: #Decrypt#.txt
ICQ: @Horseleader
Jabber: horseleader@xmpp.jp
Файлы: Wmiprvse.exe, 93F1.tmp.jpg (обои  с лошадьми)
Результаты анализов: VT + AR + VMR

=== 2021 ===

Вариант от 10 июня 2021: 

Сообщение >> 

Расширение: .XHAMSTER

Записка: #Decrypt#.txt

ICQ: @xhamster2020 

Файл: svchosts.exe

Результаты анализов: VT + AR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34017

BitDefender -> Gen:Variant.Fugrafa.52196

ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.I

Malwarebytes -> Malware.AI.431685973

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Rising -> Ransom.Outsider!1.D74B (CLASSIC)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Filecoder.Pbyz

TrendMicro -> Ransom_GarrantDecrypt.R002C0DFA21

Вариант от 10 июля 2021:

Сообщение >>

Сообщение >>

Расширение (без точки): INHORSEWETRUST

 

Записка: #Decrypt#.txt

ICQ: @Konwarszawski

ICQ: @SAFEPLACE

Jabber: bigboss@thesecure.biz

Файл: encryptor.exe

Результаты анализов: VT + AR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34138

BitDefender -> Gen:Variant.Razy.773049

ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.I

Malwarebytes -> Ransom.Outsider

Tencent -> Win32.Trojan.Filecoder.Wogh

TrendMicro -> Ransom_GarrantDecrypt.R002C0DGA21

Вариант от 28 августа 2021: 

Сообщение >>

Сообщение >>

Расширение: .zipzipulya

Записка: #Decrypt#.txt

ICQ: @zipzipulia

Skype: Zip Zipulya

Результаты анализов: VT

Вариант от 18 сентября 2021:

Расширение: .Zhirinovsky

Записка: #Decrypt#.txt

ICQ: @Zhirinovsky

Вариант от 24 октября 2021: 

Сообщение >>

Расширение: .WhiteHorse

Записка: #Decrypt#.txt

ICQ: @Whitehorsedecryption  

Skype: Whitehorsedecryption  

Результаты анализов: VT + IA + TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34457

BitDefender -> Gen:Variant.Ransom.1312

ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.I

Malwarebytes -> Ransom.WhiteHorse

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> Ransom_GarrantDecrypt.R002C0DJN21

Вариант от 20 ноября 2021:

Сообщение >>

Расширение: .file.decrypt

Записка: #File.decrypt#.txt

Email: File.decrypt@onionmail.org, file.decrypt@yahoo.com

Результаты анализов: VT + IA + TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34565

BitDefender -> Gen:Variant.Ransom.1312

ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.I

Malwarebytes -> Malware.AI.1866385931

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Rising -> Trojan.Generic@ML.99 (RDML:J7GCe+wW2yHNlWpfQ96qYQ)

Symantec -> Ransom.Gen

Tencent -> Win32.Trojan.Filecoder.Wmsf

TrendMicro -> Ransom_GarrantDecrypt.R002C0DKK21

Вариант от 9 декабря 2021: 

Сообщение >>

Расширение: .NUNCATARDE

Записка: #Decrypt#.txt

ICQ: nuncatarde  

Вариант от 27 декабря 2021: 

Сообщение >>

Расширение: .LIKEAHORSE

Записка: #RECOVERY#.txt

ICQ: @LIKEAHORSE

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34837

BitDefender -> Gen:Variant.Ransom.1312

ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.I

Malwarebytes -> Malware.AI.1866385931

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Symantec -> Trojan.Gen.MBT

Tencent -> Win32.Trojan.Filecoder.Pfix

TrendMicro -> Ransom.Win32.GARRANTYCRYPT.SMYXBGJ

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as GarrantyDecrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 GrujaRS, dnwls0719, Petrovic
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

SaveTheQueen

SaveTheQueen Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: SaveTheQueen.exe

Обнаружения:
DrWeb -> BackDoor.RevetRat
BitDefender -> Trojan.GenericKD.32753802
Avira -> TR/Dropper.Gen2
McAfee -> RDN/Ransom
Microsoft -> Ransom:Win32/Jemd!MSR
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Symantec -> Downloader

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.SaveTheQueen
.SaveTheQueenING


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: .SaveTheQueen.HelpMe.TXT

Содержание записки о выкупе:
Do not panic!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .SaveTheQueen
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
Contact us by e-mail in 7 days <GodSaveMe@tutamail.com or GodSaveYou@tuta.io> or your key will be deleted permanently.
God bless you!

Перевод записки на русский язык:
Без паники!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .SaveTheQueen
Единственный способ восстановления файлов - купить уникальный закрытый ключ.
Только мы можем дать вам этот ключ, и только мы можем вернуть ваши файлы.
Контакт с нами по email в течение 7 дней <GodSaveMe@tutamail.com или GodSaveYou@tuta.io>, иначе ваш ключ будет удален навсегда.
Храни вас Бог!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует Windows PowerShell для запуска.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SaveTheQueen.exe
.SaveTheQueen.LOG
.SaveTheQueen.HelpMe.TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: GodSaveMe@tutamail.com, GodSaveYou@tuta.io
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SaveTheQueen)
 Write-up, Topic of Support
 * 

 Thanks: 
 Raby, PCrisk, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

WastedBit

WastedBit Ransomware

Aliases: Wasted, MarioLocker

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: WastedBit. Файл проекта называется WastedBit.pdb. На исполняемом файле написано: WastedBit.exe

Обнаружения:
ALYac -> Trojan.Ransom.MarioLocker
Avast/AVG -> Win32:Malware-gen
Avira (no cloud) -> TR/FileCoder.nclqo
BitDefender -> Trojan.GenericKD.33983851
DrWeb -> Trojan.DownLoader33.54641
ESET-NOD32 -> A Variant Of Win32/Filecoder.NYQ
Kaspersky -> Trojan.Win32.Diztakun.bopi
Malwarebytes -> Ransom.Mario
Rising -> Trojan.Diztakun!8.FE (CLOUD)
Symantec -> Downloader
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> TROJ_GEN.R002C0GF920
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> WastedBit

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .wasted

Фактически используется комбинация этого слова с порядковыми номерами. При этом зашифрованный файл переименовывается на это слово с номером на конце. 

Примеры:
.wasted2
.wasted3
.wasted4
.wasted5
.wasted6

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало/середину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: @Readme.txt

Содержание записки о выкупе:
You'r files has been locked by Mario.
Please open 'WastedBitDecryptor', And follow the steps.
If you want to see your files, please go to this path and open 'YourFiles.txt' -- > C:\Windows\Temp\ 
Or press Win+R and type 'temp'.

Перевод записки на русский язык:
Твои файлы блокированы Марио.
Открой 'WastedBitDecryptor' и следуй инструкциям.
Если хочешь просмотреть свои файлы, иди по пути и открой 'YourFiles.txt' -> C:\Windows\Temp\
Или жми Win + R и введи 'temp'.

---
Другим информатором жертвы должен быть файл Wasted.bmp, но этот файл не открывается как изображение, а при его открытии в hex-редакторе можно прочитать текст: 
To download this file, please visit the download page : https://gofile.io/d/6MAQQl

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Деструктивные функции:
⏩ Отключает командную строку Windows (cmd):
"HKCU\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SYSTEM"; Key: "DISABLECMD"; Value: "01000000"
⏩ Отключает редактор реестра (regedit):
"HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM"; Key: "DISABLEREGISTRYTOOLS"; Value: "01000000"
⏩ Отключает менеджер задач Windows (taskmgr):
"HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM"; Key: "DISABLETASKMGR"; Value: "31000000"

 

⏩ Изменяет настройки системных сертификатов.

⏩ Добавляет / изменяет сертификаты Windows.

⏩ Изменяет настройки трассировки файла или консоли.

⏩ Создает файлы в каталоге Windows.

⏩ Изменяет фоновое изображение рабочего стола.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

WastedBit.exe - исполняемый файл вымогателя
WastedBit.pdb - оригинальное название проекта
@WastedBitDecrypt.exe - оригинальный дешифровщик
26ebdda500de80766d1d4d080d608d6e3ee48a78401c1084f0c2399f1605c7c2.exe - случайное название вредоносного файла
Wasted.bmp - загружаемое изображение, изменяющее обои Рабочего стола
mario.wav - некий файл из "mario"
@Readme.txt - название файла с требованием выкупа
yourfiles.txt - список зашифрованных файлов

Расположения:
\Desktop\ ->
\User_folders\ ->
\Documents\
\Videos\
\Music\
\Downloads\
\%TEMP%\ ->
%WINDIR%\temp\yourfiles.txt
C:\Users\Admin\Documents\WastedBit\Wasted.bmp
C:\Users\Admin\Documents\WastedBit\mario.wav
C:\Users\Admin\AppData\Local\Temp\26ebdda500de80766d1d4d080d608d6e3ee48a78401c1084f0c2399f1605c7c2.exe
C:\Users\roile\source\repos\WastedBit\Debug\WastedBit.pdb
%USERPROFILE%\source\repos\WastedBit\Debug\WastedBit.pdb

Записи реестра, связанные с этим Ransomware:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoLogonChecked
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DAC9024F54D8F6DF94935FB1732638CA6AD77C13
\REGISTRY\USER\S-1-5-21-910373003-3952921535-3480519689-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Documents\\WastedBit\\Wasted.bmp"
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Список адресов и файлов, которые пытается загрузить: 
xxxxs://srv-file5.gofile.io/download/M3Ktfy/its-me-mario.wav
xxxxs://srv-file5.gofile.io/download/Kz4VCw/MarioKart2.cur
xxxxs://srv-file7.gofile.io/download/6MAQQl/Mario-PixTeller.png
xxxxs://srv-file7.gofile.io/download/gWGdOm/wastedlock.bmp
xxxxs://srv-file4.gofile.io/download/aiLL1f/MarioWin32.exe
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as WastedBit)
 Write-up, Topic of Support
 * 

 Thanks: 
 Ravi, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

TurkStatik

TurkStatik Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: JavaEmbededLibrary.exe

Обнаружения:
DrWeb -> Trojan.Encoder.30023
BitDefender -> Trojan.Agent.EGYV
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
McAfee -> RDN/Ransom
TrendMicro -> Ransom.MSIL.FAKEGLOBE.AB
Avira (no cloud) -> TR/Ransom.qtrbx

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ciphered

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был представлен во второй половине ноября 2019 г. Но был создан и распространялся раньше, т.к. штамп времени создания: 22 сентября 2019. Ориентирован на турецких пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_DONT_DELETE.txt

Скриншот оригинальной записки

Скриншот перевода на английский

Содержание записки о выкупе:
Sisteminizde önemli gördügümüz datalarinizi sifreledik. Bilindik veri kurtarma yöntemleri ile verilerinizi geri getiremeyeceginizi bilmenizi isteriz.
Bu yöntemler sadece sizin zaman kaybetmenize sebep olacaktir. 
Yinede veri kurtarma firmalari yada programlari kullanmak isterseniz lütfen asil dosyalariniz üzerinde degil,
bunlarin kopyalari üzerinde islem yapiniz ve/veya yaptiriniz.  
Asil dosyalarin bozulmasi verilerinizin geri dönülemez sekilde zarar görmesine sebep olabilir.
Sifrelenen dosyalarinizin asillari, üzerine rast gele veri yazma teknigi kullanilarak silinmistir.
48 saat içerisinde dönüs yapilmadigi taktirde, sistemede kullanilan sifre silinecektir ve verileriniz asla geri döndürülemeyecektir.
Diskleriniz Full disk encryption ile sifrelenmistir yetkisiz müdahale kalici veri kaybina neden olur!
Para Verseniz Daha Açmazlar Diyen Bilgisayarcilara  veya Parani Alir Dosyalarini Vermez Diyen
Etrafinizdaki insanlara inanmayin 
Size Güven Verecek Yeterli Referansa Sahibim
Sizi tanimiyorum, dolayisi ile size karsi kötü duygular beslememin size kötülük yapmamin bir anlami da yok,
amacim sadece bu isten bir gelir elde etmek. Yaptiginiz ödeme sonrasinda
en kisa zamanda verilerinizi eski haline getirmek için sunucunuza baglanacagim.
24 saat içerisinde dönüs yapilmadigi taktirde, sistemede kullanilan sifre silinecektir ve verileriniz asla geri döndürülemeyecektir.
Verilerinizin sifresini çözdürmek için asagidaki iletisim kanalindan bizlere ulasabilirsiniz.
Ulasmak istediginide mutlaka asagida size özel üretilen kodu eklemeyi unutmayiniz.
SITE_CODE: ***
e-mail : decservice@mail.ru
recoverydbservice@protonmail.com

Содержание записки о выкупе (перевод с турецкого на английский):
We have encrypted your important data on your system. We would like you to know that you cannot restore your data with familiar data recovery methods.
These methods will only waste your time.
However, if you want to use data recovery companies or programs, please do not use your original files, process and / or have copies of them.
Corruption of master files can cause irreversible damage to your data.
The originals of your encrypted files have been deleted using random data write technique.
If no return is made within 48 hours, the password used in the system will be deleted and your data will never be restored.
Your disks are encrypted with Full disk encryption and unauthorized interference will result in permanent data loss!
Don't Open Your Money Versus Computing
Don't believe the people around you
I have enough references to give you confidence
I don't know you, so it doesn't make sense that I have bad feelings for you,
My goal is just to make this desirable income. After your payment
I will connect to your server to restore your data as soon as possible.
If no return is made within 24 hours, the password used in the system will be deleted and your data will never be restored.
To decrypt your data, you can contact us via the following communication channel.
If you want to reach, do not forget to add the code that is specially produced below.
SITE_C0DE: ***
e-mail: decservice@mail.ru
recoverydbservice@protonmail.com

Перевод записки (с турецкого на русский язык):
Мы зашифровали ваши важные данные в вашей системе. Мы хотели бы, чтобы вы знали, что вы не сможете восстановить свои данные с помощью известных способов восстановления данных.
Эти способы будут только тратить ваше время.
Однако, если вы хотите использовать компании или программы по восстановлению данных, обрабатывайте и/или используйте их копии, а не исходные файлы.
Повреждение мастер-файлов может привести к необратимому повреждению ваших данных.
Оригиналы ваших зашифрованных файлов были удалены методом случайной записи данных.
Если в течение 48 часов возврат не будет сделан, используемый в системе пароль будет удален, а ваши данные никогда не будут восстановлены.
Ваши диски зашифрованы с помощью полного шифрования диска, и несанкционированное вмешательство приведет к постоянной потере данных!
Не открывайте свои деньги в сравнении с компьютерами
Не верь людям вокруг тебя
У меня достаточно ссылок, чтобы придать вам уверенности
Я вас не знаю, поэтому не имеет смысла, что у меня к вам плохие чувства, и я не хочу ничего с вами делать. Я подключусь к вашему серверу, чтобы восстановить ваши данные в кратчайшие сроки после оплаты.
Если в течение 24 часов возврат не будет сделан, используемый в системе пароль будет удален, а ваши данные никогда не будут восстановлены.
Чтобы расшифровать ваши данные, вы можете связаться с нами по следующему каналу связи.
Если вы хотите успеть, не забудьте добавить код, который специально создан ниже.
SITE_C0DE: ***
email: decservice@mail.ru
recoverydbservice@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_DONT_DELETE.txt
JavaEmbededLibrary.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 
WBEMPROVIDERSTATICMUTEX

Сетевые подключения и связи:
Email: decservice@mail.ru, recoverydbservice@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Скачайте Emsisoft decryptor по этой ссылке >>
*** Подробное руководство прилагается ***

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as TurkStatik)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jack, Michael Gillespie, Emsisoft
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.