Если вы не видите здесь изображений, то используйте VPN.

суббота, 7 декабря 2019 г.

TheDMR, DMR64

TheDMR Ransomware

Aliases: DMR64, Clown, NotFound, Clown+, Valley, ALVIN

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 500000-1000000 долларов, чтобы вернуть файлы. Оригинальное название: TheDRM или DRM. На файле написано: DMR_1.zip. Среда разработки: Visual Studio 2015, библиотека Crypto++. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.30333, Trojan.Encoder.30387, Trojan.Encoder.30388, Trojan.Encoder.30406, Trojan.Encoder.32566
ALYac -> Trojan.Ransom.BigBobRoss
BitDefender -> Trojan.GenericKD.32786061, Trojan.GenericKD.32812671
ESET-NOD32 -> Win32/Filecoder.NZL, Win32/Filecoder.NZN, Win32/Delf.NBX
Kaspersky -> Hoax.Win32.FakeRansom.hn, Trojan-Ransom.Win32.Gen.ucd, Trojan-Ransom.Win32.DMR.e
Microsoft -> Trojan:Win32/Wacatac.B!ml, Trojan:Win32/Casdet!rfn
Symantec -> Trojan.Gen.MBT, Trojan Horse
TrendMicro -> Ransom.Win32.DMR.A, Ransom_Filecoder.R06CC0DK420
VBA32 -> BScope.Trojan.Wacatac, BScope.Trojan.Mansabo
---

© Генеалогия: ✂️ BigBobRoss + прочее > TheDMR > Flamingo

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .DMR64

Кроме того, к имени файла добавляется ID в формате [id=XXXXXXXX], как ранее в некоторых вариантах BigBobRoss Ransomware

Пример зашифрованных файлов: 
[id=FEABA71D]Config.ini.DMR64
[id=C4BA3647]Chrysanthemum.jpg.DMR64

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!! READ THIS !!!.hta


Содержание записки о выкупе:
All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: Agent.DMR@protonmail.com
Write this ID in the subject e-mail:FEABA***
Only in case you do not receive a response from the first email address withit 48 hours, please use this alternative email adress: Agent.DMR@aol.com
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с самым надежным шифрованием. Вы можете вернуть все свои файлы, если хотите восстановить файлы, напишите нам на email: Agent.DMR@protonmail.com
Напишите этот идентификатор в теме письма: FEABA***
Только если вы не получили ответ с первого адреса email в течение 48 часов, используйте этот альтернативный адрес email: Agent.DMR@aol.com
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить ваши ключи дешифрования на нашем сервере более одной недели. Цена зависит от того, как быстро вы напишите нам.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки. Общий размер файлов должен быть менее 1 МБ (не в архиве), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)
Как получить биткойны
Вы можете купить биткойн здесь:
https: localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
http: www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Использование других инструментов может повредить ваши файлы, в случае использования сторонних программ мы не даем гарантий, что полное восстановление возможно, поэтому используйте его на свой страх и риск.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует библиотеку CryptoPP (Crypto++) версии 8.2.


Список файловых расширений, подвергающихся шифрованию:
Шифрует все подряд, даже свой исполняемый файл. См. видеобзор в конце статьи. 
Это, разумеется, будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DMR_1.zip
TheDMR.exe
background.png
!!! READ THIS !!!.hta
<random>.exe - случайное название вредоносного файла

Оригинальное название проекта: 
C:\Users\rpipc\Documents\Visual Studio 2015\Projects\TheDMR_Encrypter\Release\TheDMR_Encrypter.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Agent.DMR@protonmail.com, Agent.DMR@aol.com
BTC: нет данных
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BigBobRoss Ransomwareс января по ноябрь 2019

TheDMR Ransomware - с декабря 2019 по октябрь 2020 с вариантами DMR64, Clown, NotFound, Clown+, Valley, ALVIN

Flamingo Ransomware - с сентября 2020 в 2021 год с вариантами Flamingo, LandSlide, Lizard, DoNotWorry


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 16 декабря 2019:
Топик на форуме >>
Расширение: .notfound
Пример зашифрованного файла: [SupportClown@elude.in][id=86973210]Install.log.notfound
Email: SupportClown@elude.in
Записка: !!! READ THIS !!!.hta

 

➤ Содержание записки: 

All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: SupportClown@elude.in
Write this ID in the subject e-mail:86973210
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.
---
Файл: NotFound.exe
Результаты анализов: VT + IA 
➤ Обнаружения: 
Dr.Web -> Trojan.Encoder.30388
BitDefender -> DeepScan:Generic.Ransom.DMR.2D5D28A
ESET-NOD32 -> A Variant Of Win32/Filecoder.Clown.A


Обновление от 20 декабря 2019:
Оригинальное название проекта: TheDMR_Encrypter.pdb
Сообщение >>
Расширение: .clown+
Пример зашифрованного файла: [SupportClown@elude.in][id=C4BA3678]program.ex$.exe.clown+
Email: SupportClown@elude.in
Записки: !!! READ THIS !!!.hta
HOW TO RECOVER ENCRYPTED FILES.txt

 

Путь проекта: C:\Users\rpipc\Documents\Visual Studio 2015\Projects\TheDMR_Encrypter\Release\TheDMR_Encrypter.pdb

Результаты анализов: VT + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30406
BitDefender -> DeepScan:Generic.Ransom.DMR.***
ALYac -> Trojan.Ransom.Clown
ESET-NOD32 -> A Variant Of Win32/Filecoder.Clown.B
Kaspersky -> Trojan-Ransom.Win32.DMR.h
Malwarebytes -> Ransom.DMREncrypter
McAfee -> Ransom-Clown!4F4135FC5B67
Rising -> Ransom.DMR!8.11602 (CLOUD)
TrendMicro -> Ransom.Win32.CLOWNCRYPTOR.AA.***


Обновление от 30 декабря 2019:
Сообщение >>
Маскируется под Clown Ransomware.
Расширение: .clown
Записки: txt-, html-файлы
➤ Содержание txt-записки: 
All personal files on your computer are encrypted?
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: ***
---
Скриншот html-записки:


Обновление от 13-17 апреля 2020:
Сообщение >>
Пост на форуме >>
Топик на другом форуме >>
Расширение: .notfound
Пример зашифрованного файла: [Heeeh98@tutanota.com][id=XXXXXXXX]file001.doc.notfound
Записки: !!! READ THIS !!!.hta
HOW TO RECOVER ENCRYPTED FILES.txt

Email: Heeeh98@tutanota.com, becareful98@aol.com

 

➤ Содержание txt-записки: 

"CLOWN RANSOMWARE"   Your unique ID:"8A420***"
=============================================================================
All personal files on your computer are encrypted!
=============================================================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
=============================================================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "Heeeh98@tutanota.com"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
=============================================================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "becareful98@aol.com"
=============================================================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here:                       
https://www.coindesk.com/information/how-can-i-buy-bitcoins
=============================================================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software 
We don't give guarantees that full recovery is possible. 
2-Please do not change the name of files or file extension if your files are important to you!
---
Использованные домены: 
xxxx://testaplication.000webhostapp.com/
xxxx://xred.mooo.com/
xxxx://ocsp.pki.goog/
xxxx://freedns.afraid.org
Загружаемые файлы: 
xxxx://freedns.afraid.org/api/?action=getdyndns&sha=a30fa98efc092684e8d1c5cff797bcc613562978
xxxx://xred.site50.net/syn/SSLLibrary.dll
xxxx://xred.site50.net/syn/SUpdate.ini
xxxx://xred.site50.net/syn/Synaptics.rar
xxxxs://docs.google.com/uc?id=0BxsMXGfPIZfSTmlVYkxhSDg5TzQ&export=download
xxxxs://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk&export=download
xxxxs://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
xxxxs://www.dropbox.com/s/fzj752whr3ontsm/SSLLibrary.dll?dl=1
xxxxs://www.dropbox.com/s/n1w4p8gc6jzo0sg/SUpdate.ini?dl=1
xxxxs://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1

Использованные Email: xredline2@gmail.com, xredline3@gmail.com, xredline1@gmail.com
---


Файл: Heeeh98.exe (Synaptics.exe)

Описание: Synaptics Pointing Device Driver
Результаты анализов: VT + HA + IA + AR
➤ Обнаружения: 
DrWeb -> Trojan.DownLoader22.9658
BitDefender -> Dropped:Generic.Ransom.DMR.A7AAA609
Avira (no cloud) -> WORM/Dldr.Agent.gqrxn
ESET-NOD32 -> Win32/Delf.NBX
Malwarebytes -> Trojan.Agent
Tencent -> Virus.Win32.DarkKomet.a
Symantec -> ML.Attribute.HighConfidence


Обновление от 26 апреля 2020:
Пост на форуме >>
Расширение: .notfound
Пример зашифрованного файла: [ancrypted@protonmail.com][id=XXXXXXXX]document.xml.notfound
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
Email: ancrypted@protonmail.com, ancrypted@keemail.me



Обновление от 20 апреля 2020:
Email: sclown@elude.in
Записки: !!! READ THIS !!!.hta
HOW TO RECOVER ENCRYPTED FILES.txt

Обновление от 27 апреля 2020: 
Расширение: .notfound
Пример заш-файла: [ancrypted@protonmail.com][id=XXXXXXXX]document.xml.notfound
Записка txt: HOW TO RECOVER ENCRYPTED FILES.txt
Записка hta: !!! READ THIS !!!.hta
Email: ancrypted@keemail.me, ancrypted@protonmail.com

 

Обновление от 5 мая 2020:
Топик на форуме >>
Расширение: .notfound
Пример зашифрованного файла: [connectme@elude.in][id=0EA37036]document.docx.notfound
Записка txt: HOW TO RECOVER ENCRYPTED FILES.txt
Записка hta: !!! READ THIS !!!.hta
Email: supportme@elude.in, connectme@elude.in


➤ Содержание txt-записки: 

"CLOWN RANSOMWARE"   Your unique ID:"0EA37***"
===================================================================
All personal files on your computer are encrypted!
===================================================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
===================================================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "supportme@elude.in"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
===================================================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "connectme@elude.in"
===================================================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here:                       
https://www.coindesk.com/information/how-can-i-buy-bitcoins
===================================================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software 
We don't give guarantees that full recovery is possible. 
2-Please do not change the name of files or file extension if your files are important to you!
---


➤ Содержание hta-записки: 

All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: supportme@elude.in
Write this ID in the subject e-mail:"0EA37***"
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data. Before paying to send us up to 1 file for free decryption. The total size of the file must be less than 1Mb (the file should not be important to you).
Only in case you do not receive a response from the first email address withit 24 hours, please use this alternative email adress:connectme@elude.in
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
 Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
•Do not rename encrypted files.
•Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.


Обновление от 17 мая 2020 или раньше:
Расширение: .notfound
Пример зашифрованного файла: [DecodeGuide@Keemail.Me][id=XXXXXXXX]Document.doc.notfound
Email: decodeguide@keepmail.me, supclown@protonmail.ch
BTC: 3Mv279iQFVJthDUEaP21aCNWb28nDuim3N


Обновление от 28 мая 2020:
Расширение: .notfound
Пример зашифрованного файла: 
[backfile99@protonmail.com][id=XXXXXXXX]Document.doc.notfound
Email: backfile99@protonmail.com, recoryfile@tutanota.com

Обновление от 15 августа 2020:
Расширение: .notfound
Пример зашифрованого файла: [decrypt353@aol.com][id=XXXXXXXX]default.vrd.notfound
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
Email: decrypt353@aol.com, sclown@elude.in


 Содержание записки: 
"CLOWN RANSOMWARE"   Your unique ID:"{ID}"
================================
All personal files on your computer are encrypted!
================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "decrypt353@aol.com"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "sclown@elude.in"
================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here: 
https://www.coindesk.com/information/how-can-i-buy-bitcoins
================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software 
We don't give guarantees that full recovery is possible. 
2-Please do not change the name of files or file extension if your files are important to you!


Обновление от 16 августа 2020:
Расширение: .notfound
Пример зашифрованного файла: [adminenc919@cock.li][id=XXXXXXXX]Document.doc.notfound
Записка: !!! READ THIS !!!.hta
Email: adminenc919@cock.li and sirencmoj@cock.li


➤ Содержание hta-записки: 

All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: adminenc919@cock.li
Write this ID in the subject e-mail:"5A1E6***"
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data. Before paying to send us up to 1 file for free decryption. The total size of the file must be less than 1Mb (the file should not be important to you).
Only in case you do not receive a response from the first email address withit 24 hours, please use this alternative email adress:
sirencmoj@cock.li
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.


Обновление от 17 сентября 2020:
Самоназвание: "Valley Ransomware" 
Расширение: .Valley
Пример зашифрованного файла: [ultrasert77@gmail.com][id=XXXXXXXX]Update.msi.Valley
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
Email: ultrasert77@gmail.com, securityteamex@yandex.com
Результаты анализов: VT + IA



Обновление от 26 октября 2020:
Самоназвание: ALVIN RANSOMWARE
Расширение: .ALVIN
Пример зашифрованного файла: [rimon.argan@gmail.com][id=XXXXXXXX]file001.jpg.ALVIN
Email: rimon.argan@gmail.com, poeasws@protonmail.com
Записка: HOW TO RECOVER ENCRYPTED FILES.txt


➤ Содержание записки: 
"ALVIN RANSOMWARE"   Your unique ID:"54F49***"
==================================================
All personal files on your computer are encrypted!
==================================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
==================================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "rimon.argan@gmail.com"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
==================================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "poeasws@protonmail.com"
==================================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here:  
https://www.coindesk.com/information/how-can-i-buy-bitcoins
==================================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software 
We don't give guarantees that full recovery is possible. 
2-Please do not change the name of files or file extension if your files are important to you!



Обновление от 8 сентября 2020: 
Отдельная статья: Flamingo Ransomware >>
Подсемейство с вариантами: Flamingo, LandSlide, Lizard, DoNotWorry



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myTweet+myTweet + Tw + Tw + Tw + Tw
 ID Ransomware (ID as TheDMR)
 Write-up, Topic of Support
 * 
 - небольшой видеообзор, сделанный мной с помощью сервиса Any.Run
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie, GrujaRS
 MalwareHunterTeam, Vitali Kremez
 Emmanuel_ADC-Soft
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.


MaMo, MZRevenge

MaMoCrypter Ransomware

Aliases: MaMo434376, MaMo, MZ

MZRevenge Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 300$ в BTC, чтобы вернуть файлы. Оригинальное название: MaMo434376. На файле написано: Project.exe. Шифровальщик написан на Delphi и защищен с помощью оболочки VMProtect. Троян-загрузчик написан на C#. Разработчик из Турции. Файлы в некоторых случаях можно расшифровать! 

Обнаружения:
DrWeb -> Trojan.PWS.Siggen2.40351,Trojan.MulDrop11.31145, Trojan.Encoder.30348, Trojan.Encoder.30351
BitDefender -> Trojan.GenericKD.32789837, Trojan.GenericKD.42094892, Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.42099004, Trojan.GenericKD.32794814, Gen:Variant.Graftor.684088
Malwarebytes -> Ransom.Mamo
ESET-NOD32 -> A Variant Of Win32/Filecoder.NZD, A Variant Of Generik.CSSWWDJ
Kaspersky -> HEUR:Trojan.Win32.Generic, HEUR:Trojan-Ransom.Win32.CryFile.gen
Symantec -> ML.Attribute.HighConfidence, Downloader
Microsoft -> Trojan:Win32/Occamy.C, Ransom:Win32/Genasom
Rising -> Trojan.Generic@ML.82 (RDML:68PQS***), Trojan.Generic@ML.100 (RDML:VeE1bK***)

© Генеалогия: KesLan > TRSomware ⇒ MaMo434376, MZRevengeDeniz Kızı (Mermaid)

Знак "⇒" здесь означает переход на другую разработку. KesLan был основан на HiddenTear, а варианты семейства MaMo разработаны в Delphi. 
Изображение — логотип статьи


Название из кода шифровальщика

К зашифрованным файлам добавляется расширение: .MaMo434376


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Первые образцы этого крипто-вымогателя были найдены в начале декабря 2019 г. Это можно считать ранней активностью, которая продолжилась и в 2020 году. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Read_ME_PLS.txt

Содержание записки о выкупе:
ATTENTION!
Don*t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free, file must not contain valuable information.
Price of private key and decrypt software is $300.
Discount 50% available if you contact us first 72 hours, thats price for you is $150.
Please note that you*ll neuer restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don*t get answer more than 6 hours.
e-mail address to send your file and To get this software you need write on my e-mail:
helpdesk_mz@aol.com
Your Decryption Key (DO NOT WIPE OR CHANGE THIS SWITCH!) :
VFyyQDBPtTHNESjZSwi4yWZ7aQio3TB/LkejwhZ87UJDCfNnuiUUfYeDgrBIrxFCwMGVa5GZhw==

Перевод записки на русский язык:
ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фото, базы данных, документы и другие важные, зашифрованы с самым надежным шифрованием и уникальным ключом.
Единственный способ восстановления файлов - приобрести для вас инструмент дешифрования и уникальный ключ.
Эта программа расшифрует все ваши зашифрованные файлы.
Какие у вас гарантии?
Вы можете отправить один из ваших зашифрованных файлов с вашего ПК и мы расшифруем его бесплатно.
Но мы можем расшифровать только 1 файл бесплатно, файл не должен содержать ценную информацию.
Цена на закрытый ключ и программу расшифровки составляет $300.
Скидка 50% доступна, если вы обратитесь к нам в первые 72 часа, цена для вас составит $150.
Обратите внимание, что вы сможете восстановить ваши данные без оплаты.
Проверьте в своем email папки "Spam" or "Junk", если вы не получили ответа более 6 часов.
email-адрес для отправки вашего файла и чтобы получить это программу вам надо написать на мой email-адрес:
helpdesk_mz@aol.com
Ваш ключ дешифрования (НЕ СТИРАЙТЕ И НЕ МЕНЯЙТЕ ЭТИ ДАННЫЕ?):
VFyyQDBPtTHNESjZSwi4yWZ7aQio3TB/LkejwhZ87UJDCfNnuiUUfYeDgrBIrxFCwMGVa5GZhw==



Появляется экран блокировки, но он имеет только надпись:
MAMO434376 RANSOMWARE



Технические детали

На момент написания статьи активно не распространяется. Но после доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. Позже он стал отключать UAC. 

➤ Использует код или разработку от NG Software (Master Remote). Это подтверждено сервисом Intezer Analyze.


Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Этот шифровальщик повреждает все файлы размером более 4 Гб, делая их восстановление невозможным. 

Файлы, связанные с этим Ransomware:
Project.exe
Read_ME_PLS.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Start Menu\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helpdesk_mz@aol.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Подробнее о шифровании и возможность расшифровки:
В этом семействе используется только алгоритм симметричного шифрования, модифицированный автором. Каждый файл имеет одинаковый ключ шифрования. 16-байтовый ключ генерируется случайным образом и используется режим потокового шифрования "одноразовым ключом". Ключ алгоритма симметричного шифрования AES-256 жестко закодирован в коде вредоноса для шифрования ключа зашифрованного файла. Первые 14 фиксированных байтов используются для генерации ключевого потока, а последние два байта используются для шифрования данных. Алгоритмы асимметричного шифрования не используются во всем процессе шифрования, что позволяет получить ключи шифрования файлов для восстановления данных.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


MaMo434376 Ransomware - декабрь 2019 
MZRevenge Ransomware - декабрь 2019
Deniz Kızı (Mermaid) Ransomware - декабрь 2019





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9-10 декабря 2019:
Самоназвание: MZREVENGE 1.0 Ransomware
MZRevenge написан на языке Delphi и защищен с помощью оболочки VMProtect.
Статус: Файлы можно расшифровать. 
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Дополнение от 12 января 2020 >>
Расширение: .MZ173801
Записка: Read_ME_PLS.txt
Email: helpdesk_mz@aol.com
Результаты анализов: VT + AR / VT + VT + VT + VMR / VT + AR
 
Новый список файловых расширений: 

➤ Обнаружения:
DrWeb -> Trojan.MulDrop11.31145, Trojan.Encoder.30348, Trojan.Encoder.30351
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.42099004
Malwarebytes -> Ransom.Mamo
Kaspersky -> HEUR:Trojan-Ransom.Win32.CryFile.gen
ESET-NOD32 -> A Variant Of Win32/Filecoder.NZH
---
Список целевых расширений у этого варианта: 


Обновление от 5 апреля 2020:
Пост в Твиттере >>
Расширение: .Encrypted
Файл: _RMAMO.exe
Файл проекта: C:\Users\MaMo434376\Desktop\_RMAMO\_RMAMO\obj\Debug\_RMAMO.pdb
Записка: не обнаружена. 
Другие файлы: Passz.txt
Результаты анализов: VT + IA + AR + TG
➤ Обнаружения: 
DrWebTrojan.Encoder.31445
BitDefenderGen:Heur.Ransom.HiddenTears.1
ESET-NOD32MSIL/Filecoder.YY
RisingRansom.Encoder!8.FFD4 (CLOUD)
SymantecML.Attribute.HighConfidence

Обновление от 16 марта 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .MZ173801
Записка: How Do I Recover My Files (Readme).txt
Email: mzrdecryptorbuy@firemail.cc
BTC: 3HYoqfBS1ZceA2AvmdEucbnEHp74nu9cjd
Использованные URL: 
mzrevenge.ga
dosyaupload.tech
xxxxs://dosyaupload.tech/Download/File?fileName=B17341B5E30D38AD34CE06FF4EFC49C8%2Fsvchost.exe
api.ipify.org
api.db-ip.com
Файлы: Cheats_Loader_protected.exe, Cheats_Loader.exe
Результаты анализов: VT + VMR + AR+AR + IA+IA + HA
---
Файл: Ransomware downloader yeni.bin.exe
Результаты анализов: VT + AR + IA + HA

Обновление от 2 мая 2020:
Пост в Твиттере >>
Написан по-прежнему на Delphi, но упакован с помощью MPRESS.
Шифрование: AES-128 (CBC) + Twofish-128 (NOFB) + AES-128 (CFB) для остатка. Любой файл размером более 4 ГБ будет безвозвратно поврежден, из-за ошибки в конфигурации шифратора. Подробнее о шифровании в статье BitDefender >>
Расширение: .MZ173801
Записка: How Do I Recover My Files (Readme).txt
Email: mzrdecryptorbuy@firemail.cc
BTC: 3HYoqfBS1ZceA2AvmdEucbnEHp74nu9cjd
Файл: MaMoCrypter.exe
Результаты анализов: VT + VMR + AR + AR + IA + IA + TG + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30538
BitDefender -> Gen:Variant.Strictor.242371
Malwarebytes -> Ransom.MZRevenge
Rising -> Ransom.Agent!8.6B7 (CLOUD)
TrendMicro -> Ransom_Kizi.R002C0DDU20
---
Список расширений в этом варианте:
.3dm, .3DM, .3g2, .3G2, .3gp, .3GP, .7zip, .7ZIP, .aaf, .AAF, .accdb, .ACCDB, .aep, .AEP, .aepx, .AEPX, .aet, .AET, .ai, .AI, .aif, .AIF, .apk, .APK, .as, .AS, .as3, .AS3, .asf, .ASF, .asm, .ASM, .asp, .ASP, .aspx, .ASPX, .asx, .ASX, .avi, .AVI, .back, .BACK, .backup, .BACKUP, .bak, .BAK, .bat, .BAT, .bmp, .BMP, .c, .C, .class, .CLASS, .cpp, .CPP, .cs, .cs, .CS, .CS, .csproj, .CSPROJ, .csv, .CSV, .dat, .DAT, .db, .DB, .dbf, .DBF, .design, .DESIGN, .doc, .DOC, .docb, .DOCB, .docm, .DOCM, .docx, .DOCX, .dot, .DOT, .dotm, .DOTM, .dotx, .DOTX, .dtb, .DTB, .dwg, .DWG, .dxf, .DXF, .efx, .EFX, .eps, .EPS, .fla, .FLA, .flv, .FLV, .gif, .GIF, .h, .H, .hpp, .HPP, .hwp, .HWP, .ibank, .IBANK, .idml, .IDML, .iff, .IFF, .indb, .INDB, .indd, .INDD, .indl, .INDL, .indt, .INDT, .inx, .INX, .jar, .JAR, .java, .JAVA, .jpeg, .JPEG, .jpg, .JPG, .js, .JS, .lnk, .LNK, .lua, .LUA, .m3u, .M3U, .m3u8, .M3U8, .m4a, .M4A, .m4u, .M4U, .m4v, .M4V, .max, .MAX, .mdb, .MDB, .mid, .MID, .mkv, .MKV, .mov, .MOV, .mp3, .MP3, .mp4, .MP4, .mpa, .MPA, .mpeg, .MPEG, .mpg, .MPG, .msg, .MSG, .obj, .OBJ, .ogg, .OGG, .one, .ONE, .onetoc2, .ONETOC2, .pdb, .PDB, .pdf, .PDF, .php, .PHP, .plb, .PLB, .pmd, .PMD, .png, .PNG, .pot, .POT, .potm, .POTM, .potx, .POTX, .ppam, .PPAM, .ppj, .PPJ, .pps, .PPS, .ppsm, .PPSM, .ppsx, .PPSX, .ppt, .PPT, .pptm, .PPTM, .pptx, .PPTX, .prel, .PREL, .prproj, .PRPROJ, .ps, .PS, .psd, .PSD, .pst, .PST, .py, .PY, .ra, .RA, .rar, .RAR, .raw, .RAW, .rb, .RB, .rtf, .RTF, .sdf, .SDF, .ses, .SES, .sldm, .SLDM, .sldx, .SLDX, .sln, .SLN, .sql, .SQL, .sqlite, .SQLITE, .sqlite3, .SQLITE3, .sqlitedb, .SQLITEDB, .svg, .SVG, .swf, .SWF, .tif, .TIF, .txt, .TXT, .url, .URL, .vb, .VB, .vbproj, .VBPROJ, .vcf, .VCF, .vob, .VOB, .wav, .WAV, .wma, .WMA, .wmv, .WMV, .wpd, .WPD, .wps, .WPS, .xla, .XLA, .xlam, .XLAM, .xll, .XLL, .xlm, .XLM, .xls, .XLS, .xlsb, .XLSB, .xlsm, .XLSM, .xlsx, .XLSX, .xlt, .XLT, .xltm, .XLTM, .xltx, .XLTX, .xlw, .XLW, .xml, .XML, .xqx, .xqx, .XQX, .XQX, .zip, .ZIP (312 расширений).


Обновление от 5 мая 2020:
Пост в Твиттере >>
Расширение: .Zv7uN
Другие данные не получены. 
Результаты анализов: VT+ AR+AR + IA+IA + TG + VMR





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщики
1. Скачайте 360 Ransomware Decryption Tools >>
Прочтите подробную инструкцию перед запуском. 
---
2. Скачайте BitDefender Decryption Tool >>
Прочтите подробную инструкцию перед запуском.
***
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as MaMoCrypter)
 Write-up, Topic of Support
 Added later: Write-up by BitDefender (on October 16, 2020)  
 Thanks: 
 CyberSecurity GrujaRS, Raby, HILDACRYPT
 Andrew Ivanov (author)
 Qihoo 360, BitDefender for decryptors
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

Montserrat, BaCkUp

Montserrat Ransomware

BaCkUp Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Backup.exe и Windows Backup Storage. Фальш-копирайт: Copyright (C) 2019 Backup Technologies SARL

Обнаружения:
DrWeb -> Trojan.Encoder.30337
BitDefender -> Trojan.GenericKD.42093054
Malwarebytes -> Ransom.Montserrat
Symantec -> Downloader
McAfee -> Generic Trojan.sh
TrendMicro -> TROJ_FRS.0NA103LC19


© Генеалогия: LockerGogaMontserrat (BaCkUp)
Родство подтверждено анализом кода сервиса IntezerAnalyze >>
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted_backup

Также используется маркер файлов .BaCkUp


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How to restore data.html
Содержание записки о выкупе:
Your data has been encrypted!
To restore it, contact us using the following e-mail:
montserrat501@protonmail.com
If you didn't get a response in 24 hours, write to:
montserrat501@airmail.cc
You must include the following ID information in your message:
Acgib6mF0NySZQYOkKy66+AIvbWFzV4HJir1nxECqSXa*** [ всего 1028 знаков]
To prove that we are able to restore your files, you can attach a single encrypted file not larger than 10MB.
It will be decrypted and sent back to you.
Any modification of encrypted files will lead to irrecoverable data loss!

Перевод записки на русский язык:
Ваши данные были зашифрованы!
Чтобы восстановить его, напишите нам, используя следующий адрес email:
montserrat501@protonmail.com
Если вы не получили ответ в течение 24 часов, пишите на:
montserrat501@airmail.cc
Вы должны включить следующую ID информацию в ваше сообщение:
Acgib6mF0NySZQYOkKy66 + AIvbWFzV4HJir1nxECqSXa*** [всего 1028 знаков]
Чтобы доказать, что мы можем восстановить ваши файлы, вы можете прикрепить один зашифрованный файл размером не более 10 МБ.
Он будет расшифрован и отправлен вам обратно.
Любая модификация зашифрованных файлов приведет к безвозвратной потере данных!




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Backup.exe
How to restore data.html
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: montserrat501@protonmail.com, montserrat501@airmail.cc
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Montserrat)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, dnwls0719
 Andrew Ivanov (author)
 Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *