Zeoticus Ransomware
Zeoticus 2.0 Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Zeoticus. На файле написано: vxx.exe или что-то еще.
Обнаружения:
DrWeb -> Trojan.Encoder.30482, Trojan.Encoder.33303
ALYac -> Trojan.Ransom.Zeoticus
ESET-NOD32 -> Win32/Filecoder.Zeoticus.A, A Variant Of Win32/Filecoder.OBQ
Malwarebytes -> Ransom.Zeoticus
Microsoft -> Ransom:Win32/Zeoticus!MSR
Kaspersky -> Trojan-Dropper.Win32.Dycler.zgu
Rising -> Packer.Win32.Obfuscator.n (CLASSIC)
Tencent -> Win32.Trojan.Filecoder.Ita
TrendMicro -> Ransom.Win32.ZEOTICUS.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
Tencent -> Win32.Trojan.Filecoder.Ita
TrendMicro -> Ransom.Win32.ZEOTICUS.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> Zeoticus > Zeoticus 2.0 > Venus
К зашифрованным файлам добавляется расширение: .zeoticus
Более новые см. после статьи в обновлениях.
Этимология названия:
Используется имя персонажа из японской манга-аниме High School DxD
(URL - highschooldxd.fandom.com/wiki/Zeoticus_Gremory)
Изображение — логотип статьи
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец декабря 2019 г. Дата первой загрузки на VT: 30 декабря 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: READ_ME.html
Содержание записки о выкупе:
----===Zeoticus===----
All your data are encrypted.
Only we can decrypt your data, write to the original mails specified in this file, otherwise you will become a victim of scammers
Be carefully, recovery companies usually require more than we, and act as middleman
-----------------------------------------------------
Contact and send this file to us:
zeoticus@tutanota.com
zeoticus@aol.com
zeoticus@protonmail.com
1077357048
=)
Перевод записки на русский язык:
Все ваши данные зашифрованы.
Только мы можем расшифровать ваши данные, пишите на оригинальные email, указанные в этом файле, иначе вы станете жертвой мошенников
Будьте осторожны, компании по восстановлению обычно требуют больше, чем мы, и выступают в качестве посредников
-------------------------------------------------- ---
Свяжитесь с нами и отправьте этот файл:
zeoticus@tutanota.com
zeoticus@aol.com
zeoticus@protonmail.com
1077357048
=)
Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ_ME.html
vxx.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://vitrez.xyz/supersecretstring?babyDontHeartMe=***
Email: zeoticus@tutanota.com
zeoticus@aol.com
zeoticus@protonmail.com
BTC: ---
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Zeoticus Ransomware - январь 2020
Zeoticus 2.0 Ransomware - сентябрь 2020
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 12 сентября 2020:
Самоназвание: Zeoticus 2.0
Топик на форуме >>
Сообщение >>
Расширение: .young
Составное расширение: .<ID{18_num}>.immunityyoung@aol.com.young
Пример расширения: .933880981972527968.immunityyoung@aol.com.young
Маркер файлов: ZEOTICUSV2
Записка: README.html
Email: immunityyoung@aol.com
immunityyoung@tutanotal.com
immunityyoung@protonmail.com
➤ Содержание записки:
----===Zeoticus 2.0===----
WARNING!
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps.
You need to buy bitcoins and send them to the address you receive by mail.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register,
click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key
we can decrypt one file for free
the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format
other formats will not be free decryption
after payment we will send a decryption program
Do not try to decrypt your files with programs by the decoder,
you will only damage your data and lose them forever.
Only we can decrypt your data, write to the original mails specified in this file,
otherwise you will become a victim of scammers.
immunityyoung@aol.com
immunityyoung@tutanota.com
immunityyoung@protonmail.com
[redacted 136 bytes base64]
Сообщение от 7-14 декабря 2020:
Сообщение >>
Версия: Zeoticus 2.0 Ransomware
Расширение: .2020END
Составное расширение: .<number>.outsourse@tutanota.com.2020END
Результаты анализов: VT + IA➤ Обнаружения:
DrWeb -> Trojan.Encoder.33303
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OBQ
Kaspersky -> Packed.Win32.Krap.b
Malwarebytes -> Ransom.FileCryptor
Rising -> Dropper.Dinwod!8.3BD*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wrqe
TrendMicro -> TROJ_GEN.R002C0PLB20
Вариант от 16 апреля 2021:
Версия: Zeoticus 2.0 Ransomware
Расширение: .pandora
Составное расширение: .<number>.anobtanium@tutanota.com.pandora
Записка: README.html
Email: anobtanium@tutanota.com
Файл проекта: C:\mainproduct\x86_bild_cryptor\shell_gen\release\data_protect2.pdb
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Tweet + myMessage ID Ransomware (ID as Zeoticus) Write-up, Topic of Support *
Thanks: S!Ri, Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
