DeathHiddenTear

DeathHiddenTear Ransomware

Large&Small HT Ransomware

DeathHiddenTear-2 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA для ключа, а затем требует написать на email, чтобы узнать, как вернуть файлы. Оригинальное название: DeathV2 (указано в коде). На файле написано: SSvchost и ssvchost.exe

Обнаружения:
DrWeb -> Trojan.Encoder.31055
BitDefender -> Generic.Ransom.Small.A8C082EF
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
GData -> MSIL.Trojan-Ransom.Remind.B
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
McAfee -> Ransomware-FTD!B550E47DE0ED
Rising -> Ransom.Genasom!8.293 (CLOUD)
TrendMicro -> TROJ_GEN.R002C0OBJ20
Symantec -> Ransom.HiddenTear!g1
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: HiddenTear >> DeathHiddenTear

Изображение — логотип статьи (согласно данным)

К зашифрованным файлам добавляются разные расширения: 
.encryptedL  - к файлам размером более 50 Мб (L - Large - "большой")
.encryptedS - к файлам размером менее 50 Мб (S - Small - "небольшой")

Таким образом, большинство файлов на компьютере после шифрования получают расширение .encryptedS

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt Instructions.txt

Просмотр в Notepad++

Просмотр в Блокнот

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write us to email: AllZData@cock.li
187,15,28,244,249,77,21,50,58,239,19,98,217,252,245,41,144,76,92,172,94,107,219,158,195,132,13,151,57,147,72,99,82,58,125,154,230,223,31,147,10,1***

Перевод записки на русский язык:
Все ваши файлы зашифрованы, для расшифровки, пишите на email: AllZData@cock.li
187,15,28,244,249,77,21,50,58,239,19,98,217,252,245,41,144,76,92,172,94,107,219,158,195,132,13,151,57,147,72,99,82,58,125,154,230,223,31,147,10,1***

---
Комментарий от Майкла Джиллеспи: "Набор чисел в записке о выкупе является ключом AES, зашифрованным RSA этой функцией. Это малораспространенный способ, обычно используется hex." 
 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Удаляет теневые копии файлов после шифрования.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt Instructions.txt - название записки
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\New_Latest_Version_2\DeathV2
***\Death\obj\Release\ssvchost.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: AllZData@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 марта 2020:
Пост в Твиттере >>
Расширение: .enc
Записка: Decrypt Instructions.txt
Email: jakejake1234@cock.li

Файл: ssvchost.exe (написано SSvchost)
Результаты анализов: VT + VMR
Обнаружения: 
DrWeb -> Trojan.MulDrop11.51630
BitDefender -> Generic.Ransom.Small.773EC97D
ESET-NOD32 -> MSIL/Filecoder.YN
Rising -> Ransom.Filecoder!8.55A8 (CLOUD)
TrendMicro -> Ransom_Filecoder.R002C0DCN20

Обновление от 12 мая 2020:
Пост в Твиттере >>
Расширение: .enc
Записка: Decrypt Instructions.txt

Email: Datauser17234@protonmail.ch
Результаты анализов: VT + HA 

Обновление от 17 мая 2020: 
Пост на форуме >>
Расширение: .enc
Записка: Decrypt Instructions.txt
Email: craftech@protonmail.ch 
Файлы: NC.exe, C.exe

➤ Содержание записки: 
All of your files are encrypted, to decrypt them write us to email: craftech@protonmail.ch 
48,203,3,201,128,23,71,132,161,***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DeathHiddenTear)
 Write-up, Topic of Support, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Nomikon

Nomikon Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в ~0.041-0.0.45 BTC / ~400$, чтобы вернуть файлы. По истечении срока выплаты сумма увеличивается в 2 раза (до ~800$). Оригинальное название: Nomikon 1.0 (указано в заголовке записки о выкупе и в логинах email вымогателей). На файле написано: ms.exe или что-то другое.

Обнаружения:
DrWeb -> нет образца вредоноса
BitDefender -> нет образца вредоноса
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: предыдущие варианты >> Nomikon 1.0

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: или .<random>

Примеры расширений: 
.cnmhr 
.jrmcu


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. По некоторым данным, ранние упоминания встречались с ноября 2019 года, но исполняемых образцов не было найдено. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT.html

 

Содержание записки о выкупе:
Your computer has been infected
All your documents, photos, databases and other important files are encrypted
To decrypt your files you need to buy our special software - UmtxCnMh4r-Decryptor
You can do it right now. Follow the instruction below. But remember that you do not have much time
UmtxCnMh4r-Decryptor
You have EXPIRED TIME
*If you do not pay on time the price will be doubled
*Time ends on February 19, 01:37:43
Current price
0.04114785 BTC $400 USD
After time ends 0.08229571 BTC $800 USD
---
Instructions
How to decrypt files?
You will not be able to decrypt the files yourself. If you try, you will lose your files forever.
To decrypt your files you need to buy our special software -
UmtxCnMh4r-Decryptor.
*If you need guarantees, use trial decryption below.
How to buy UmtxCnMh4r-Decryptor?
1. Send us an email to: nomikonfirst@tuta.io, nomikonsecond@tuta.io
In subject line of your message write your personal
ID: umtxcnmh4r-1813464-88f974fb-08d6-4347-8ae1-aaede4cdb8ba-cnmhr
2. Create a Bitcoin Wallet (we recommend Blockchain.info)
3. Buy the necessary amount of Bitcoins. Current price for buying is 0.08229571 BTC
4. Send 0.08229571 BTC to the address that you receive when
write to us
5. Wait for 3 confirmations
6. Download decryptor from the email message
*We guarantee that you can decrypt all your files quickly and safely.
---
Trial decryption
This file should be an encrypted image. Example
your-file-name.jpg.cnmhr
your-file-name.png.cnmhr
your-file-name.gif.cnmhr
Send us one image for free decryption
*Please note image size must be less than 5Mb.
---
Buy Bitcoin with Bank
Account or Bank Transfer
Coinmama BitPanda Korbit Coinfloor Coinfinity BTCDirect CEX.io Gemini Paymium Bity Safello Buy Bitcoin with Credit/Debit Card CEX.io Coinmama Huobi Bittylicious BitPanda CoinCafe Luno Buy Bitcoin with PayPal LocalBitcoins VirWox Paxful Buy Bitcoin with Cash or Cash Deposit LocalBitcoins BitQuick
---
Support
If you have any questions please write us to email
nomikonfirst@tuta.io
nomikonsecond@tuta.io
Our support team can solve any of your problems
---
FAQ
What happen?
Your files are encrypted and currently unavailable. By the way, it's possible to recover (restore), you need to follow our instructions. Otherwise, you can't return your data (NEVER).
When can I get my files back?
After payment, you will receive an email with decryptor software. It automatically decrypts all your files.
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. It's not in our interests.
If I don't have enough money right now, can I pay later?
You can pay later, but in 3 days the price will be doubled.
What if I try to decrypt my files with another solution?
All your data is encrypted with very serious and powerful algorithms (AES256 and RSA-2048). Those algorithms now in use in military intelligence NSA and CIA. No one can help you to restore your data without our special decryptor. Do not try to modify files or use your own private key in this case you will lose your files forever.
Can I recover my old files via Windows recovery point or other solution?
Unfortunately no, all backups and Windows shadow copies were removed. In addition, hard disk sectors have been overwritten several times, in this case even computer forensics will not be able to recover your files.
Can I decrypt my document with trial decryption (for free)?
No, you can decrypt only one image.
Current price btc 0.08229571

Перевод записки на русский язык:
Ваш компьютер инфицирован
Все ваши документы, фотографии, базы данных и другие важные файлы зашифрованы
Для расшифровки ваших файлов вам нужно купить нашу специальную программу - UmtxCnMh4r-Decryptor
Вы можете сделать это прямо сейчас. Следуйте инструкциям ниже. Но помните, что у вас не так много времени
UmtxCnMh4r-Decryptor
У вас истекло время
* Если вы не заплатите вовремя, цена удвоится
* Время заканчивается 19 февраля, 01:37:43
Текущая цена
0.04114785 BTC $400 USD
По истечении времени 0.08229571 BTC $800 USD
---
Инструкции
Как расшифровать файлы?
Вы не сможете сами расшифровать файлы. Если вы попытаетесь, вы потеряете ваши файлы навсегда.
Для расшифровки ваших файлов вам нужно купить нашу специальную программу -
UmtxCnMh4r-Decryptor.
* Если вам нужны гарантии, используйте пробную расшифровку ниже.
Как купить UmtxCnMh4r-Decryptor?
1. Отправьте нам email по адресу: nomikonfirst@tuta.io, nomikonsecond@tuta.io
В строке темы вашего сообщения напишите свой личный
ID: umtxcnmh4r-1813464-88f974fb-08d6-4347-8ae1-aaede4cdb8ba-cnmhr
2. Создайте биткойн-кошелек (мы рекомендуем Blockchain.info)
3. Купите нужное количество биткойнов. Текущая цена для покупки 0.08229571 BTC
4. Отправьте 0.08229571 BTC на адрес, который вы получите, когда
напишите нам
5. Подождите 3 подтверждения
6. Скачать расшифровщик из сообщения email
* Мы гарантируем, что вы сможете расшифровать все ваши файлы быстро и безопасно.
---
Пробная расшифровка
Этот файл должен быть зашифрованным изображением. пример
ваш-файл-name.jpg.cnmhr
ваш-файл-name.png.cnmhr
ваш-файл-name.gif.cnmhr
Отправьте нам одно изображение для бесплатной расшифровки
* Обратите внимание, что размер изображения должен быть менее 5 МБ.
---
Купить биткойн в банке
Счет или банковский перевод
Coinmama BitPanda Korbit Coinfloor Coinfinity BTCDirect CEX.io Джемини Paymium Bity Safello Купить Биткойн с помощью кредитной / дебетовой карты CEX.io Coinmama Huobi Bittylicious BitPanda CoinCafe Luno Купить биткойны с PayPal МестныеБиткойны
---
Служба поддержки
Если у вас есть какие-либо вопросы, пожалуйста, напишите нам на email
nomikonfirst@tuta.io
nomikonsecond@tuta.io
Наша служба поддержки может решить любые ваши проблемы
---
Вопросы-Ответы
Что происходит?
Ваши файлы зашифрованы и в настоящее время недоступны. Кстати, можно восстановить (вернуть), нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
Когда я смогу вернуть свои файлы?
После оплаты вы получите письмо с программой для расшифровки. Она автоматически расшифровывает все ваши файлы.
Какие гарантии?
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в наших интересах.
Если у меня сейчас недостаточно денег, могу ли я заплатить позже?
Вы можете оплатить позже, но через 3 дня цена будет удвоена.
Что если я попытаюсь расшифровать мои файлы другим решением?
Все ваши данные зашифрованы с помощью очень серьезных и мощных алгоритмов (AES256 и RSA-2048). Эти алгоритмы сейчас используются в военной разведке АНБ и ЦРУ. Никто не может помочь вам восстановить ваши данные без нашего специального расшифровщика. Не пытайтесь изменить файлы или использовать свой собственный закрытый ключ, в этом случае вы потеряете ваши файлы навсегда.
Могу ли я восстановить свои старые файлы через точку восстановления Windows или другое решение?
К сожалению, нет, все резервные копии и теневые копии Windows были удалены. Кроме того, сектора жесткого диска были перезаписаны несколько раз, в этом случае даже компьютерная криминалистика не сможет восстановить ваши файлы.
Могу ли я расшифровать свой документ пробной расшифровкой (бесплатно)?
Нет, вы можете расшифровать только одно изображение.
Текущая цена BTC 0.082295

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ms.exe
DECRYPT.html - название текстового файла
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nomikonfirst@tuta.io, nomikonsecond@tuta.io
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. Но есть более раннее свидетельство активности этого вымогателя 14 ноября 2019 года.  Ссылка на сайт >>

Уже тогда это называлось Nomikon 1.0 Ransomware, поэтому описанный здесь вариант тот же самый по сути. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Nomikon)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, 
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Mew767

Mew767 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Написан на языке Go.

Обнаружения:
DrWeb -> Trojan.Encoder.31061
ALYac -> Trojan.Ransom.Snatch
BitDefender -> DeepScan:Generic.Ransom.Snatch.*
Rising -> Ransom.Crypren!8.1D6C (CLOUD)
Tencent -> Win32.Trojan.Crypren.Huqh
Symantec -> ML.Attribute.HighConfidence, Backdoor.Ratenjay
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия:  другие Golang ransomware > Mew767

Изображение — логотип статьи (покемон Mew)

К зашифрованным файлам добавляется расширение: .mew767

Фактически используется составное расширение по шаблону: 
_ID_XXXXXXXXXX_(X)_<email>.mew 767
_ID_XXXXXXXXXX_(X)_infectionplex@cock.li.mew767

Примеры зашифрованных файлов:
desktop.ini_ID_1960537927_(C)_infectionplex@cock.li.mew767
desktop.ini_ID_3558573852_(C)_infectionplex@cock.li.mew767


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовой записки с требованием выкупа не было обнаружено. Хотя, согласно отчету из Hybrid analysis, должна быть примерно такая: 
_ReadMe_.txt_ID_1960537927__C__infectionplex@cock.li.mew767

Возможно, что-то изменится в новых версиях...

Информатором жертвы и запиской с требованием выкупа выступает экран блокировки, который одновременно является и инструментом расшифровки: 

Содержание текста с экрана:
Hello,
your files have been encrypted! To return the files, message us at infectionplex@cock.li
Please type us your ID: 1960537927
Insert key here:
***
[Go]
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.

Перевод текста на русский язык:
Привет,
Ваши файлы были зашифрованы! Чтобы вернуть файлы, отправьте нам сообщение на infectionplex@cock.li
Пожалуйста, введите нам свой ID: 1960537927
Вставьте ключ здесь:
***
[Go]
Внимание!!! Не пытайтесь восстановить файлы самостоятельно, вы их повредите и восстановление с нашим ключом станет невозможным.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_ReadMe_.txt_ID_1960537927__C__infectionplex@cock.li.mew767
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: infectionplex@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tw +Tw + myTweet
 ID Ransomware (ID as Mew767)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PhantomChina

Phantom Ransomware

PhantomChina Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на языке Go.

Обнаружения:
DrWeb -> 
BitDefender -> 
ALYac -> 
ESET-NOD32 -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Phantom (PhantomChina)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .phantom

В другом варианте используется случайное расширение с 7 hex-символами в нижнем регистре: .<hex_random{7}>

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на середину января, первый образец был найден в середине февраля 2020 г. Потом нам попадались случаи в мае, июле. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !How_To_Decrypt_My_File_如何解密我的文件.hta

Содержание записки о выкупе:
发送您的 ID 到 pianist6@protonmail.com
价格取决于您给我们写信的速度, 付*后, 我们将向您发送解密工具, 并协助您解密所较件!
我们支持解密测试！
• 诚信是我们的原则！
• 在付絞之前, ***
***
中文 English
发送您的 ID 到 pianist6@protonmail.com
价格取决于您给我们写信的速度 , 付款后 , 我们将向您发送解密工具 , 并协助您解密所有文件 !
我们支持解密测试 !
• 诚信是我们的原则 !
• 在付款之前 , 您可以向我们发送测试文件 , 证明我们有能力恢复您的数据 (完好无损) !
注意 !
• 请勿 (编辑 删除 重命名 更改后缀名) 文件 , 否则不可恢复 !
• 我们没有第三方合作 , 除了我们无人能解 !
• 不要试图使用第三方软件 (恢复 解密) 您的数据 , 这可能会导致数据永久损坏 !
Your ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***
-----------------------------------------------------------------------------------
If you want to restore them, write us to the e-mail: pianist6@protonmail.com
Write this Your ID in the body of your message
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption test as guarantee !
Integrity is our principle!
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
Attention !
Do not rename encrypted files !
Do not try to decrypt your data using third party software, it may cause permanent data loss !
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam !
Your ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***

Перевод записки на русский язык:
Китайский Английский
Отправьте свой ID на pianist6@protonmail.com
Цена зависит от того, как быстро вы напишите нам, после оплаты мы вышлем вам инструмент дешифрования и поможем расшифровать все файлы!
Мы поддерживаем тест-расшифровку!
• Честность - наш принцип!
• Перед оплатой вы можете отправить нам файл для теста, чтобы доказать, что мы можем восстановить ваши данные (без изменений)!
Внимание!
• Не редактируйте, не удаляйте, не переименовывайте файл, не изменяйте расширение, иначе он не может быть восстановлен!
• У нас нет сотрудников на стороне, никто, кроме нас, не может решить эту проблему!
• Не пытайтесь использовать сторонние программы для восстановления и дешифрования ваших данных, это может привести к необратимому повреждению данных!
Ваш ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***
-------------------------------------------------- ---------------------------------
Китайский Английский
Если вы хотите их восстановить, напишите нам на email: pianist6@protonmail.com
Напишите этот Ваш ID в теле сообщения
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам дешифратор, который расшифрует все ваши файлы.
Бесплатная проверка расшифровки как гарантия!
Честность - наш принцип!
Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки. Общий размер файлов не должен превышать 2 МБ (без архива), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)
Внимание!
Не переименовывайте зашифрованные файлы!
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных!
Расшифровка ваших файлов с помощью третьих лиц может вызвать удорожание (они прибавляют свой гонорар к нашему) или вы можете стать жертвой мошенничества!
Ваш ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



Скриншоты от исследователя вредоносных программ Vitali Kremez:

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления, отключает загрузку безопасного режима Windows на этапе загрузки командами:
bcdedit /set {default} recoveryenabled No
bcdedit /set {default) bootstatuspolicy ignoreallfailures
Willie SHADOWCOPY DELETE
vssadiru.n delete shadows /All /Quiet

➤ Использует утилиту Sdelete для очистки свободного места после шифрования файлов и удаления оригинальных файлов с ПК. 


➤ В папке, из которой шифровальщик запускается, он создает Encrypt-list.txt (список зашифрованных файлов), fali_log.txt (список пропускаемых файлов) и .bat-файл.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!How_To_Decrypt_My_File_如何解密我的文件.hta - название текстового файла; 

恢复数据-<random{7}>.html - другая записка с 7 знаками из расширения; 
Encrypt-list.txt - список зашифрованных файлов; 
fali_log.txt - список пропускаемых файлов; 
.bat-файл; 
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pianist6@protonmail.com 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 июня 2022: 

Сообщение >> 

Расширение: .id

Записка: How_To_Decrypt_My_File_.hta

Email: shellcode7@mailfence.com, shellcode7@proton.me 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as PhantomChina)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Vitali Kremez, xiaopao, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.