Если вы не видите здесь изображений, то используйте VPN.

пятница, 13 марта 2020 г.

Tongda, CryptoGo

Tongda Ransomware

Aliases: CryptoGo, Add1

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: crypto. Написан на языке Go. На файле написано: update_11.3.58.exe

 Обнаружения:
DrWeb -> Trojan.Encoder.31549
BitDefender -> Trojan.GenericKD.33540457
ESET-NOD32 -> Win32/Filecoder.OBC
Kaspersky -> Trojan-Ransom.Win32.Gen.web
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Gen.Ehro
TrendMicro -> TROJ_FRS.0NA103CH20
---
© Генеалогия: ??? >> Tongda (CryptoGo, Add1)
Изображение — логотип статьи

 К зашифрованным файлам добавляется расширение: 1

Примеры зашифрованных файлов:
button.png1
Image001.jpg1
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на начало марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: 
readme_readme_readme.txt


 Содержание записки о выкупе:
send 0.3 bitcoin to 12ZsBrX4UTsdjJbx84GcPFGEQaKMyYU29p
screenchot and key send to langdiru1887@protonmail.com and mawienkiu@yandex.com
key:dA2*** [всего 344 знака]

 Перевод записки на русский язык:
отправить 0.3 биткойна на 12ZsBrX4UTsdjJbx84GcPFGEQaKMyYU29p
снимок экрана и ключ отправьте по адресу langdiru1887@protonmail.com и mawienkiu@yandex.com
ключ:dA2*** [всего 344 знака]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ UAC Не обходит, требуется разрешение на запуск.

Подробности о шифровании
Перед шифрованием исходное содержимое файла кодируется в Base64, а затем закодированное значение шифруется с помощью AES-256. Зашифрованный результат будет записан в новый файл. Новое имя файла состоит из исходного имени файла + "1". IV записывается в заголовок файла, а затем записывается зашифрованный результат.

➤ Будет запускаться вместе с Windows и пытаться завершить процессы, связанные с базами данных, MS Office и прочие, чтобы без помех шифровать файлы. После шифрования всех найденных файлов самоудаляется. 

 Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .docb, .docm, .dot, .dotm, .dotx, .edb, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .ps1, .psd, .py, .rar, .raw, .rb, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wma, .wmv, .xlc, .xlm, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw, .zip и другие (здесь в списке 158 расширений, но всего должно быть 180).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_readme_readme.txt - название файла с требованием выкупа
update_11.3.58.exe
output.152901165.txt
<random>.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\7f05bf6fd7f5c5bfe0c201d73029439b228bc4d729306f7cea8077f03292fe63.exe
C:/Users/A/Desktop/my.go
c:/go/src/crypto/x509/pem_decrypt.go
c:/go/src/crypto/x509/verify.go
и другие

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: langdiru1887@protonmail.com, mawienkiu@yandex.com
BTC: 12ZsBrX4UTsdjJbx84GcPFGEQaKMyYU29p
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


 Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Tongda)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Jirehlov Solace, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на

четверг, 12 марта 2020 г.

Teslarvng, Yakuza

TeslaRVNG Ransomware

Tesla Revenge Ransomware

TeslaRVNG2 Ransomware

Aliases: Teslarvng, Yakuza

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: defrag.exe. Использует библиотеку Crypto++. 
---
 Обнаружения:
DrWeb -> Trojan.Inject3.36148, Trojan.MulDrop11.51585
BitDefender -> Gen:Variant.Ransom.Ouroboros.29
ESET-NOD32 -> A Variant Of Win32/Filecoder.OBE, A Variant Of Win32/Filecoder.Teslarvng.A
Malwarebytes -> Ransom.Teslarvng
 Symantec -> Trojan.Gen.2, Trojan Horse, Ransom.Teslarvng, Ransom.Teslarvng!g1
TrendMicro -> TROJ_GEN.R002C0PCF20, Trojan.Win32.MALREP.THCBCBO, Ransom.Win32.OUROBOROS.SMA
---

 © Генеалогия: Ouroboros? >> Teslarvng (Yakuza)
Изображение — логотип статьи

 К зашифрованным файлам добавляются расширения: 
.teslarvng
.yakuza

 Фактически используется составное расширение: 
.[de-crypt@foxmail.com].teslarvng
.[de-crypt@foxmail.com].yakuza


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на начало-середину марта 2020 г. Штамп даты: 9 марта 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: How To Recover.txt

Содержание записки о выкупе:
[+] What's happened ? [+]
all your files have been encrypted(locked) by us 
[+] what should i do [+]
keep calm and message us 
[+] do you guarantee recovery of my files?[+]
it's our job, we can decrypt like we did encrypt and we'll prove that 
(unfortunately it's not free, and have to pay a small amount for it )
you'll receive decryption program witch makes your files and system just like they were 
[+] well then how should i contact you [+]
email : de-crypt@foxmail.com
email2 : helptounlock@protonmail.com
just mail us with you teslarvngID file in attachment (the file on all you folders besdie this file )
you should receive answer in 24h max 
[+] how can i trust you[+]
you get what you pay for, this is our business and we have customer satisfaction rates witch affects later customers decision 
we decrypt one file for free for ensuring recoverability of your files 
you'll sure do recover your files after payment because 
if we don't our repopulation will go bad and others won't make payment. sure we don't want that 
[+]should i try third party tools[+]
we use very strong military-grade encryption method
you're free to try but none can work without our privatekeys,
make sure to make a backup of encrypted files before trying tools because they can corrupt your files and make them undecryptable 

Перевод записки на русский язык:
[+] Что случилось? [+]
все ваши файлы зашифрованы (заблокированы) нами
[+] что мне делать [+]
сохраняй спокойствие и сообщай нам
[+] вы гарантируете восстановление моих файлов? [+]
это наша работа, мы можем расшифровать, как мы это зашифровали, и мы докажем это
(к сожалению, это не бесплатно, и за это нужно заплатить небольшую сумму)
вы получите программу расшифровки, которая сделает ваши файлы и систему такими же, как они
[+] ну тогда как мне с тобой связаться [+]
email: de-crypt@foxmail.com
email2: helptounlock@protonmail.com
просто напишите нам с вашим файлом teslarvngID во вложении (файл во всех ваших папках, кроме этого файла)
Вы должны получить ответ в течение 24 часов максимум
[+] как я могу тебе доверять [+]
Вы получаете то, за что платите, это наш бизнес, и уровень удовлетворенности клиентов влияет на решение будущих клиентов
мы расшифровываем один файл бесплатно для обеспечения возможности восстановления ваших файлов
вы обязательно восстановите свои файлы после оплаты, потому что
если мы этого не сделаем, наша репутация пострадает, а другие не будут платить. конечно, мы этого не хотим
[+] я должен попробовать сторонние инструменты [+]
мы используем очень сильный метод шифрования военного уровня
Вы можете попробовать, но никто не может работать без наших частных ключей,
убедитесь, что сделали резервную копию зашифрованных файлов, попыткой использовать инструменты, потому что они могут повредить ваши файлы и сделать их недопустимыми

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ Удаляет теневые копии файлов. Добавляет в меню пуск файл defrag.exe
Использует утилиту sdelete.exe. 

 ➤ Оба варианта с расширения .teslarvng и .yakuza используются один и тот же файл записки (How To Recover.txt) и метку файлов: "93 9F 7B A9"

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

How To Recover.txt - название файла с требованием выкупа
defrag.exe
tempkey.teslarvngkeys
teslarvngID
consoleoutput2287.txt
wbadmin.0.etl
pos.txt
fails.txt
<random>.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\consoleoutput2287.txt
C:\teslarvng\tempkey.teslarvngkeys
C:\teslarvng\How To Recover.txt
%PROGRAMDATA%\datakeys\tempkey.teslarvngkeys
%PROGRAMDATA%\datakeys\pos.txt
%WINDIR%\logs\windowsbackup\wbadmin.0.etl

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: de-crypt@foxmail.com, helptounlock@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Обновление от 22 марта 2020:
Пост в Твиттере >>
Расширение: отсутствует
Записка: How To Recover.txt
Email: helper571@protonmail.com, rdp571@protonmail.ch
Результаты анализов: VT + AR + VMR + IA
 


 Обновления июня:
Email: Black.Berserks@yakuzacrypt.com, Black.Berserks@protonmail.com
Email:ScorpionEncryption@yakuzacrypt.com, ScorpionEncryption@Protonmail.com 

Обновление от 1 июля 2020:
Пост в Твиттере >>
Записка: teslarvng.hta
Email: maedeh81@yakuzacrypt.com, maedeh81@firemail.cc


Обновление июля:
Email: newbang@protonmail.com, newbang@cock.li

 Обновление августа:
Email: Founder94@yakuzacrypt.com, Founder94@tutanota.com

Обновление сентября 2020: 
Email: alfryy@yakuzacrypt.com, alfryy@cock.li


Вариант от 31 декабря 2020: 
Расширение: .teslarvng1.5
Email: aes256@criptexst.com, thetaprogram@keemail.me
VT: 960C10FF27C9BB488DAA2DC405E04967



Вариант от 1 апреля 2021:
Самоназвание: Tesla Revenge Ransomware, TeslaRVNG1.5
Расширение: .teslarvng2 
Результаты анализов: VT + IA


Вариант от 8 мая 2021:
Расширение: .teslarvng2
Шаблон зашифрованного файла: id[GENERATED_ID].[tesladecryption@cyberfear.com].Filename.teslarvng2
Пример зашифрованного файла: id[EiAIBPSt].[tesladecryption@cyberfear.com].Media.xlss.teslarvng2
Записка: teslarvng2.hta
Email: tesladecryption@cyberfear.com, tesladecryption@cock.li

 



Вариант от 24 мая 2021:
Сообщение >>
Расширение: .teslarvng2
Шаблон зашифрованного файла: id[GENERATED_ID].[angelmorales0123@mailfence.com].Filename.teslarvng2
Записка: teslarvng2.hta
Email: angelmorales0123@mailfence.com
Результаты анализов: VT + TG + JSB
Система может перезагрузиться. 



Вариант от 8 сентября 2021:
Расширение: .liquid
Пример зашифрованного файла: id[xGCg1FQ4].[unknownteam@criptext.com].document.doc.liquid
Email: unknwonteam@criptext.com, fixbyfinch@tutanota.com
Результаты анализов: VT


Вариант от 13 ноября 2021:
Расширение: .teslarvng3
Результаты анализов: VT + IA


=== 2022 ===

Вариант от 14 марта 2022: 
Расширение: .Ranger3X
Пример зашифрованного файла: id[MxbXXXXX].[solution@mailfence.com].License.txt.Ranger3X
Записка: DecryptFiles.txt
Email: solution@mailfence.com, Filedecryptor@cock.li, yoursolution@tutanota.com
Результаты анализов: VT + IA



Вариант от 3 мая 2022: 
Расширение: .selena
Пример зашифрованного файла: id[NCq9Ipot].[Selena@onionmail.org].13.01.22.jpg.selena
Записка: selena.txt
Email: Selena@onionmail.org, Selena@cyberfear.com
Результаты анализов: VT + IA


Вариант от 26 мая или раньше: 
Расширение: .StrongX
Пример зашифрованного файла: id[6ZNpEtv9].[bleepbloopbop@criptext.com].logoff1.bat.StrongX
Записка: ReadMe.txt
Email: bleepbloopbop@criptext.com, bleepbloopbop@protonmail.com



Вариант от 13 июня 2022: 
Доп. название: Sheeva Ransomware
Расширение: .sheeva
Пример зашифрованного файла: id[XXXXXXXX].[Sheeva@onionmail.org].document.doc.sheeva
Записка: sheeva.txt
Email: Sheeva@onionmail.org
Результаты анализа: VT + IA
Обнаружения: 
DrWeb -> Trojan.Siggen18.4363
ESET-NOD32 -> A Variant Of Win32/Filecoder.Teslarvng_A
Malwarebytes -> Generic.Trojan.Malicious.DDS
Microsoft -> Trojan:Win32/Casdet!rfn
TrendMicro -> Ransom.Win32.TSLREVENGER.THFAEBB
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Teslarvng)
 Write-up, Topic of Support
 * 
 Thanks: 
 Raby, AkhmedTaia, Michael Gillespie, Bart
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на

среда, 11 марта 2020 г.

CoronaVirus

CoronaVirus Ransomware

CoronaVirus Cover-Ransomware

(шифровальщик-вымогатель, MBR-модификатор

(первоисточник на русском)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп 0.008 - 0.05 # BTC, чтобы вернуть файлы. Оригинальное название: CoronaVirus (указано в записке и текстах на экране). На файла может быть написано: WSHSetup.exe, ComparevalidatorIgamerefreshable.exe, sar.exe  и прочее. 
---
 Обнаружения для Installer:
DrWeb -> Trojan.Encoder.31254
BitDefender - > Trojan.GenericKD.33533697, Trojan.GenericKD.42839733
ALYac -> Trojan.Agent.Zenpak
Avira (no cloud) -> TR/Zenpak.rujhy
ESET-NOD32 -> A Variant Of Win32/Kryptik.HBWA
Fortinet -> W32/Zenpak.HBWA!tr.ransom
Kaspersky -> Trojan.Win32.Zenpak.wqf
Qihoo-360 -> Win32/Trojan.c84
Rising -> Trojan.Kryptik!8.8 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Zenpak.Syhv
---
Обнаружения для Ransomware:
DrWeb -> Trojan.Encoder.31251
BitDefender -> Trojan.GenericKD.33538863, Generic.Ransom.Corona.C6172AAD
ALYac -> Trojan.Ransom.MBRlock
Avira (no cloud) -> TR/Ransom.MBRlock.nwhir, TR/ATRAPS.Gen5
ESET-NOD32 -> A Variant Of Win32/MBRlock.AR
Fortinet -> W32/Upatre.AR!tr.dldr
Kaspersky -> Trojan-Downloader.Win32.Upatre.imly, Trojan-Downloader.Win32.Upatre.imoc
Malwarebytes -> Ransom.CoronaVirus
Microsoft -> Ransom:Win32/Filecoder.PF!MTB
 Qihoo-360 -> Win32/Trojan.Downloader.f9c, Win32/Trojan.Downloader.c98
Rising -> Trojan.Ransom.Satan.e (CLOUD), Trojan.Ransom.Satan.e (CLASSIC)
Symantec -> Trojan.Gen.MBT, Ransom.Gen, Ransom.Cryptolocker
Tencent -> Win32.Trojan-downloader.Upatre.Alsb, Malware.Win32.Gencirc.1134ca07
TrendMicro -> Ransom.Win32.MBRLOCK.AA, Ransom.Win32.KOROWNA.THCACBO
---
Обнаружения для файла трояна Kpot:
DrWeb -> Trojan.PWS.Steam.17860
ALYac -> Trojan.Stealer.Kpot
Avira (no cloud) -> TR/AD.Khalesi.wmfdt
BitDefender -> Trojan.GenericKD.33533023
ESET-NOD32 -> A Variant Of Win32/Kryptik.HBVI
Fortinet -> W32/Kryptik.HBVI!tr
Kaspersky -> Trojan.Win32.Zenpak.wsd
Malwarebytes -> Trojan.Dropper
Rising -> Trojan.Kryptik!8.8 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Zenpak.Hupk
 ---

 © Генеалогия: Satana Ransomware + unknown >> CoronaVirus Ransomware
Родство подтверждено сервисом IntezerAnalyzer >>
Изображение — логотип статьи 

К зашифрованным файлам добавляется не расширение, а приставка: coronavi2022@protonmail.ch___

 Примеры зашифрованных файлов: 
coronavi2022@protonmail.ch___support.txt
coronavi2022@protonmail.ch___bugreport.html
coronavi2022@protonmail.ch___techinfo.rtf


 Этимология названия и пояснения: 
Создатели распространители решили сыграть на громком названии вирусной эпидемии COVID-19 (аббревиатура от англ. COrona VIrus Disease 2019), сокращенно CoronaVirus, и добавили это слово в свои вымогательские тексты. 
Cover-Ransomware — я ввел новое название для программ-вымогателей, которые являются прикрытием для установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя подобным образом,  уже были описаны в нашем Дайджесте, но мы не выделяли это в отдельный вид. 
В различных Cover-Ransomware вредоносным компонентом могут быть трояны различного действия, банковские трояны (банкеры), инфостилеры, стиратели, деструкторы, doxware, майнеры и прочие. Описание смотрите в нашем Глоссарии
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на начало марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: CoronaVirus.txt


Содержание записки о выкупе:
CORONAVIRUS is there
All your file are crypted. 
Your computer is temporarily blocked on several levels. 
Applying strong military secret encryption algorithm.
To assist in decrypting your files, you must do the following:
1. Pay 0.008 btc to Bitcoin wallet bc1q3v6far85gtdsrk4zu4fuhphheyqprwmuv62n92 or purchase the receipt Bitcoin;
2. Contact us by e-mail: coronaVi2022@protonmail.ch and tell us this your 
unique ID: D138101D44FEE2EB88495A67EEED1E89
and send the link to Bitcoin transaction generated or Bitcoin check number.
After all this, you get in your email the following:
1. Instructions and software to unlock your computer
2. Program - decryptor of your files.
Donations to the US presidential elections are accepted around the clock.
Desine sperare qui hic intras! [Wait to payment timeout 25 - 40 min]

 Перевод записки на русский язык:
КОРОНАВИРУС здесь
Все ваши файлы зашифрованы.
Ваш компьютер временно блокирован на нескольких уровнях.
Применен сильный военный секретный алгоритм шифрования.
Для расшифровки ваших файлов вы должны сделать следующее:
1. Оплатить 0.008 btc на биткойн-кошелек bc1q3v6far85gtdsrk4zu4fuhphheyqprwmuv62n92 или купить биткойны чеком;
2. Написать нам на email: coronaVi2022@protonmail.ch и сообщить нам свой
уникальный ID: D138101D44FEE2EB88495A67EEED1E89
и отправить ссылку на сгенерированную биткойн-транзакцию или номер биткойн-чека.
После всего этого вы получите в своем письме следующее:
1. Инструкции и программу для разблокировки компьютера
2. Программа - дешифровщик ваших файлов.
Пожертвования на выборы президента США принимаются круглосуточно.
Desine sperare qui hic intras! [Подождите окончания платежа 25 - 40 минут]

Запиской с требованием выкупа также выступают тексты на экране, которые появляются после перезагрузки системы: 



Текст обоих примерно соответствует тексту из записки, с небольшими отличиями. Подробности в следующем разделе статьи. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Для автоматического распространения вредоносного ПО злоумышленники создали веб-сайт www.wisecleaner.best, который внешне является копией официального сайта известной безопасной программы для восстановления данных Wise Data Recovery (www.wisecleaner.com). На момент проверки сайта загрузки на этом сайте неактивны, но ранее с него распространялся файл WSHSetup.exe, который выполняет функцию загрузчика для CoronaVirus Ransomware и трояна-инфостилера Kpot.

 WSSetup.exe после запуска пытается загрузить 7 файлов с сайта trynda.xyz (во время проверки смогли загрузиться только два файла file1.exe и file2.exe), затем устанавливает файл шифровальщика и троян Kpot. Предназначение остальных файлов неизвестно. 


 Во время нашей проверки сайт злоумышленников ещё был активен и система Google по проверке безопасности сайтов сообщила, что недавно на сайте на www.wisecleaner.best было обнаружено вредоносное ПО. 

 

 Поэтому, если вы используете настоящий браузер Google Chrome, а не одну из подделок и клонов, то у вас при открытии этого сайта должно появиться такое предупреждение. Официальный браузер Google Chrome можно скачать по этой ссылке.

 Официальный сайт программы для восстановления данных Wise Data Recovery (https://www.wisecleaner.com) выглядит следующим образом:

 



 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ По мнению исследователей, CoronaVirus Ransomware используется в качестве прикрытия (англ. cover) для распространения инфекции трояна Kpot, а не для получения выкупных платежей. Поэтому сумма выкупа довольно невелика по сравнению с другими вымогателям. 

 Таким образом, в данном случае основным вредоносом является троян Kpotпредназначенный для кражи различной личной информации, включая учетные данные из установленных приложений и браузеров, игровых клиентов, почты и других служб, включая кошельки электронных платежных систем и хранения криптовалюты. Украденная информация отправляется на сайт злоумышленников.

➤ Пытается удалить теневые копии файлов, используя команды:
Delete Shadows /All /Quiet
delete backup -keepVersions:0 -quiet
delete systemstatebackup -keepVersions:0 -quiet

 ➤ Добавляется в Автозагрузку Windows.
➤ Перезаписывает MBR жесткого диска. 
 Изменяет значение двоичного параметра "BootExecute" в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager с используемого по умолчанию на "autocheck autochk * C:\Users\User\AppData\Local\Temp\rdnfs.exe"


Эта операция позволяет запускать исполняемый файл из папки %Temp% перед загрузкой каких-либо служб Windows при запуске системы, чтобы показать жертве экран блокировки с уже знакомым текстом (гламурный цвет букв на чёрном фоне). 


Примечательно, что через 45 минут экран блокировки переключится на немного другое сообщение (белые буквы на чёрном фоне). Здесь также отключена возможность выполнить ввести какие-либо действия или ввести какой-либо код, чтобы вернуться в систему.


И это еще не все "прелести" этого вымогателя. Через 15 минут он загружается обратно в Windows и при входе в систему отображает записку с требованием выкупа — теперь уже файл CoronaVirus.txt. 


✋ Стоп! Если вы дочитали статью до этого места, то вы должны немедленно с другого ПК или мобильного устройства зайти в свои аккаунты и сменить пароли на более сложные. Не забывайте, что троян Kpot уже украл всё, что было на скомпрометированном ПК.



Другие подробности

 ➤ Схема вредоносных действий из рапорта Dr.Web vxCube:

➤ Программа-вымогатель изменяет название системного диска в "CoronaVirus". 

 Такое поведение мы видим впервые, за все время вымогательских атак с использованием Ransomware и шифрования. 

Список файловых расширений, подвергающихся шифрованию:
.acc, .asm, .avi, .bak, .bat, .bmp, .cfu, .cpp, .cry, .csv, .dbf, .dgn, .doc, .dwg, .dxf, .epf, .erf, .gbr, .gho, .gif, .jpe, .jpg, .lic, .mdb, .mdf, .mht, .mov, .mxl, .ods, .odt, .old, .pas, .pdf, .png, .ppt, .rar, .rtf, .sdf, .stl, .tax, .tex, .tif, .txt, .vbs, .vpd, .vsd, .xls, .xml, .zip (49 расширений).

 Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, видео, файлы образов, резервных копий, архивы, файлы лицензий, специальные файлы некоторых прикладных программ и игр. 

 Файлы, связанные с этим Ransomware:
CoronaVirus.txt - название текстового файла
WSSetup.exe - файл-загрузчик CoronaVirus Ransomware
file1.exe - файл трояна Kpot
file2.exe - файл шифровальщика
<random>.exe - случайное название вредоносного файла, в рассматриваемом примере это файлыhfyy.exe, sar.exe, c5ce.tmp.exe и прочие. 

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\hfyy.exe
%TEMP%\sar.exe
%TEMP%\qjpg.exe
%APPDATA%\c5ce.tmp.exe
%APPDATA%\c84f.tmp.exe
C:\Users\User\AppData\Local\Temp\rdnfs.exe

 Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "BootExecute" 
См. ниже результаты анализов.

 Сетевые подключения и связи:
Файльшивый сайт: www.wisecleaner.best
Malware URL: xxxx://trynda.xyz/
Malware URL + file Kpot: xxxx://trynda.xyz/file1.exe
Malware URL + file CoronaVirus: xxxx://trynda.xyz/file1.exe
Malware URL + files: xxxx://trynda.xyz/{3}-{7}.exe
 
 

Email: coronaVi2022@protonmail.ch
BTC: bc1q8r42fm7kwg68dts3w70qah79n5emt5m76rus5u
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Скриноты кода и функций CoronaVirus (от исследователей):
 
  
 

Результаты анализов:
Hybrid analysis (Installer)>>
Hybrid analysis (Ransomware) >>
Hybrid analysis (Kpot) >>
𝚺  VirusTotal analysis (Installer) >>
𝚺  VirusTotal analysis (Ransomware) >>
𝚺  VirusTotal analysis (Kpot) >>
🐞 Intezer analysis (Installer) >>
🐞 Intezer analysis (Ransomware) >>
🐞 Intezer analysis (Kpot) >>
ᕒ  ANY.RUN analysis (Ransomware) >>  AR>>
ⴵ  VMRay analysis (Installer) >>
ⴵ  VMRay analysis (Ransomware) >>
ⴵ  VMRay analysis (Kpot) >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 марта 2020:
Пост в Твиттере >>
Результаты анализов: VT + VT


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as CoronaVirus)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Vitali Kremez
 Andrew Ivanov (author), 
 Lawrence Abrams, dnwls0719
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *