Rogue HT

Rogue HT Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Rogue (указано в расширение и на сайте вымогателей). На файле написано: compito italiano.doc. Видеообзор от Cyber Security GrujaRS >>

Обнаружения:
DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.31711
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.33760739
ALYac -> Trojan.Ransom.Rogue
Avira (no cloud) -> HEUR/AGEN.1001382
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK, A Variant Of MSIL/Filecoder.FU
McAfee -> Ransomware-FTD!042A6755ED9E
Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win32/HiddenTear.gen
Rising -> Ransom.HiddenTear!1.C2BD (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom_RAMSIL.SM, Ransom_HiddenTear.R002C0DE120
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: HiddenTear >> Rogue HT

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .rogue


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Your personal files have been ecrypted
Go on these websites
xxxx://dey574i76jyfd75itvu6r875.altervista.org/
xxxx://kugiutftyi67fhjoiu9897ty.altervista.org/
xxxx://fi7t67rfug8i6657476fo8yy.altervista.org/
xxxx://vctrrte5htfee65yfrtweyu7.altervista.org/

Перевод записки на русский язык:

Ваши личные файлы были зашифрованы
Перейти на эти сайты
xxxx://dey574i76jyfd75itvu6r875.altervista.org/
xxxx://kugiutftyi67fhjoiu9897ty.altervista.org/
xxxx://fi7t67rfug8i6657476fo8yy.altervista.org/
xxxx://vctrrte5htfee65yfrtweyu7.altervista.org/


Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола: 

 

Содержание текста с изображения:
ROGUE RANSOMWARE
Your documents, photos, databases and other important files
have been encrypted
if you understand all importance of situation
then we propose to you to go directly on your personal page
where you will receive the complete instructions
and guarantees to restore your files.
there is a list of temporaney addresses
to go on your personal page below:
xxxx://dey574i76jyfd75itvu6r875.altervista.org/
xxxx://kugiutftyi67fhjoiu9897ty.altervista.org/
xxxx://fi7t67rfug8i6657476fo8yy.altervista.org/
xxxx://vctrrte5htfee65yfrtweyu7.altervista.org/

Перевод текста на русский язык:
ROGUE RANSOMWARE
Ваши документы, фотографии, базы данных и другие важные файлы
были зашифрованы
если вы понимаете всю важность ситуации
тогда мы предлагаем вам зайти прямо на вашу личную страницу
где вы получите полную инструкцию
и гарантирует восстановить ваши файлы.
есть список временных адресов
перейти на вашу личную страницу ниже:
xxxx://dey574i76jyfd75itvu6r875.altervista.org/
xxxx://kugiutftyi67fhjoiu9897ty.altervista.org/
xxxx://fi7t67rfug8i6657476fo8yy.altervista.org/
xxxx://vctrrte5htfee65yfrtweyu7.altervista.org/

Скриншоты с сайта вымогателей:

Содержание страницы сайта:
INSTRUCTIONS
send 0.05 BTC to
3GSN4bjDXiBwUGHefE7vkcZA78hMcocXrb
Go to Payment
and click Payment received
for your key contact 509@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
compito italiano.doc.exe - исполняемый файл
READ_IT.txt - название файла с требованием выкупа
rogue.png - изображение загружаемое с сайта wannadie.altervista.org
System.CodeDom.dll - сопутствующий файл
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://wannadie.altervista.org/rogue.png
Email: 509@protonmail.com
BTC: 3GSN4bjDXiBwUGHefE7vkcZA78hMcocXrb
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>
ᕒ  ANY.RUN analysis >>  AR>  AR>
ⴵ  VMRay analysis >>  VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 мая 2020:
Пост в Твиттере >>
Файл: Attachment.exe
Результаты анализов: VT + HA + IA + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31711
BitDefender -> Trojan.GenericKD.33760739
ESET-NOD32 -> A Variant Of MSIL/Filecoder.FU
Microsoft -> Ransom:Win32/HiddenTear.gen
TrendMicro -> Ransom_HiddenTear.R002C0DE120

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Jeno

Jeno Ransomware

Aliases: Jest, Valeria

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.31420
BitDefender -> Gen:Heur.Ransom.Imps.1
Avira (no cloud) -> TR/Dropper.Gen
ESET-NOD32 -> Win32/Filecoder.OBM
Malwarebytes -> Ransom.Valeria
Rising -> Ransom.Agent!1.C2C9 (CLOUD)
TrendMicro -> TROJ_GEN.R067C0RD220
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: FunFact ? >> Jeno (Jest, Valeria)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .jest

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи и спустя 2 недели после этого нет никаких данных о распространении. Возможно, они малочисленны. 

Из-за ошибки в программе или специального умысла не указано никаких контактов для связи, поэтому можно предположить, что вымогатели не собирались возвращать файлы даже после уплаты выкупа. Уплата выкупа бесполезна! 

Записка с требованием выкупа называется: note.ini

Записка с требованием выкупа запускается с помощью команды, которая запускает Блокнот для открытия этого файла. 

Содержание записки:
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are 
busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
If you want to decrypt all your files, you need to pay.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payment>.
Once the payment is checked, you can start decrypting your files immediately.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If 
your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!
1. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites:
https://cex.io/
https://www.binance.com/
https://www.coinbase.com/
2. After then, if you already have Bitcoins, pay us 0.3 BTC on following our Bitcoin address.
3. Then, press the "Check Payment" button. We will automatically decrypt your files, after bitcoin transfer.
Send 0.3 BTC to; 
1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy

Перевод текста записки:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие ваши документы, фото, видео, базы данных и другие файлы больше не доступны, потому что они зашифрованы. Может быть, вы ищете способ восстановить ваши файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашего сервиса расшифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы. Но у вас не так много времени.
Если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
Как мне оплатить?
Оплата принимается только в биткойнах. Для получения дополнительной информации нажмите <About bitcoin>.
Пожалуйста, проверьте текущую цену Биткойна и купите немного биткойнов. Для получения дополнительной информации нажмите <How to buy bitcoins>.
И отправьте правильную сумму по адресу, указанному в этом окне.
После оплаты нажмите <Check Payment>.
После того, как платеж проверен, вы можете немедленно приступить к расшифровке файлов.
Мы настоятельно рекомендуем вам не удалять эту программу и отключить антивирус на некоторое время, пока вы не оплатите и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, он не сможет восстановить ваши файлы, даже если вы заплатите!
1. Чтобы заплатить нам, вы должны использовать валюту Биткойн. Вы можете легко купить биткойны на следующих сайтах:
https://cex.io/
https://www.binance.com/
https://www.coinbase.com/
2. После этого, если у вас уже есть биткойны, заплатите нам 0.3 BTC, на следующий наш биткойн-адрес.
3. Затем нажмите кнопку "Check Payment". Мы автоматически расшифруем ваши файлы после перевода биткойнов.
Отправьте 0.3 BTC на;
1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy

Другим информатором жертвы выступает экран блокировки с тем же текстом и таймером:

Еще одним информатором жертвы является изображение, заменяющее обои Рабочего стола. 

Содержание текста с изображения:
!! ATTENTION !!
YOUR FILES HAVE BEEN ENCRYPTED!
All of your documents, photos, databases and other important files have been encrypted with RSA encryption.
You will not be able to recover your files without the private key which has been saved on our server.
An antivirus can not recover your files.
View the file "Decryption Notes" on your Desktop to fix this.
Send 0.3 BTC To: 1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy

Перевод текста на русский язык:
ВНИМАНИЕ !!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Все ваши документы, фото, базы данных и другие важные файлы зашифрованы с шифрованием RSA.
Вы не сможете восстановить ваши файлы без закрытого ключа, который был сохранен на нашем сервере.
Антивирус не может восстановить ваши файлы.
Чтобы исправить это, просмотрите файл "Decryption Notes" на Рабочем столе.
Отправь 0.3 BTC на: 1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy

Технические детали

На момент написания статьи и спустя 2 недели после этого нет никаких данных о распространении. Возможно, что образец был пробной разработкой и не распространялся разработчиком с целью получения выкупа. Иначе бы был указан хотя бы один контакт для связи. Транзакции у BTC-кошелька, указанного в запсике, пустые. 

После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.3fr, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ai, .arw, .asp, .aspx, .backupdb, .bak, .bas, .bay, .cdr, .cer, .cfg, .class, .conf, .config, .cpp, .cr2, .crt, .crw, , cs, .css, .db, .dbf, .den, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .edb, .eps, .erf, .fit, .htm, .html, .indd, .java, .jpe, .jpeg, .jpg, .kdc, .log, .mail, .mdb, .mdf, .mef, .mrw, .ned, .nef, .nrp, .nrw, .ntm, .odb, .odm, .odp, .ods, .odt, .orf, .ost, .ovf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .proj, .psd, .pst, .py, .pyc, .r3d, .rar, .raw, .rtf, , rw2, .rwl, .sldm, .sldx, .sin, .sql, .srf, .srw, .txt, .vb, .vmdk, .vmx, .wb2, .wpd, .wps, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (132 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
note.ini - название файла с требованием выкупа
jeno2.exe (recover.exe)
README - Decryption Note.lnk - ссылка на Рабочем столе
LNK -> C:\Windows\System32\notepad.exe
img0.jpg - изображение, заменяющее обои Рабочего стола
encryptedfiles.eco - специальный файл
<random>.exe - случайное название вредоносного файла
x64.exe
rps.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\note.ini
C:/Windows/Web/Wallpaper/Windows/img0.jpg

➤ Для замены обоев используется следующая команда:
C:\Windows\System32\takeown.exe /F C:\Windows\Web\Wallpaper\Windows\img0.jpg
C:\Windows\System32\icacls.exe C:\Windows\Web\Wallpaper\Windows\img0.jpg /grant Users:F

➤ Выполняет PowerShell-сценарий для удаления любых журналов.

Скриншоты свойств файла jeno2.exe:

 

Скриншоты кода от исследователей:

 

Маркер и содержимое зашифрованного файла:
JEST!

Созданные процессы:
C:\ProgramData\recover.exe
C:\Windows\System32\wbem\WMIC.exe shadowcopy delete
C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
C:\Windows\System32\taskkill.exe /F /IM MSExchange*
C:\Windows\System32\taskkill.exe /F /IM Microsoft*
C:\Windows\System32\taskkill.exe /F /IM vmware*
C:\Windows\System32\taskkill.exe /F /IM Tomcat*
C:\Windows\System32\taskkill.exe /F /IM ora*
C:\Windows\System32\taskkill.exe /F /IM tns*
C:\Windows\System32\taskkill.exe /F /IM mysql*
C:\Windows\System32\taskkill.exe /F /IM sql*

Команды оболочки:
RD.exe /s C:\$Recycle.Bin /Q
wmic.exe shadowcopy delete
vssadmin.exe delete shadows /all /quiet
wbadmin.exe delete catalog -quiet
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {default} recoveryenabled no
taskkill.exe /F /IM MSExchange*
taskkill.exe /F /IM Microsoft*
taskkill.exe /F /IM vmware*
taskkill.exe /F /IM Tomcat*
taskkill.exe /F /IM ora*
taskkill.exe /F /IM tns*
taskkill.exe /F /IM mysql*
taskkill.exe /F /IM sql*

Завершенные процессы:
recover.exe
C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
C:\Windows\System32\wbem\WMIC.exe shadowcopy delete
C:\Windows\System32\taskkill.exe /F /IM MSExchange*
C:\Windows\System32\taskkill.exe /F /IM Microsoft*
C:\Windows\System32\taskkill.exe /F /IM vmware*
C:\Windows\System32\taskkill.exe /F /IM Tomcat*
C:\Windows\System32\taskkill.exe /F /IM ora*
C:\Windows\System32\taskkill.exe /F /IM tns*
C:\Windows\System32\taskkill.exe /F /IM mysql*
C:\Windows\System32\taskkill.exe /F /IM sql*

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно расшифровать с помощью специалистов X-Force IRIS
Для информации перейдите по следующей ссылке >>
Мы никак не связаны с ними и не консультируем по этому вопросу. 

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
Added later: Write-up by X-Force IRIS (on May 15, 2020)

 Thanks: 
 Petrovic, S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 X-Force IRIS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

XerXes

XerXes Ransomware

Android Xerxes bot

(шифровальщик-вымогатель для Android) (первоисточник)

Translation into English

Этот крипто-вымогатель для Android шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Банковский троян с дистанционным управлением и функцией программы вымогателя.

Обнаружения:
DrWeb -> Android.BankBot.2448, Android.BankBot.2482, Android.RemoteCode.6833

BitDefender -> Trojan.GenericKD.42976269

BitDefenderFalx -> Android.Trojan.Banker.OV
Avira (no cloud) -> ANDROID/Dropper.FOOZ.Gen, ANDROID/Dldr.Agent.PAE.Gen
ESET-NOD32 -> A Variant Of Android/TrojanDropper.Agent.EQH, A Variant Of Android/TrojanDropper.Agent.ESG, A Variant Of Android/TrojanDownloader.Agent.JN
Kaspersky -> HEUR:Trojan-Dropper.AndroidOS.Hqwar.ce, HEUR:Trojan-Downloader.AndroidOS.Agent.jy
Malwarebytes ->
Microsoft -> Trojan:AndroidOS/Coravin.A!MTB, HackTool:AndroidOS/Mesploit.B!MTB

Qihoo-360 -> Trojan.Android.Gen, Other.Android.Gen

Sophos -> Andr/Banker-GZG, Android Metasploit (PUA)

Symantec -> Trojan.Gen.2, Trojan.Gen.MBT

Symantec Mobile Insight -> Other:Android.Reputation.1

Tencent -> A.privacy.AnubisTrojanBanking, HackTool.Android.Metasploit.awe

TrendMicro -> Trojan.Linux.BANKER.A


© Генеалогия: Удобная ниша (CNAM) >> Cerberus Malware > XerXes

CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств. 

Я придумал этот термин, чтобы в культурной форме назвать это злачное место. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец ноября 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

 

Содержание записки о выкупе: 

Your phone has been blocked

Because you watched a child pornography and homosexuality directed scenes

All your contacts and files has been blocked

Send email to address for unblock it

Your unique id is:" + client_id + "

"+"

googleprotect@mail.ru

"+"

Перевод записки на русский язык: 

Ваш телефон блокирован

Так как вы смотрели детское порно и сцены гомосексуального направления 

Все ваши контакты и файлы блокированы

Отправьте email на адрес для разблокировки

Ваш уникальный id: "+ client_id +"

"+"

googleprotect@mail.ru

"+"

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<note> - название файла с требованием выкупа;
<random> - случайное название вредоносного файла;

CoronaVirus.apk

CoronaVirus-apps.apk

  

Расположения:

\Android\ ->

\Data\ ->

\Download ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: googleprotect@mail.ru

BTC: - 

C&C: xxxx://newbot.ug

xxxxs://facebook.com/device?user_code=%1$s&qr=1
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>  + IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message + Message + Message
 ID Ransomware (ID as XerXes)
 Write-up: Cerberus Malware, Cerberus Malware 
 * 

 Thanks: 
 MalwareHunterTeam, Lukas Stefanko, Michael Gillespie et al.
 Andrew Ivanov (article author)
 Intezer Analyze
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.