FastWind

FastWind Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, но довольно странным образом, блоками по 16 байт, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп в # BTC, получить дешифровщик и вернуть свои файлы. Оригинальное название: FastWind. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---

© Генеалогия: ??? >> FastWind

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .FastWind


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ransomware.txt

Содержание записки о выкупе:
Your personal ID
[redacted 0x2F0 bytes in base64, chunked per 2 chars] 
 English ☣Your files are encrypted!☣
--------------------------------------------------------------------------------
⬇ To decrypt, follow the instructions below.⬇ 
To recover data you need decrypt tool.
To get the decrypt tool you should:
Send 1 crypted test image or text file or document to fastwindGlobe@protonmail.com
Or alternate mail fastwindGlobe@mail.ee
In the letter include your personal ID (look at the beginning of this document). Send me this ID in your first email to me.
We will give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files.
After we send you instruction how to pay for decrypt tool and after payment you will receive a decrypt tool and instructions how to use it We can decrypt few files in quality the evidence that we have the decoder.
--------------------------------------------------------------------------------
MOST IMPORTANT!!!
Do not contact other services that promise to decrypt your files, this is fraud on their part! They will buy a decoder from us, and you will pay more for his services. No one, except fastwindGlobe@protonmail.com(fastwindGlobe@mail.ee), will decrypt your files.
--------------------------------------------------------------------------------
Only fastwindGlobe@protonmail.com(fastwindGlobe@mail.ee) can decrypt your files 
Do not trust anyone besides fastwindGlobe@protonmail.com(fastwindGlobe@mail.ee) 
Antivirus programs can delete this document and you can not contact us later. 
Attempts to self-decrypting files will result in the loss of your data 
Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваш личный ID
[здесь 0x2F0 байт в base64, разделены по 2 знака]
 English ☣Ваши файлы зашифрованы!☣
--------------------------------------------------------------------------------
⬇ Для расшифровке следуйте инструкциям ниже.⬇ 
Для восстановления данных вам нужен инструмент расшифровки.
Чтобы получить инструмент расшифровки вам нужно:
Отправить 1 зашифрованное тестовое изображение, текстовый файл или документ на fastwindGlobe@protonmail.com
Или альтернативную почту fastwindGlobe@mail.ee
В письме укажите свой личный ID (смотрите в начале документа). Отправьте мне этот ID в своем первом письме.
Мы сделаем вам бесплатную тест-расшифровку нескольких файлов (НЕЦЕННЫХ) и назначим цену для расшифровки всех файлов.
После того, как мы отправим вам инструкцию о том, как оплатить инструмент расшифровки, а после оплаты вы получите инструмент для расшифровки и инструкции по его использованию. Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.
-------------------------------------------------- ------------------------------
САМОЕ ВАЖНОЕ!!!
Не связывайтесь с другими службами, которые обещают расшифровать ваши файлы, это мошенничество с их стороны! Они купят у нас декодер, а вы заплатите больше за их услуги. Никто, кроме fastwindGlobe@protonmail.com (fastwindGlobe@mail.ee), не расшифрует ваши файлы.
-------------------------------------------------- ------------------------------
Только fastwindGlobe@protonmail.com (fastwindGlobe@mail.ee) могут расшифровать ваши файлы
Не доверяйте никому, кроме fastwindGlobe@protonmail.com (fastwindGlobe@mail.ee)
Антивирусные программы могут удалить этот документ, и вы не можете связаться с нами позже.
Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
Декодеры других пользователей не совместимы с вашими данными, потому что у каждого пользователя уникальный ключ шифрования

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Выполняет шифрования блока из 16-байт с такими же пропусками. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransomware.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fastwindGlobe@protonmail.com, fastwindGlobe@mail.ee
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EduRansom

EduRansom Ransomware

(шифровальщик-НЕ-вымогатель, шифровальщик-обучатель, eduware) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем сообщает, что нужно сделать, чтобы вернуть файлы. Оригинальное название: EduRansom (YourRansom education version). На файле написано: myfile.exe и edu edition of YourRansom. Написан на языке Go. 

Обнаружения:
DrWeb -> Trojan.Encoder.32176
BitDefender -> DeepScan:Generic.Ransom.YourRansom.0648804B
Avira (no cloud) -> TR/FileCoder.mpbqd
ESET-NOD32 -> A Variant Of Win32/Filecoder.NKG
Kaspersky -> Trojan-Ransom.Win32.Crypmod.admf
Qihoo-360 -> Win32/Trojan.Ransom.21c
Rising -> Ransom.Crypmod!8.DA9 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11a63bd1
TrendMicro -> Ransom_Crypmod.R002C0WGG20
VBA32 -> Hoax.Gen
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: YourRansom >> EduRansom (YourRansom education version)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .eduransom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в середине июля 2020 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру. Возможно, что был разработан раньше. 

Сообщение от разработчика шифровальщика:
Just smile :) Please download readme file from https://goo.gl/A7lrFT to decrypt your files. 

Перевод на русский язык:
Улыбнись :) Загрузи файл readme с https://goo.gl/A7lrFT для расшифровки файлов.

Записка, которую можно скачать по ссылке выше, называется: readme.doc

Содержание записки от разработчика EduRansom:
欢迎使用YourRansom教育版，为了测试杀软和以实例警示身边的朋友，我在业余时间随手开发了这款小工具。
Welcome to use YourRansom education version, I developed this program in order to test Anti-Virus Softwares and warn friends by real example.
目前您的文件已被全部加密，本程序使用了AES256+RSA512加密你的文件。解密十分简单，您只需自行破解出一个32位AES密钥即可解密您的所有文件。
Now all your files were encrypted, this program used AES256+RSA512 to encrypt your files. It’s really easy to decrypt, you just need to find out a 32bit key of AES.
当然，您也可以在下面的地址下载解密工具。
You can also download a tool to decrypt your files from next address.
https://goo.gl/J2HSk0
我想你还会需要一个使用指南，请在这里下载（手册仅有中文，懒得写双语了）：
I think you will also need a manual of this tool, just download it here:
https://goo.gl/H6G51u
本人电脑上没有关于该版YourRansom的任何文件留存，这是本人最后一次公开发送YourRansom，如果工具和指南地址失效，请自求多福 :)
There will be NOTHING about this version of ransomware on my computer after I published it, that’s also the last time I publish YourRansom. If the Tool or the manual was deleted by host provider, just smile :)

Перевод записки на русский язык:
Добро пожаловать в YourRansom Education Edition. Я разработал этот гаджет в свое свободное время, чтобы тестировать антивирусные программы и использовать примеры, чтобы предупредить моих друзей.
Добро пожаловать в учебную версию YourRansom. Я разработал эту программу для тестирования антивирусных программ и предупреждения друзей на реальном примере.
В настоящее время все ваши файлы были зашифрованы.Эта программа использует AES256+RSA512 для шифрования ваших файлов. Расшифровка очень проста, вам нужно лишь взломать 32-битный ключ AES, чтобы расшифровать все ваши файлы.
Теперь все ваши файлы были зашифрованы, эта программа использует AES256+RSA512 для шифрования ваших файлов. Это действительно легко расшифровать, вам просто нужно найти 32-битный AES-ключ.
Конечно, вы также можете скачать инструмент для расшифровки по адресу ниже.
Вы можете скачать инструмент для расшифровки ваших файлов со следующего адреса.
https://goo.gl/J2HSk0
Я думаю, что вам также понадобится руководство, пожалуйста, скачайте его здесь (руководство только на китайском языке, мне лень писать на двух языках):
Я думаю, вам также понадобится руководство по использованию этого инструмента, просто скачайте его здесь:
https://goo.gl/H6G51u
У меня нет файлов об этой версии YourRansom на моем компьютере. Это последний раз, когда я отправляю YourRansom публично. Если адрес инструмента и руководства неверен, проверьте себя :)
После того, как я опубликовал ее, на моей машине НИЧЕГО не будет, если я выложу YourRansom, и это последняя версия программы-вымогателя. Если инструмент или руководство были удалены хостером, просто улыбнитесь :)

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.avi, .css, .doc, .gif, .htm, .jpg, .mov, .mp3, .mp4, .mpg, .pdf, .png, .ppt, .rar, .svg, .txt, .xls, .xml, .zip (19 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.doc - название файла с требованием выкупа
myfile.exe - название вредоносного файла
main.go - оригинальное название go-проекта
YourRansom-keygen.exe
YourRansom.dkey
YourRansom.key
YourRansom.private

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:/GoProj/src/YourRansom/main.go
C:\Users\User\AppData\Local\Temp\YourRansom.dkey
C:\Users\User\AppData\Local\Temp\YourRansom.key

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://ys-j.ys168.com/
---
https://goo.gl/A7lrFT
https://mega.nz/file/cQ8XVAZI#iDO9NrNoG6DIaRHuO_ukoNz0CcbgszuCq2tT42mJV9g
https://goo.gl/J2HSk0
https://mega.nz/file/pE8wkSQR#4WbenXAP2JiBMvZvXGiR-LN4EoP0hxSFA9BG8BOta5M

https://goo.gl/H6G51u
https://mega.nz/file/IQtyXSbS#bGudxfWL1kTuSpl3jltSzVUjCXObs7xPkItpnzn19DM

 

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Расшифровка предоставляется разработчиком.
Смотрите ссылки в тексте статьи. 

***

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as YourRansom)
 Write-up, Topic of Support
 * 

 Thanks: 
 xiaopao
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

AgeLocker

AgeLocker Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и корпоративных сетей с помощью алгоритмов X25519 (с кривой ECDH), ChaChar20-Poly1305, HMAC-SHA256, в сочетании с ключом, а затем требует выкуп в 1-7 BTC, чтобы вернуть файлы. В основном атакуются публичные открытые устройства NAS от QNAP. 

Оригинальное название: AgeLocker. Вероятно получил название от использования для шифрования файлов алгоритма шифрования Actually Good Encryption (AGE). Написан на языке Go. Предназначен для Mac и Linux. 

Перед началом шифрования вымогатели, стоящие за AgeLocker, могут похищать файлы своих жертвы, такие как "медицинские данные, сканированные изображения, резервные копии и прочее, что покажется им наиболее ценным". 

Обнаружения:
DrWeb -> Linux.Encoder.72
BitDefender -> Trojan.Ransom.Linux.Cryptor.B
ALYac -> Trojan.Ransom.Linux.Gen
ESET-NOD32 -> A Variant Of Linux/Filecoder.KMDLocker.A
Malwarebytes -> ***
Rising -> ***
Symantec -> ***
TrendMicro -> TROJ_FRS.VSNTKA20
---

© Генеалогия: Age >> AgeLocker

Изображение — логотип статьи

AgeLocker использует инструмент командной строки Age для шифрования файлов жертвы.

К зашифрованным файлам добавляется персонализированное расширение, созданное на основе инициалов жертвы. Шаблон можно записать следующим образом:
.<abbreviated_PC/user_name>
.<personalized_extension>

В одном из рассмотренных примеров было расширение: .sthd2

Имена файлов зашифрованы, кроме того к каждому зашифрованному файлу добавляется текстовый заголовок (хедер), который начинается с URL-адреса age-encryption.org

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа присылается жертве по email и называется: 
security_audit_<company_name>.eml

Содержание записки о выкупе:
Hello ***,
Unfortunately a malware has infected your network and a millions of files has been encrypted using a hybrid encryption scheme. 
File names encrypted too.
Encrypted hosts are:
Storage:
 1. ***
 2. ***
 3. ***
Mac + external drives
 1. ***
 2. ***
 3. ***
You have to pay for decryption in Bitcoins.
The price depends on how fast you write us.
After payment we will send you the tool(for mac and linux) that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption.
The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.), file name shouldn't be changed.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Note: we can answer up to 6-9 hours, because of another timezone.

Перевод записки на русский язык:
Привет ***,
К сожалению, вредоносная программа заразила вашу сеть, и миллионы файлов были зашифрованы с использованием гибридной схемы шифрования.
Имена файлов тоже зашифрованы.
Зашифрованные хосты:
Место хранения:
 1. ***
 2. ***
 3. ***
Mac + внешние накопители
 1. ***
 2. ***
 3. ***
Вы должны заплатить за расшифровку в биткойнах.
Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент (для Mac и Linux), который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки.
Общий размер файлов должен быть менее 4 МБ (не в архиве), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.), имя файла не должно изменяться.
Как получить биткойны
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
Примечание: мы можем ответить до 6-9 часов из-за другого часового пояса. 

Технические детали

Нет данных о распространении, скорее всего может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Специалисты по безопасности от QNAP сообщают, что злоумышленники нацелены на более старые уязвимые версии Photo Station. 

Photo Station - это встроенное приложение, которое позволяет пользователям загружать фотографии на свои устройства NAS, создавать альбомы и удаленно просматривать. Рекомендации QNAP по безопасности >>

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
security_audit.eml - email-сообщение с требованием выкупа

agelocker.go

HOW_TO_RESTORE_FILES.txt

Расположения:

/bin - каталог для бинарных (исполняемых приложений); 

/etc - каталог для конфигурационных файлой, стартовых сценариев;

/home - домашние каталоги пользователей; 

/opt - каталог для установки дополнительных приложений; 

/proc - динамический каталог, содержащий информацию о состоянии системы, включая процессы, исполняемые в данный момент;

/tmp - каталог для временных файлов; 

/usr - каталог для приложений и файлой, доступных всем пользователям;

/var - каталог изменяемых файлох, таких как логи и базы данных;

... и, вероятно, другие. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: age-encryption.org

GitHub: xxxxs://github.com/FiloSottile/age/
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление августа-сентября 2020:

Сообщается о росте активности вымогателей в августа -сентябре. 


Обновление от 22 сентября 2020:

Пост на форуме >>

Расширение: .OU

Обновление от 23-30 сентября 2020:

Статья на сайте BC >>

Статья на сайте BC >>

Обновление от 5 ноября: 

Сообщение >>

Расширение: .kmd 

Записка: HOW_TO_RESTORE_FILES.txt

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Linux.Encoder.72

ALYac -> Trojan.Ransom.Linux.Gen

BitDefender -> Trojan.Ransom.Linux.Cryptor.B

ESET-NOD32 -> A Variant Of Linux/Filecoder.KMDLocker.A

TrendMicro -> TROJ_FRS.VSNTKA20

Обновление от 14 ноября 2020: 

Пост на форуме >>

Расширение: .hz

Записка: HOW_TO_RESTORE_FILES.txt

Обновление 22 ноября 2020:

Сообщение >>

Расширение: .D4 

Записка: HOW_TO_RESTORE_FILES.txt

Email: bobca@xmail.net or contact tor url.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myTweet 
 ID Ransomware (ID as AgeLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 peakapot, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BitRansomware

Bit Ransomware 

Aliases: BitRansomware, DCryptSoft, Readme, LolKek

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов и обычных пользователей с помощью AES+RSA, а затем требует перейти на сайт в сети Tor, чтобы узнать как заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BitRansomware. Язык программирования: C++. На файле написано: DCryptSoft.exe или DCryptSoft BitRansomware.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32178
BitDefender -> Gen:Variant.Fugrafa.62487
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCP
Malwarebytes -> Ransom.Medusa
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Symantec -> Ransom.Cryptolocker
Tencent -> Win32.Trojan.Filecoder.Ednx
TrendMicro -> Ransom_W3CryptoLocker.R002C0DH620
---
 
© Генеалогия: ✂️ DeathRansom + другой код ⇒ Adhubllka > LolKek (test) > BitRansomware 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .readme

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля и продолжилась в августе-октябре 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Read_Me.txt

Содержание записки о выкупе:
Attention! 
All your files, documents, photos, databases and other important files are encrypted
The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.
The server with your decryptor is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
1. Download Tor browser - https://www.torproject.org/ 
2. Install Tor browser 
3. Open Tor Browser 
4. Open link in TOR browser:  xxxx://54fjmcwsszltlixn.onion/* 
5. Follow the instructions on this page 
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
Alternate communication channel here: xxxx://helpqvrg3cc5mvb3.onion/


Перевод записки на русский язык:
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы
Единственный метод восстановления файлов - это покупка уникального дешифратора. Только мы можем предоставить вам этот дешифратор и только мы можем восстановить ваши файлы.
Сервер с вашим дешифратором находится в закрытой сети TOR. Добраться до него можно следующими способами:
-------------------------------------------------- --------------------------------------
1. Загрузите браузер Tor - https://www.torproject.org/
2. Установите браузер Tor.
3. Откройте браузер Tor.
4. Откройте ссылку в браузере TOR: xxxx://54fjmcwsszltlixn.onion/*
5. Следуйте инструкциям на этой странице.
-------------------------------------------------- --------------------------------------
На нашей странице вы увидите инструкции по оплате и получите возможность бесплатно расшифровать 1 файл.
Альтернативный канал связи здесь: xxxx://helpqvrg3cc5mvb3.onion/

---
Другим информатором выступает сайт в сети Tor, на которым содержится больше информации для жертвы.

 

Технические детали

Распространяется через сайты кибер-андеграунда, в том числе и в сети Tor. В партнеры приглашаются распространители инсталляторов и прочего софта, которые регулярно распространяют ПО через свои сайты. Это в основном взломанный и перепакованный софт, из которого убрали официальную регистрацию и автоматические обновления, но вшили ключ, чтобы программа работала без регистрации. Кроме того, там может быть добавлено, что угодно. 

Внимание! Загружайте программы только с официальных сайтов! 
Не загружайте и не используйте взломанный и перепакованный софт! 


Вымогатели выложили на некоторых форумах Даркнета описание программ-вымогателей и пытаются продавать их, называя потенциальных соучастников аффилированными патрнерами. 

Обещают этим, так называемым "аффилированным партнерам" 70% от  выкупа, а 30% забирают себе. Говорят, что не атакуют страны СНГ, но это не гарантирует, что компьютеры пользователей из этих стран не пострадают. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Шифрует все подключенные диски, сетевые ресурсы и скрытые диски. 
Прекращает работу процессов, мешающих шифрованию (базы данных, офисные приложения и пр.). 

➤ Используются: PowerShell, эксплойты и макросы для MS Office. 
Предоставляется расшифровка только 1 зашифрованного файла. 

➤ Добавляет в Автозагрузку Windows файл записки: 

C:\Users\User\AppData\Roaming\Microsoft\Word\STARTUP\Read_Me.txt

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Маркер зашифрованных файлов (вариант августа): MCRYPTO LOCKER

Файлы, связанные с этим Ransomware:
DCryptSoft.exe - DCryptSoft BitRansomware.exe; 
Read_Me.txt - название файла с требованием выкупа; 
<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

 

 

 

---
BTC: 15KSuAFPmL4WuT45HwAM3AVpXf7NRreXCZ и другие (генерируются для каждого партнера). 
Jabber: rick5@xmpp.jp
Email: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: средняя с вариантам.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CRYPTO LOCKER LolKek - июнь-июль 2020

myCRYPTO LOCKER (BitRansomware) - июль 2020

MCRYPTO LOCKER (BitRansomware) - август 2020

***что-то еще*** - сентябрь 2020

uCRYPTO LOCKER (BitRansomware) - октябрь 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант от 9 июля 2020:
Сообщение >>
Расширение: .readme
Записка: Read_Me.txt 

Пытается выдавать себя за новый вариант Adhubllka (возможно они связаны). 

---

Маркер зашифрованных файлов: myCRYPTO LOCKER

Сумма выкупа: 0.401 BTC ($3700)
BTC: 1DfgB3aN9uxH9QmCaxxMHqxrcxTHz45C2e
Tor URL: xxxx://7rzpyw3hflwe2c7h.onion/
Tor URL-2: xxxx://helpqvrg3cc5mvb3.onion/
URL: 

Файл: VlKvi.exe 

Результаты анализов: IOS: VT, IA

MD5: 47c8e87ea31312b22b44904833336cc9

 

Обновление от 20 октября 2020: 

Сообщение >>

Топик на форуме >>

Самоназвание: Crypto Locker и W3CRYPTO LOCKER

Расширение: .ReadMe

Email: filessupport@cock.li

Этот адрес также используется в GlobeImposter Ransomware (23-11-20) >>

Маркер зашифрованных файлов: uCRYPTO LOCKER

Записка: Read_Me.txt

➤ Содержание записки:

Attention!

All your files are encrypted

if you want to recover files write to email filessupport@cock.li

or create ticket here: ***

---

IOS: VT, IA, AR, TG

MD5: 3b6717ec0be808f5d41ac46ec0056aca

➤ Обнаружения:

DrWeb -> Trojan.Encoder.32178

ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/FileCoder.rddnk

BitDefender -> Gen:Variant.Fugrafa.62487

ESET-NOD32 -> A Variant Of Win32/Filecoder.OCP

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:MSIL/W3CryptoLocker.SK!MTB

Rising -> Trojan.Filecoder!8.68 (TFE:5:vS4hrXmF9DB)

Symantec -> Ransom.Cryptolocker

Tencent -> Win32.Trojan.Falsesign.Llhn

TrendMicro -> Ransom_W3CryptoLocker.R002C0DJK20

Информация из исполняемого файла

Маркер зашифрованных файлов

Образец от 6 ноября 2020:

IOS: VT, IA, TG

➤ Обнаружения:

BitDefender -> Gen:Variant.Razy.652970

DrWeb -> Trojan.Encoder.33008

ESET-NOD32 -> A Variant Of Win32/Filecoder.OEF

Сообщение от 11 ноября 2020: 

Сообщение >>

Расширение: .ReadMe

Email: filessupport@cock.li

IOS: VT, IA

MD5: 69a28b337963ca1d1d800b9ced2fe73a

Сообщение от 16 ноября 2020: 

Сообщение >>

Расширение: .ReadMe

Email: filessupport@cock.li

Маркер зашифрованных файлов: BCRYPTO LOCKER

=== 2021 ===

Вариант от 29-30 мая 2021:

Пост на форуме >>

Сообщение >>

Расширение: .ReadMe

Tor-URL: 24cduc2htewrcv37.onion

helpqvrg3cc5mvb3.onion

Email: filessupport@cock.li 

Результаты анализов: VT

➤ Содержание записки: 

Attention! 

All your files, documents, photos, databases and other important files are encrypted

The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.

The server with your decryptor is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

1. Download Tor browser - https://www.torproject.org/

2. Install Tor browser 

3. Open Tor Browser 

4. Open link in TOR browser: xxxx://24cduc2htewrcv37.onion/***

5. and open ticket 

----------------------------------------------------------------------------------------

Alternate communication channel here: xxxx://helpqvrg3cc5mvb3.onion/

Your ID

72 F6 C1 AD 37 AD 95 83 61 F8 AC 47 11 6D B5 87

***

 

Вариант от 18 августа 2021:

Топик на форуме >>

Сообщение >>

Сообщение >>

Расширение: .MME

Tor-URL включает в себя первые три знака расширения или наоборот.

Записка: Read_Me.txt

Результаты анализов: VT + IA

Маркер зашифрованных файлов: CRYPTO LOCKER

➤ Содержание записки: 

Attention! 

All your files, documents, photos, databases and other important files are encrypted

The only method of recovering files is to purchase an unique decryptor. Only we can give you this decryptor and only we can recover your files.

The server with your decryptor is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

1. Download Tor browser - https://www.torproject.org/ 

2. Install Tor browser 

3. Open Tor Browser 

4. Open link in TOR browser: xxxx://mmeeiix2ejdwkmseycljetmpiwebd***

5. and open ticket 

----------------------------------------------------------------------------------------

Alternate communication channel here: ***

=== 2022 ===

Вариант от 25 февраля 2022 или раньше: 

Сообщение >>

Расширение: .mrv

➤ Содержание записки: 

Attention!   

All your files, documents, photos, databases and other important files are encrypted  

The only method of recovering files is to purchase an unique decryptor. 

Only we can give you this decryptor and only we can recover your files.   

The server with your decryptor is in a closed network TOR. 

You can get there by the following ways:  

---------------------------------------------------------------------------------------- 

1. Download Tor browser - https://www.torproject.org/  

2. Install Tor browser  

3. Open Tor Browser  

4. Open link in TOR browser:   xxxx://mrv44idagzu47oktcipn6tlll6nzapi6pk3u7ehsucl4hpxon45dl4yd.onion/***

5. and open ticket   

---------------------------------------------------------------------------------------- 

Alternate communication channel here: ***

=== 2023 ===

Варианты января-марта 2023: 

Сообщение на форуме >>

Разные варианты, с разными расширения: .U2K, .OBC, .34V

Возможно используется шаблон: .<random{3]>

Tor-URL по-прежнему включает в себя первые три знака расширения или наоборот.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myTweet
 ID Ransomware (ID as LolKek)
 Write-up, Topic of Support
 * 

 Thanks: 
 3xp0rt, Jirehlov Solace, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.