BeijingCrypt

BeijingCrypt Ransomware

BeijingCrypt NextGen Ransomware

Aliases: montana, genesis, 520, 360, LockXXX, fc

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Использует библиотеку Crypto++. 

На исполняемых файлах написано: beijing.exe, beijing_en.exe или что-то еще. Устанавливает для зашифрованных файлов атрибут "Read-only" (Только чтение). 

---
Обнаружения:
DrWeb -> Trojan.Encoder.29768
BitDefender -> Gen:Variant.Ransom.Hermes.140
Avira (no cloud) -> TR/FileCoder.hiflh
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Kaspersky -> Trojan-Ransom.Win32.Encoder.jqe
Rising -> RRansom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0GGT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Hermes837 >> BeijingCrypt  ⇒ Lockxx?

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .beijing


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !RECOVER.txt

Содержание записки о выкупе:
ALL YOUR DATA WAS ENCRYPTED
Whats Happen?
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has extension ***
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant re***
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data ***
In practise - time is much more valuable than money.
What should You include in your message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
Free decryption as quaranteel
Before paying you send us up to 2 files for free decryption.
Send pictures, text files, (files no more than 1mb)
If you upload the database, your price will be doubled
Contacts:
beijing520@aol.com
beijing520@cock.li
Your Personal ID: Jw2ABj+iHmuF4UcS7Zy9MX0p/wnnA8i88Kw1YcViz***

Перевод записки на русский язык:
Все ваши данные были зашифрованы
Что случилось?
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение ***
Кстати, все можно восстановить, но нужно следовать нашим инструкциям. Иначе вы не можете вернуть ***
Какие гарантии?
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды.
Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать.
Это не в наших интересах.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные ***
На практике время гораздо ценнее денег.
Что Вы должны включить в свое сообщение?
1. Ваша страна и город
2. Этот текстовый файл
3. Некоторые файлы для бесплатной расшифровки
Бесплатная расшифровка как карантин
Перед оплатой вы отправляете нам до 2 файла для бесплатной расшифровки.
Отправьте картинки, текстовые файлы (файлы не более 1 Мб)
Если вы загрузите базу данных, ваша цена будет удвоена
Контакты:
beijing520@aol.com
beijing520@cock.li
Ваш личный ID: Jw2ABj+iHmuF4UcS7Zy9MX0p/wnnA8i88Kw1YcViz***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!RECOVER.txt - название файла с требованием выкупа
beijing_en.exe

Дата создания файла подтверждает родство этого вымогателя с ранними вариантом, известным как Hermes837 Ransomware. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: beijing520@aol.com, beijing520@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Haka Ransomware - июль 2019

Hermes837 Ransomware - август, сентябрь 2019

BeijingCrypt Ransomware - июль 2020

BeijingCrypt NextGen Ransomware - июль 2020 - 2022

360 Ransomware - февраль 2022 - 2023

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 18 августа 2020 >>

Записка: !RECOVER.txt

Email: beijing520@aol.com, beijing520@cock.li

Результаты анализов: VT + IA

Сообщение от 19 сентября 2020 >>

Расширение: .montana

Email: montanarecover@aol.com, montanarecover@cock.li

Записка: !HELP!.txt

➤ Содержание записки:

Hello.

If you are reading this, it means your data is encrypted and your private sensivitive information was stolen!

Read carefully the whole instructions to avoid problems with your data.

You have to contact us immediately to resolve this issue and make a deal!

!!!WARNING!!!

DO NOT modify, rename, copy or move any file. You can DAMAGE them and decryption will be impossible!

DO NOT use any third-party or public decryption software, it also may DAMAGE files.

There is ONLY ONE possible way to get back your files.

Do not waste your time, contact us and pay for special DECRYPTION TOOL. The tool is all you need.

For your guarantee we can decrypt 2 of your text or image files for free, as a proof that it works.

Your network was fully COMPROMISED! We can discuss how to secure it as a bonus.

The data that we gathered could be published in MASS MEDIA for BREAKING NEWS!

If we make a deal everything would be kept in secret and all your data will be restored.

I could make them public them if you decide not to pay.

Contact us immediately:

montanarecover@aol.com

montanarecover@cock.li

Your Personal ID: ***

Сообщение от 23 октября 2020 >>

Расширение: .montana

Записка: !HELP!.txt

Email: montanarecover@mail.ee or montanarecover@cock.li

Результаты анализов: VT + IA

Сообщение от 27 ноября 2020:

Расшиение: .genesis

Записка: !HELP!3.txt

Email: genesishelp@mail.ee, genesishelp@cock.li

Результаты анализов: VT 

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.29768

Avira (no cloud) -> TR/FileCoder.hiflh

BitDefender -> Gen:Variant.Ransom.Hermes.140

ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU

Microsoft -> Ransom:Win32/Filecoder.BA!MTB

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Filecoder.Wpjl

TrendMicro -> Ransom.Win32.HERMES.SMDS

=== 2021 ===

*** пропущенные варианты ***

Вариант от 6 августа 2021: 

Сообщение >>

Сообщение >>

Расширение: .file

Записка: !README!.txt

Email: recofile@mail.ee, recofile@mailfence.com

Результаты анализов: VT + IA

Вариант от 13 октября 2021:

Сообщение >>

Расширение: .520

Email: 520hard@mail.ee, 520hard@cock.li

=== 2022 ===

Вариант февраля 2022, повторное обнаружение в декабре 2022:

Дополнительное название: Crypt360 Ransomware

Сервис "ID Ransomware" идентифицирует этот вариант как LockXXX, хотя должно быть BeijingCrypt. 

Это может быть из-за специального файла: __lock_XXX__ 

Расширение: .360

Записка: !_INFO.txt

Email: 360recover@gmail.com, 360support@cock.li или другие с "360"

➤ Содержание записки:

WARNING! YOUR FILES ARE ENCRYPTED!

Don’t worry, your files are safe, provided that you are willing to pay the ransom.

Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!

Do not rename your files. It will damage it.

The only way to decrypt your files safely is to buy the special decryption software from us.

Before paying you can send us up to 2 files for free decryption as guarantee. No database files for test.

Send pictures, text, doc files. (files no more than 1mb)

You can contact us with the following email

360recover@gmail.com

360support@cock.li

Send us this ID or this file in first email

ID: Nwn***

+M=:63e***

---

Спасибо KDSS Support за образец! 

Результаты анализов: TG + VT + IA

Обнаружения: 

DrWeb -> Trojan.Encoder.34423

BitDefender -> Trojan.GenericKD.64570983

ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU

Microsoft -> Ransom:Win32/Hermes.MAK!MTB

TrendMicro -> Ransom.Win32.MERHESCRYPT.SMYCCEZ

Вариант апреля 2022:

Сообщение >>

Топик на форуме >>

Сервис "ID Ransomware" идентифицирует этот вариант как LockXXX, хотя должно быть BeijingCrypt. 

Это может быть из-за специального файла: __lock_XXX__ 

Расширение: .fc

Записка: !_INFO.txt

Email: fcsupport@mailfence.com, fcrecover@cock.li

➤ Содержание записки:

WARNING! YOUR FILES ARE ENCRYPTED!

Don’t worry, your files are safe, provided that you are willing to pay the ransom.

Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!

The only way to decrypt your files safely is to buy the special decryption software from us.

Before paying you can send us up to 2 files for free decryption as guarantee.

Send pictures, text files. (files no more than 1mb)

You can contact us with the following email

fcsupport@mailfence.com

fcrecover@cock.li

Send us this ID or this file in first email

ID: 07ZuPpd5GiGLcVKAiFW0z85YJ/FYb+5Ceps3***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BeijingCrypt, LockXXX)
 Write-up, Topic of Support
 * 

 Thanks: 
 xiaopao, Michael Gillespie, Oracion
 Andrew Ivanov (author)
 KDSS Support
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Panther

Panther Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 XMR, чтобы вернуть файлы. Оригинальное название: panther. На файле написано: ransom_subpe.exe

Обнаружения:
DrWeb -> Trojan.Encoder.32108
BitDefender -> Gen:Heur.Ransom.Imps.1
Avira (no cloud) -> TR/AD.RansomHeur.ospwe
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCT
Kaspersky -> Trojan-Ransom.Win32.Agent.axvp
Malwarebytes -> Ransom.Panther
Microsoft -> Ransom:Win32/Panther.G!MTB
Rising -> Ransom.Agent!1.C8A5 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Wpjp
TrendMicro -> Ransom.Win32.PANTHER.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Panther > WoodRat

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .panther


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Штамп даты: 30 июня 2020. Китайские исследователи сообщают о майском появлении предыдущей версии. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
LOCKED_README.txt
LOCKED_README.bmp

Первым информатором жертвы является изображение LOCKED_README.bmp, заменяющее обои Рабочего стола, с текстом на английском. 

 

Текст сообщает о необходимости ознакомиться с содержанием файла LOCKED_README.txt (на китайском языке). 

Содержание записки о выкупе:

哎呀...你的全部文件已经被加密,你暂时无法使用他们了 XD
但这不意味着你失去了他们,只要使用一个特殊的key即可解密并恢复你的文件
你大可以尝试你想到的所有方法来恢复你的文件,但相信我,你会浪费一大把时间,
最终依然无法恢复工作.(不信者请自行查阅 'RSA4096位破解')
但如果使用我们的帮助,你可以在一小时内完好如初恢复所有的文件,只要你按照以下的提示来做
 [1] 访问 https://www.torproject.org/download/ 下载 tor browser(洋葱浏览器)
 [2] 安装 ,具体的过程以及配置请百度
 [3] 访问以下地址,阅读事项后可发送"个人ID"以验证你的身份
http://tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
  (注:访问等待较长,请耐心等待)
 如果你无法访问,不妨试试这个 : http://123.57.50.25:5000/
 [3] 根据服务器提示购买密钥后,发送你的 "BIT KEY"
 [4] 稍作等待,你便可以收到我们发送给您的解密器了
 [5] 使用解密器,你可以在一小时内恢复工作
你的个人ID : kyrVAH0ILsN4qSbxQxwVng==
========start BIT KEY========
GoZJmt5eyQ55tK2JSjdnExAeO0sZZm557IxAZU/mBk+z5jRsPjxX5YjrljBoXcG2Lo7/dvgIq
***
========end BIT KEY========
如果你有更多的问题,欢迎联系我们进行咨询!

Перевод на русский язык:
К сожалению... все ваши файлы были зашифрованы, и вы временно не можете их использовать XD
Но это не значит, что вы их потеряли, просто используйте специальный ключ для расшифровки и восстановления ваших файлов
Вы можете попробовать все методы, какие пожелаете, чтобы восстановить ваши файлы, но, поверьте мне, вы потратите много времени,
В конце концов, вы не сможете возобновить работу (неверящие, пожалуйста, почитайте о "взломе RSA4096")
Но если вы воспользуетесь нашей помощью, вы сможете восстановить все файлы без изменений в течение часа, если вы будете следовать инструкциям ниже
[1] Посетите https://www.torproject.org/download/, чтобы загрузить браузер (onion browser)
[2] Про процесс установки и конфигурация, пожалуйста, ищите в Baidu
[3] Посетите следующий адрес, после прочтения можете отправить "личный ID", чтобы подтвердить свою личность
http://tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
(Примечание: время ожидания велико, наберитесь терпения)
Если вы не можете получить к нему доступ, попробуйте это: http://123.57.50.25:5000/
[3] После покупки ключа по запросу сервера отправьте "BIT KEY"
[4] Подождите немного, вы получите расшифровщик, который мы вам отправили
[5] Используя расшифровщик, вы можете возобновить работу в течение часа
Ваш персональный ID: kyrVAH0ILsN4qSbxQxwVng ==
======== начать BIT KEY ========
GoZJmt5eyQ55tK2JSjdnExAeO0sZZm557IxAZU / мБк + z5jRsPjxX5YjrljBoXcG2Lo7 / dvgIq
***
======== end BIT KEY ========
Если у вас есть дополнительные вопросы, пожалуйста, свяжитесь с нами для консультации!

---

Содержание текста на сайте вымогателей:
panther 软件服务,欢迎你 VICTIM
当你看到这个页面,恭喜你距离恢复你的文件又近了一步
请仔细阅读以下注意事项:
[1] 恢复服务不是免费的,而且有时间限制
    -3天以内,均为 '1' xmr(门罗币) 约 300人民币
    -3天至一周之间,价格翻倍
    -一周以上,你的解密密钥将被永久删除,这时没有人可以解密你的文件了
    (如果你不相信,可以去搜索'RSA加密算法破解'了解你的处境 XD)
[2] xmr(门罗币)为数字加密货币,到账需要时间,所以请尽快,不要耽误时机
[3] 有关数字货币购买的方法请自行百度(你需要钱包)
[4] 购买后请将其发送到这个地址 : 
    493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKa
    XdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
    (注意发送时去除换行和空格)
[5]支付后,你可以选择通过本平台联系我们,或者通过邮件,将你的
     *钱包地址
     *个人BIT KEY
发邮件给我们 ( zewen93341@126.com ),我们在收到货款后会立即与你联系解密事项
(推荐以上的自助方式购买,以免因为错过交谈时间而需要加价)
尽快行动吧,我们每天9:00-21:00在线,如果有问题请发消息给我们
如果长时间得不到回复,可以发邮件到 : zewen93341@126.com , 我们会第一时间回复你

Перевод текста на русский язык:
Служба поддержки приветствует вас, panther ЖЕРТВА
Если вы видите эту страницу, поздравляем, вы на шаг ближе к восстановлению ваших файлов
Пожалуйста, внимательно прочитайте следующий текст:
[1] Служба восстановления не является бесплатной и имеет ограничение по времени
    - в течение 3 дней всего 1 XMR (Монеро) около 300 юаней
    - от 3 дней до недели цена удваивается
    - больше одной недели ваш ключ дешифрования будет удален, потом никто не сможет расшифровать ваши файлы
    (Если вы не верите этому, вы можете поискать "взлом алгоритма шифрования RSA", чтобы понять вашу ситуацию XD)
[2] XMR (Монеро) - это криптовалюта шифрования, для ее получения требуется время, поэтому, пожалуйста, сделайте это как можно скорее и не откладывайте возможность
[3] Для метода покупки цифровой валюты, пожалуйста, используйте Baidu (вам нужен кошелек)
[4] Пожалуйста, отправьте его по этому адресу после покупки:
    493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKa
    XdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
    (Обратите внимание, что перенос строки и пробелы удаляются при отправке)
[5] После оплаты вы можете связаться с нами через эту платформу или отправить
     * Адрес кошелька
     * Персональный BIT KEY
Отправьте нам письмо на email (zewen93341@126.com), и мы свяжемся с вами для вопроса расшифровки сразу после получения оплаты.
(Рекомендуем вышеуказанный способ самостоятельной покупки, чтобы не увеличивать цену из-за отсутствия времени на разговор)
Действуйте как можно скорее, мы на сайте каждый день с 9:00-21:00, если у вас есть какие-либо вопросы, пожалуйста, отправьте нам сообщение
Если вы не можете получить ответ в течение долгого времени, вы можете отправить email на адрес: zewen93341@126.com, мы ответим вам как можно скорее.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов.
➤ Использует оболочку виртуализации VMProtect для защиты основного кода вымогателя и внедряет Panther Ransomware в процесс svchost.exe с помощью известной техники атак, называемой Process Hollowing. Данная методика внедрения кода предполагает создание нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным. 

➤ После выполнения шифровальщик поочередно перебирает все логические разделы диска и шифрует пользовательские файлы.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые расширения:
.dll, .exe, .lnk, .sys, .panther

Пропускаемые директории:
Windows
Intel
ProgramData
Program files
Program files (x86)
Temp
Local SettingContent.IE5
$RECYCLE.BIN
Steam

Файлы, связанные с этим Ransomware:
LOCKED_README.txt - название файла с требованием выкупа
LOCKED_README.bmp - изображение, заменяющее обои Рабочего стола
ransom_subpe.exe - исполняемый файл шифровальщика
ransom_loader.vmp.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
URL: http://123.57.50.25:5000/
Email: zewen93341@126.com
XMR (Monero): 493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKaXdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
Этот XMR-кошелек известен с июня 2018 года. 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Инструмент "360 ransomware decryption tools" может расшифровать файлы.
Ссылка: https://free.360totalsecurity.com/totalsecurity/FileDec/desetup_en.exe*
*
Или напишите Майклу Джиллеспи в Твиттер по ссылке >>

- скриншот с результатом расшифровки. 

 Read to links: 
 Tweet on Twitter  + Tweet + Tweet + myTweet
 ID Ransomware (ID as Panther)
 Write-up, Topic of Support
 Added later: Write-up by 360 Total Security (on July 14, 2020)

 Thanks: 
 xiaopao, Michael Gillespie, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Aris Locker

ArisLocker Ransomware

Aris Locker Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB режим) + RSA, а затем требует выкуп $75 в BTC (с угрозой поднятия до $500), чтобы вернуть файлы. Оригинальное название: Aris и Aris Locker. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---


© Генеалогия: ??? >> Aris Locker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aris


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало/середину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
ARIS LOCKER
Hello.
Congrats you have been hit by the ArisLocker so lets talk about recovering your files. First off don't even waste your time with free decrypters.
Aris Locker uses 256 aes bit encryption which means its impossible to bruteforce or attempt to recover your files. So here are the steps to recovering
your files. First off let me prefix this by saying reporting this malware or leaving a bad review on the product will instantly disqualify you from recovering
your files, so if you wish to see your files in any shape or form I reccomend you keep quiet and follow these steps:

---

1. Download BitPay: https://bitpay.com/ This can also be downloaded from the microsoft store.

2. Purchase $75 in bitcoin using the buy crypto option

3. Send that $75 in bitcoin to this addr: {_BITCOIN_ADDR}

4. After you have sent the money send an email to {_EMAIL} saying that you have paid and please Include your user id.

5. Wait roughly 4 hours, I will send you your decrypter and key which can be used to decrypt all files encrypted by the ran

---

YOU HAVE ONE WEEK, AFTER ONE WEEK DECRYPTING YOUR FILES WILL BECOME $500

REPORTING THIS FILE TO ANYONE WILL RESULT IN A FULL LOSS OF FILES

FAILING TO PAY WILL RESULT IN YOUR PERSONAL DETAILS SUCH AS:

- IP

- Address

- Username

Перевод записки на русский язык:
Привет.
Поздравляю, вы попали в ArisLocker, так что поговорим о восстановлении ваших файлов. Во-первых, даже не тратьте свое время на бесплатные расшифровщики.
Арис Локер использует 256-битное шифрование AES, это означает, что невозможно взломать или попытаться восстановить ваши файлы. Итак, вот шаги по восстановлению ваших файлов. Прежде всего, позвольте мне поставить префикс, сказав, что сообщение об этой вредоносной программе или плохой отзыв о продукте немедленно лишат вас права на восстановление ваших файлов, поэтому, если вы хотите увидеть ваши файлы в любой форме, я рекомендую вам молчать и выполнить следующие действия:
---
1. Загрузите BitPay: https://bitpay.com/ Это также можно загрузить из Microsoft store.
2. Купите $75 в биткойнах, используя опцию покупки крипто
3. Отправьте $75 в биткойнах на этот адрес: {_BITCOIN_ADDR}
4. После того, как вы отправите деньги, отправьте email на адрес {_EMAIL}, в котором говорится, что вы заплатили, и укажите свой идентификатор пользователя.
5. Подождите около 4 часа, я вышлю вам ваш расшифровщик и ключ, который можно использовать для расшифровки всех зашифрованных файлов. 
---
СООБЩЕНИЕ ОБ ЭТОМ ФАЙЛЕ КОМУ-ЛИБО ПРИВЕДЕТ К ПОЛНОЙ ПОТЕРЕ ФАЙЛОВ
НЕУПЛАТА ПРИВЕДЕТ К ВАШИМ ЛИЧНЫМ ДАННЫМ, ТАКИМ КАК: 
- IP
- Address
- Username

С бесплатного хостинга картинок imgbb.com загружается изображение aris.jpg, которое заменяют обои Рабочего стола. 

Также используется всплывающее окно на экране с просьбой проверить файл readme.txt

Технические детали

По мнению авторов статьи на сайте Cyble, Aris Locker распространялся с помощью email-спама, замаскированного как письмо из банка и вредоносных ссылок. Пример такого письма из "банка" см. на скриншоте ниже. 

На самом деле Aris Locker никогда не распространялся по email, а вышеназванный пример всего лишь был предложенным сценарием. 

Исходный код Aris Locker просочился на exploit.in и это был единственный случай. 

Теоретически может начать распространяться другими известными способами: путем взлома через незащищенную конфигурацию RDP и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа
aris.jpg - изображение заменяющее обои Рабочего стола
<random>.exe - случайное название вредоносного файла

Информация из кода вымогателя: 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL изображения: xxxxs://i.ibb.co/g9tTj8H/aris.jpg
Email:
BTC: bc1qef3d3ryemlunehdxtx8xvrkdt3w6cgzj8skl2c
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы могут быть расшифрованы. 
Если вам нужна помощь, обратитесь на форум по ссылке >>

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Aris Locker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Cyble Inc, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.