Encrp, Encriptar

Encrp Ransomware

Encriptar Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $50-200 в BTC или больше, чтобы вернуть файлы. Оригинальное название: ведимо Encrp или Encriptar, но в записке не указано. На файле написано: ENCRIPTAR.exe, svcshost.exe или что-то другое. Использует библиотеку Crypto++. Для Windows x64.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32418
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.xdjdc
ESET-NOD32 -> A Variant Of Win64/Filecoder.CB
Kaspersky -> Trojan-Ransom.Win32.Encoder.kjd
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Filecoder.SS!MTB

Qihoo-360 -> Generic/Trojan.Ransom.ec8
Rising -> Ransom.Agent!1.CD8D (CLASSIC)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11b03dfd
TrendMicro -> Ransom_Filecoder.R002C0DJI20
---

© Генеалогия: ??? >> Encrp

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrp


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя обнаружен в конце июля 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. В январе 2021 был обнаружен новый образец, добавляющий к зашифрованым файлам другое расширение.

Записка с требованием выкупа называется: __READ_ME_TO_RECOVER_YOUR_FILES.txt

Содержание записки о выкупе: 

Hello, your files were encrypted and are currently unusable.

The only way to recover your files is decrypting them with a key that only we have.

In order for us to send you the key and the application to decrypt your files, you will have to make a transfer of Bitcoins to an electronic wallet. We leave you here the data to make the bitcoins transfer.

Bitcoin wallet: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP

Transfer the amount of bitcoins equivalent to 200 USD.

Your computer ID is: 8ea56bf1-6a96-41f4-917a-3e9bccdfc93b

Once you make the transfer of bitcoins, send us the transfer ID and your computer ID to our email: nhands_q647t@pudxe.com

When we verify the transfer we will send you your key and the decryption application.

Перевод записки на русский язык: 

Привет, ваши файлы зашифрованы и теперь непригодны.

Единственный способ восстановить ваши файлы - это расшифровать их с помощью ключа, который есть только у нас.

Чтобы мы отправили вам ключ и приложение для расшифровки ваших файлов, вам нужно перевести биткойны на электронный кошелек. Мы оставляем вам данные для перевода биткойнов.

Биткойн-кошелек: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP

Переведите сумму в биткойнах, равную 200$ США.

ID вашего компьютера: 8ea56bf1-6a96-41f4-917a-3e9bccdfc93b

После того, как вы переведете биткойны, отправьте нам ID перевода и ID вашего компьютера на наш email: nhands_q647t@pudxe.com

Когда мы подтвердим перевод, мы отправим вам ваш ключ и приложение для расшифровки.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:

.7z, .aep, .avi, .AVI, .bak, .BAK, .bdf, .BDF, .bin, .bkf, .BKF, .cc, .cpp, .cxx, .db, .DB, .db3, .DB3, .dbc, .DBC, .dbf, .DBF, .dbs, .DBS, .ddl, .DDL, .doc, .DOC, .docx, .DOCX, .edb, .EDB, .exe, .EXE, .fmp12, .FMP12, .frm, .FRM, .h, .hh, .hpp, .htm, .html, .hxx, .iso, .ISO, .itdb, .ITDB, .jpeg, .JPEG, .jpg, .JPG, .js, .jse, .max, .mdb, .MDB, .MDF, .mdf, .mkv, .MKV, .mp3, .MP3, .mp4, .MP4, .msi, .MSI, .pdb, .PDB, .pdf, .PDF, .php, .png, .PNG, .ppt, .PPT, .pptm, .PPTM, .pptx, .PPTX, .psd, .rar, .RAR, .sln, .sql, .SQL, .sqlite, .SQLITE, .TIB, .tib, .vbs, .vhd, .VHD, .vmdk, .VMDK, .vmsn, .VMSN, .wave, .WAVE, .wdb, .WDB, .xls, .XLS, .xlsm, .XLSM, .xlsx, .XLSX, .xml, .xsl, .zip, .ZIP 

В коде шифровальщика расширения указаны в нижнем и верхнем регистре букв. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
__READ_ME_TO_RECOVER_YOUR_FILES.txt - название файла с требованием выкупа

ENCRIPTAR.pdb - название файла проекта
ENCRIPTAR.exe, svcshost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\MARIO\source\repos\ENCRIPTAR\x64\Release\ENCRIPTAR.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nhands_q647t@pudxe.com
BTC-1: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP

BTC-2: 3QtbAioBSw249J5xsGd1sCqTqhdDX4CD9L
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 15 октября 2020:

Расширение: .encrp

Записка: __READ_ME_TO_RECOVER_YOUR_FILES.txt

Файл проекта: C:\Users\MARIO\source\repos\ENCRIPTAR\x64\Release\ENCRIPTAR.pdb

Файл: svcshost.exe

Штамп даты создания: 22 июля 2020. 

Результаты анализов: VT + IA + JSB

Вариант от 6 января 2020: 

Сообщение >>

Расширение: .solaso

Записка: __READ_ME_TO_RECOVER_YOUR_FILES.txt

Email: sammy70p_y61m@buxod.com

BTC: 3QtbAioBSw249J5xsGd1sCqTqhdDX4CD9L

Файл: ENCRIPTAR.exe

Результаты анализов: VT + IA

 

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.32418

ALYac -> Gen:Heur.Ransom.REntS.Gen.1

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.CB

Kaspersky -> Trojan-Ransom.Win32.Encoder.lbb

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win64/SolasoCrypt.MK!MTB

Qihoo-360 -> Generic/Trojan.Ransom.ec8

Rising -> Ransom.Agent!1.CD8D (CLASSIC)

Symantec -> Downloader

Tencent -> Win32.Trojan.Ransom.Szlf

TrendMicro -> lTROJ_GEN.R002H0CA621

=== 2021 ===

Вариант от 29 сентября 2021: 

Расширение: .soli

Записка: __READ_ME_PLEASE.txt

Email: sammy70p_y61@buxod.com

C:\Users\MARIO\source\repos\ENCRIPTAR\x64\Release\ENCRIPTAR.pdb

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Encrp)
 Write-up, Topic of Support
 * 

 Thanks: 
 0x4143, Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Exorcist

Exorcist Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096 (по сообщению распространителя), а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: Exorcist Ransomware. На файле написано: что угодно.

Обнаружения:
DrWeb -> Trojan.Encoder.32183, Trojan.Encoder.32184, Trojan.Encoder.32399, Trojan.Encoder.32402
ALYac -> Trojan.Ransom.Exorcist
BitDefender -> Generic.Malware.FPdldTk.0AC70D4B, Generic.Malware.FPdldTk.AB1F0F8F
ESET-NOD32 -> A Variant Of Win32/Filecoder.Exorcist.A, A Variant Of Win64/Filecoder.Exorcist.A
Malwarebytes -> Ransom.Exorcist
Microsoft -> Ransom:Win32/Genasom.MX!MTB, Trojan:Win32/Occamy.B
Qihoo-360 -> Generic/Trojan.Generic.95f, Generic/Trojan.Generic.161
Rising -> Ransom.Agent!1.C2C9 (CLOUD), Ransom.Agent!1.C2C9 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT
TrendMicro -> Mal_DLDER, TROJ_GEN.R014H09GN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Exorcist

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: 
.<random> или .<random{6}>

Примеры расширений:
.OMOGeb
.actr2k

.hNjkl6

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало/середину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: <random>-decrypt.hta
Под <random> находится то, что было использовано в расширении. 

Содержание записки о выкупе:
****** Decrypt 
All your data has been encrypted with Exorcist Ransomware.
Do not worry: you have some hours to contact us and decrypt your data by paying a ransom.
To do this, follow instructions on this web site: http://217.8.117.26/pay
Also, you can install Tor Browser and use this web site: http://4dnd3utjsmm2zcsb.onion/pay
IMPORTANT: Do not modify this file, otherwise you will not be able to recover your data!
--------------------------------------------------------------------------------
Your authorization key:
dZeLkbakmprc7qLC456UIuarwYS7kEHqW8t5mdOuuR+xBos2jCw1uwgRycrhGrCR
[всего 3968 знаков]

Перевод записки на русский язык:
*** Расшифровка
Все ваши данные были зашифрованы Exorcist Ransomware.
Не беспокойтесь: у вас есть несколько часов для связи с нами и расшифровки ваших данные, заплатив выкуп.
Для этого следуйте инструкциям на этом сайте: http://217.8.117.26/pay
Также вы можете установить Tor Browser и использовать этот сайт: http://4dnd3utjsmm2zcsb.onion/pay
ВАЖНО: не изменяйте этот файл, иначе не сможете восстановить ваши данные!
Ваш ключ авторизации: 
dZeLkbakmprc7qLC456UIuarwYS7kEHqW8t5mdOuuR+xBos2jCw1uwgRycrhGrCR
[всего 3968 знаков]

Технические детали

Начальный пакет распространяется через форумы кибер-андеграунда, далее как RaaS. После может начать распространяться, как угодно, например, путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Представление на одном из форумов кибер-андеграунда, где распространитель на русском языке предлагает Exorcist Ransomware партнерам-покупателям, обещая им 30% от прибыли.  

Содержание сообщения от распространителя (ошибки исправлены!):
Exorcist Ransomware
* Шифрование AES 256 + RSA 4096.
* Скрытная, быстрая работа без доступа в интернет.
* Написан на чистом С с использованием WinAPI, без CRT и других зависимостей.
* Уникальный ключ на каждый билд.
* Работа с файлами через IOCP.
* Порт сканер по локальным подсетям.
* Снятие блокирующих атрибутов с файлов, так же удаление теневых копий и точек восстановления ОС.
* Завершает процессы и службы, мешающие шифрованию файлов.
* Минимальные требования не ниже Windows 7 / Server 2008.
Удобная панель управления и статистики в TOR, которая позволяет сделать билд в трех вариациях - PE x32, PE xб4, Powershell, выставить сумму выкупа и коэффициент повышения через заданное время. Защищенный чат с жертвой.
Панель выкупа имеет зеркало в TOR, жертва может бесплатно расшифровать один файл весом до 3МВ. Оплата выкупа происходит в автоматическом режиме. После оплаты жертва получает файл декриптора и инструкции по его использованию.
Автоматическая выплата вашей доли в Bitcoin или Monero, адреса для получения вознаграждения указываются в панели управления.
Комиссия партнерки 30%. Специальные условия сетевикам с объемами.
Передача доступа к панели третьим лицам или размещение линка на панель в общем доступе приведет к удалению вашего аккаунта в партнерке и перманентному отказу в сотрудничестве.
По СНГ не работаем.
---

➤ Удаляет теневые копии файлов и резервные копии. 
➤ Завершает работу множества процесс и служб, чтобы без помех шифровать файлы. 

➤ Проверяет язык системы пользователя ПК и при обнаружении 10 языков стран СНГ (русский, армянский, белорусский, грузинский, казахский, таджикский, туркменский, украинский, узбекский, азербайджанский) Exorcist должен завершать работу. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>-decrypt.hta - название файла с требованием выкупа
Exorcist Decryption Tool - инструмент дешифровки файлов
<random>.exe - случайное название вредоносного файла
d.bmp - маленькое изображение, заменяющее обои Рабочего стола (растягивается во весь экран)

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\\Users\Admin\AppData\Local\Temp\d.bmp

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\AppData\\Local\\Temp\\d.bmp"
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://217.8.117.26/pay
Tor-URL: xxxx://4dnd3utjsmm2zcsb.onion/pay

 

Email: - 
BTC: bc1qp3vzn9k0fya6ygyvlmqhf0spqtyhrsnxha8xlc
XMR: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Скриншоты от исследователей:
Запуск PowerShell для вызова GetHostByAddress при работе с общими ресурсами.

 

Результаты анализов:
🔻 Triage analysis build-x32.crypt.bin >>

🔻 Triage analysis build-x64.crypt.bin >>  TG>

Ⓗ Hybrid analysis build-x32.crypt.bin >>
Ⓗ Hybrid analysis build-x64.crypt.bin >>
𝚺  VirusTotal analysis build-x32.crypt.bin >>
𝚺  VirusTotal analysis build-x64.crypt.bin >>
🐞 Intezer analysis build-x32.crypt.bin >>
🐞 Intezer analysis build-x64.crypt.bin >>  IA>
ᕒ  ANY.RUN analysis build-x32.crypt.bin >>
ᕒ  ANY.RUN analysis build-x64.crypt.bin >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis build-x32.crypt.bin >>
⟲ JOE Sandbox analysis build-x64.crypt.bin >>


Степень распространённости: средняя. 
Подробные сведения собираются регулярно. Присылайте образцы. 

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 августа 2020: 
Пост в Твиттере >> 
Пост в Твиттере >> 
Расширения: .RZsGKi, .gcFnuG
Записка-1: DECRYPT-RZsGKi-decrypt.hta
Записка-2: DECRYPT-gcFnuG-decrypt.hta
➤ Содержание записки: 
****** Decrypt
All your data has been encrypted with Exorcist Ransomware.
Do not worry: you have some hours to contact us and decrypt your data by paying a ransom.
To do this, follow instructions on this web site: http://217.8.117.26/pay
Also, you can install Tor Browser and use this web site: http://4dnd3utjsmm2zcsb.onion/pay
IMPORTANT: Do not modify this file, otherwise you will not be able to recover your data!
--------------------------------------------------------------------------------
Your authorization key:
***

 

 

---
Результаты анализов: VT + AR + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.32399
BitDefender -> Trojan.GenericKDZ.69687
ESET-NOD32 -> A Variant Of Win32/Kryptik.HFSH
Malwarebytes -> Trojan.MalPack.GS
Microsoft -> Ransom:Win32/Exorcst!MTB
Tencent -> Win32.Trojan.Delshad.Wpja
TrendMicro -> TROJ_GEN.R002C0WHP20
---
Результаты анализов: VT + AR + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.32402
BitDefender -> ThetaGen:NN.ZexaF.34196.cqW@auVfdQh
ESET-NOD32 -> A Variant Of Win32/Filecoder.Exorcist.A
Malwarebytes -> Ransom.Exorcist
Tencent -> Win32.Trojan.Filecoder.Pegh

Обновление от 24 сентября 2020:

Пост в Твиттере >>

Самоназвание: Exorcist 2.0 Ransomware

Расширения (примеры): .JcBhAakey, .JebdYG

http://51.83.171.35/fgate

7iulpt5i6whht6zo2r52f7vptxtjxs3vfcdxxazllikrtqpupn4epnqd.onion

Результаты анализов: VT + VMR + JSB

Обновление от 25 сентября 2020:

Пост в Твиттере >>

Exorcist Ransomware MD5 hash list: 

9e5c89c84cdbf460fc6857c4e32dafdf

8f10c156d9f0bac26b173f1f8df919ae

2c4518b3dbfc33127b0d4cfb60074295

6d5c6f37878857226c2aa9b52894d6b8

4e3b95627fa88874b4a26c79177c22c6

f188cf267d209a0209a25bda4bb75b86

d4d32e7583b3fd8363ded73c91ed3d08

cb3a1463f4fd3e74b8f1ca5e73b81816

79385ed97732aee0036e67824de18e28

f4009abe9f41da41e48340c96e29d62c

7e415d5a1b1235491cb698eb14817d31

5a63e7d371dd69c5625f5b48da426c14

fa4c4ac8b9c1b14951ae8add855f34e8

0d256ab0a8b8b7a3b3d4aaf566189ca6

840b5220b5d8041e6bab72be5a71a6b9

f889dd8521a5529ae3837475b4bdeb27 

12c3fa9dc6097ac588d9432d2cca7984 

1ce24411a166bce454ef7dc10762da5d

8cc13fea61cc0ba1382a779ee46726f0

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as Exorcist)
 Write-up, Topic of Support
 🎥 Video review >>

 - видеобзор от GrujaRS

 Thanks: 
 MalwareHunterTeam, 3xp0rt, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Silvertor

Silvertor Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $250 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: twitter_can_demo.exe. Получатель криптовалюты: Silicon Venom.

Обнаружения:
DrWeb -> Trojan.MulDrop13.6587
BitDefender -> Trojan.GenericKD.34231211
ESET-NOD32 -> A Variant Of Win64/Filecoder.CA
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Instructions!8.1028A (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Instructions.Wqwh
TrendMicro -> Ransom_Silvertor.R002C0DGQ20
---

© Генеалогия: SepSys > Silvertor > RedRoman

Родство с SepSys Ransomware подтверждено сервисом IntezerAnalyze >>

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .silvertor


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.html

Содержание записки о выкупе:
Your computer has been infected by the Silvertor Ransomware!
Your files have been encrypted and can only be recovered by us.
No commercial decryption software will save them. Follow these instructions instead if you want to get them back:
-You have 10 hours to send $250 in Bitcoin (BTC) to 1MZinQ6gWvuwNfSupXL3VrErZ9jay9BXmh
-If you still haven't paid after 10 hours, we will fry your files and they will no longer be recoverable
-To learn more about Bitcoin and how to send it, visit https://bitcoin.org/en/buy or https://buy.bitcoin.com
-After you send the Bitcoin donation to our address (1MZinQ6gWvuwNfSupXL3VrErZ9jay9BXmh), let us know at iaminfected.sac@elude.in
-As soon as we confirm your donation, we will send you your file recovery password
If you cooperate, we will guarantee you full protection from our organization and its endeavors in the future.
If you fail to cooperate, you will lose your files permanently and perhaps more if we manage to infect you again.
The choice is yours. We are not scammers, and your files WILL be returned after you pay.
-Silicon Venom

Перевод записки на русский язык:
Ваш компьютер заражен Silvertor Ransomware!
Ваши файлы были зашифрованы и могут быть восстановлены только нами.
Никакая коммерческая программа для расшифровки не спасет их. Следуйте этим инструкциям, если хотите вернуть их:
- У вас есть 10 часов, чтобы отправить $250 в биткойнах (BTC) на 1MZinQ6gWvuwNfSupXL3VrErZ9jay9BXmh
- Если вы все не заплатите через 10 часов, мы поджарим ваши файлы и они уже не будут восстановлены
- Для получения дополнительной информации о биткойнах и способах их отправки посетите веб-сайт https://bitcoin.org/en/buy или https://buy.bitcoin.com.
- После того, как вы отправите донацию в биткойнах на наш адрес (1MZinQ6gWvuwNfSupXL3VrErZ9jay9BXmh), сообщите нам об этом по адресу iaminfected.sac@elude.in
- Как только мы подтвердим вашу донацию, мы вышлем вам пароль для восстановления файла
Если вы будете сотрудничать, мы гарантируем вам полную защиту от нашей организации и ее попыток в будущем.
Если вы не будете сотрудничать, вы потеряете свои файлы навсегда и, возможно, больше, если нам удастся снова заразить вас.
Выбор за вами. Мы не мошенники и ваши файлы будут возвращены после оплаты.
-Silicon Venom

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Удаляет теневые копии файлов, манипулирует размером теневого хранилища с помощью команд, прописанных в файле cmdkey.bat:
vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Resize ShadowStorage /For=C: /On=C: /MaxSize=300MB

➤ Использует Windows PowerShell для вредоносной деятельности. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.html - название файла с требованием выкупа
twitter_can_demo.exe - исполняемый файл
sys_startup.exe - исполняемый файл
cmdkey.bat - файл, в котором прописаны команды по удалению и уменьшению размера теневого хранилища
65ea49a50355ef7cca16d13478d48bd59a3e18305ccf9c3c25d174f979bf7b4b.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\cmdkey.bat
C:\Users\User\AppData\Local\Temp\BNZ.5f1ae47d1f6f802\twitter_can_demo.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sys_startup.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.html
C:\Users\User\AppData\Local\Temp\65ea49a50355ef7cca16d13478d48bd59a3e18305ccf9c3c25d174f979bf7b4b.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: iaminfected.sac@elude.in
BTC: 1MZinQ6gWvuwNfSupXL3VrErZ9jay9BXmh
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

SepSys Ransomware - февраль 2020

Silvertor Ransomware - июль 2020

RedRoman Ransomware - ноябрь 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Silvertor)
 Write-up, Topic of Support, forum post
 * 

 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.