Если вы не видите здесь изображений, то используйте VPN.

вторник, 25 августа 2020 г.

Cyrat

Cyrat Ransomware

Cyrat Python Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью метода шифрования Fernet, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Написан на Python, использует PyCryptodome
---
Обнаружения:
DrWeb -> Trojan.Encoder.32429
BitDefender -> Trojan.GenericKD.43738468
ALYac -> Trojan.Ransom.Python
Avira (no cloud) -> TR/Ransom.qhsqf
ESET-NOD32 -> Python/Filecoder.AB
Malwarebytes -> Ransom.FileCryptor
Tencent -> Win32.Trojan.Filecoder.Wopj
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_FRS.VSNTHQ20
---

© Генеалогия: предыдущие Python ransomware Ⓟ >> Cyrat
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CYRAT


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
RANSOME_NOTE.txt

Содержание записки о выкупе:
The harddisks of your computer have been encrypted with an very very strong encryption algorithm.
There is no way to restore your data without a special key.
Only we can decrypt your files!
To purchase your key and restore your data, please follow these three easy steps:
1. Email the file called EMAIL_US.txt at Desktop\EMAIL_US.txt to officialintuitsoftware@gmail.com
2. You will recieve your personal BTC address for payment.
Once a payment of $1000 in btc has been completed, send another email to officialintuitsoftware@gmail.com Titled "PAID".
We will check to see if payment has been paid.
Note: If you make your payment within 2 days, the fees would be slashed by half, that is $500 in btc
3. You will receive a text file with your KEY that will unlock all your files. You have 2 days from today being Aug-27-2020
IMPORTANT: To decrypt your files, place text file on desktop and wait. Shortly after it will begin to decrypt all files.
WARNING:
Do NOT attempt to decrypt your files with any software as it is obselete and will not work, and may cost you more to unlcok your files.
Do NOT change file names, mess with the files, or run deccryption software as it will cost you more to unlock your files and Your files might be lost forever.
Do NOT send "PAID" without paying, price will double for disobedience.
Do NOT think that we won't leave your files encrypted forever because we will"
Don't know what btc is? Visit https://bitcoin.org

Перевод записки на русский язык:
Жесткие диски вашего компьютера зашифрованы с очень надежным алгоритмом шифрования.
Без специального ключа невозможно восстановить ваши данные.
Только мы можем расшифровать ваши файлы!
Чтобы приобрести ключ и восстановить данные, выполните три простых шага:
1. Отправьте файл EMAIL_US.txt с Desktop\EMAIL_US.txt по email на адрес officialintuitsoftware@gmail.com
2. Вы получите свой личный адрес BTC для оплаты.
После завершения платежа в размере $1000 в биткойнах отправьте еще одно email на адрес officialintuitsoftware@gmail.com с темой "PAID".
Мы проверим, внесена ли оплата.
Примечание: если вы сделаете платеж в течение 2 дней, комиссия будет снижена вдвое, то есть $500 в биткойнах.
3. Вы получите текстовый файл с КЛЮЧОМ, который разблокирует все ваши файлы. У вас есть 2 дня с сегодняшнего дня - 27 августа 2020
ВАЖНО: Чтобы расшифровать файлы, поместите текстовый файл на рабочий стол и подождите. Вскоре после этого начнут расшифровываться все файлы.
ПРЕДУПРЕЖДЕНИЕ:
НЕ пытайтесь расшифровать ваши файлы с помощью какой-то программы, так как оно устарело и не будет работать, а распаковка файлов может стоить вам больше.
НЕ изменяйте имена файлов, не связывайтесь с файлами и не запускайте программы для дешифрования, так как разблокировка файлов будет стоить вам дороже, и ваши файлы могут быть потеряны навсегда.
НЕ отправляйте "PAID" без оплаты, цена за непослушание удвоится.
НЕ думайте, что мы не оставим ваши файлы зашифрованными навсегда, потому что мы "
Не знаете, что такое BTC? Посетите https://bitcoin.org

Также используется файл EMAIL_US.txt, который нужно отправить вымогателям. 

Также используется изображение background_img.png, заменяющее обои Рабочего стола. Текста нет, видимо картинка просто понравилась вымогателям и они её приложили вместо обычного текста. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Вредоносная программа вылетает из-за проблемы с Pyfiglet. 


➤ Скачивает публичный ключ из MediaFire.

➤ Выдает себя за инструмент исправления DLL. 
 

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .3gp, .602, .7z, .accdb, .aes, .ai, .asf, .asm, .asp, .backup, .bak, .bat, .bmp, .boop, .brd, .bz2, .c, .class, .cmd, .cs, .csr, .css, .csv, .db, .dbf, .dch, .deb, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .exe, .flv, .frm, .gif, .gpg, .gz, .h, .html, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .json, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mml, .MP2, .MP2, .mp3, .mp3, .mp3, .MPE, .MPE, .mpeg, .mpeg, .MPEG, .MPEG, .mpg, .MPG, .MPV, .MPV, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .OGG, .OGG, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .py, .rar, .raw, .rb, .rtf, .sh, .sldm, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .WEBM, .wk1, .wks, .wma, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (188 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
В списке есть еще 8 расширений: .ARC, .asc, .cgm, .cpp, .crt, .fla, .js, .sch, которые из-за ошибки в коде не будут найдены. 

Список целевых директорий:
"Рабочий стол", "Загрузки", "Изображения", "Музыка", "Видео", "Документы"

Файлы, связанные с этим Ransomware:
RANSOME_NOTE.txt  - название файла с требованием выкупа;
EMAIL_US.txt - специальный файл, в который сохраняется зашифрованный ключ Fernet; 
background_img.png - изображение заменяющее обои Рабочего стола;
key.txt
pub_key.pem
<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Интересный стринг:
>oVovoNono^o~oAoaoQoqoIoioYoyoEoeoUouoMomo]o}oCocoSosoKoko[o{oGo'o

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL изображения: https://images.idgesg.net/images/article/2020/05/ransomware_attack_worried_businessman_by_andrey_popov_gettyimages-1199291222_cso_2400x1600-100840844-large.jpg
Email: officialintuitsoftware@gmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Cyrat)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Suncrypt 2020

Suncrypt 2020-2022 Ransomware

Haywood Ransomware

Suncrypt DDoS-attack-Ransomware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компаний, бизнес-пользователей и учебных заведений с помощью AES (режим CFB) + RSA, а затем требует перейти на сайт вымогателей, чтобы узнать, как заплатить выкуп в # BTC и вернуть файлы. Угрожает опубликовать файлы в Интернете или продать конкурентам. Оригинальное название: в записке не указано. На сайте в чате названо как Suncrypt. На исполняемом файле написано: haywood.ps1. Для других жертв название файла и тип может быть другим. Написан на языке C++. Вымогатели, стоящие за этим вымогательством, используют DDoS-атаки, чтобы заставить жертву связаться с ними и договориться о выкупе.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32409, Trojan.Encoder.33270, Trojan.Encoder.32575
BitDefender -> Trojan.PowerShell.Ransom.E, Gen:Variant.Razy.797458
ESET-NOD32 -> PowerShell/Kryptik.AX
Kaspersky -> Trojan-Ransom.PowerShell.Agent.z
Malwarebytes -> Trojan-Ransom.PowerShell.Agent.z / A Variant Of Win32/Filecoder.ODM, Ransom.SunCrypt
Microsoft -> Ransom:Win32/Sncupte, Ransom:Win32/Sncupte.STA, Ransom:Win32/SunCrypt.PB!MTB
Qihoo-360 -> Virus.powershell.qexvmc.1
Rising -> *** / Trojan.Filecoder!8.68 (TFE:5*
Symantec -> Ransom.Gen, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Wsah, Win32.Trojan.Filecoder.Sxxu
TrendMicro -> Ransom.PS1.SUNCRYPT.A, Ransom.Win32.SUNCRYPT.SM
---

© Генеалогия: Sun (SunCrypt) 2019 
QNAPCrypt ⇒ Suncrypt 2020 (Haywood)
Значок "⇒" означает переход на другую разработку. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<HEX{64}>
При этом у разных файлов разный код в расширении. 

Примеры зашифрованных файлов с таким расширением:
Desert.jpg.2A712E73A8B0DFA3B7B565C25FDD22076411904E023E9A4CA8DF8DF69843DF26
Lighthouse.jpg.A876A6829E840ECB19626281F8C5B812DAD9D6FF0F41C6C4A74255A483313A53
Chrysanthemum.jpg.D17D0832089C5A2A897EC9E87C37E2F080BBB8344C54ACA5FD446B133A0A421D

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, может распространять его по всему миру. 
Записка и сайт в сети Tor включают перевод текста на немецкий, французский, испанский, японский языки. Неизвестно, проводятся ли атаки против жителей этих стран или это просто перевод текста на всякий случай. 


➤ Как стало известно позже, школа округа Хейвуд (Haywood) в штате Северная Каролина (США) 24 августа 2020 подверглась атаке этого вымогателя. В результате этой атаки округ отключил свою сеть и прекратил дистанционное обучение, которое началось 17 августа, на 1 неделю. Не получи выкупа операторы вымогателей опубликовали украденные данные на сайте утечек данных. Эти просочившиеся данные содержат многочисленные конфиденциальные документы и личную информацию, относящуюся к школе округа Хейвуд, ученикам и учителям. 

Записка с требованием выкупа называется: YOUR_FILES_ARE_ENCRYPTED.HTML


Содержание записки о выкупе:
EN | DE | FR | ES | JP
---
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we�re not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
How do I access the website?
Get TOR browser here
Go to our website
In case you decide not to cooperate, your private data will be published here or sold.
Offline how-to
Copy & Paste this secret message to this page textarea field
11b1072e3743d7079a5c869d0f2d3f0093 [96 characters in total]

Перевод записки на русский язык:
EN | DE | FR | ES | JP
---
Что случилось?
Мы зашифровали ваши документы и файлы, и вы не можете получить к ним доступ. Чтобы убедиться, что мы не обманываем, просто просмотрите свои файлы. Хотите их восстановить? Просто делайте то, что мы вам говорим. Если вы не будете следовать нашим рекомендациям, вы больше никогда не увидите свои файлы. Во время каждой атаки мы копируем ценные коммерческие данные. Если пользователь не платит нам, мы либо отправим эти данные конкурентам, либо опубликуем их. GDPR. Не хочешь платить нам, плати государству в 10 раз больше.
Какие гарантии?
Мы занимаемся своим делом и не заботимся о том, что делаете вы. Все, что нам нужно, это заработать. Если бы мы были несправедливыми, с нами никто бы не работал. Поэтому, если вы откажетесь от нашего предложения, мы не обидимся, но вы потеряете все свои данные и файлы. Сколько времени потребуется для возмещения убытков? Вы можете только догадываться.
Как мне получить доступ к сайту?
Загрузите браузер TOR здесь
Перейти на наш сайт
Если вы решите не сотрудничать, ваши личные данные будут опубликованы здесь или проданы.
Офлайн-инструкции
Скопируйте и вставьте это секретное сообщение в текстовое поле этой страницы
11b1072e3743d7079a5c869d0f2d3f0093 [всего 96 знаков]

Другим информатором жертвы выступает сайт в сети Tor. 

Содержание текста на сайте:
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we’re not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
In case you decide not to cooperate, your private data will be published here or sold.
Put the secret message here:
[                                         ]
[Go]

Перевод текста на сайте на русский язык:
Что случилось?
Мы зашифровали ваши документы и файлы, и вы не можете получить к ним доступ. Чтобы убедиться, что мы не блефуем, просто просмотрите свои файлы. Хотите их восстановить? Просто делайте то, что мы вам говорим. Если вы не будете следовать нашим рекомендациям, вы больше никогда не увидите свои файлы. Во время каждой атаки мы копируем ценные коммерческие данные. Если пользователь не платит нам, мы либо отправим эти данные конкурентам, либо опубликуем их. GDPR. Не хочешь платить нам, плати государству в 10 раз больше.
Какие гарантии?
Мы занимаемся своим делом и не заботимся о том, что делаете вы. Все, что нам нужно, это заработать. Если бы мы были несправедливыми, с нами никто бы не работал. Поэтому, если вы откажетесь от нашего предложения, мы не обидимся, но вы потеряете все свои данные и файлы. Сколько времени потребуется для возмещения убытков? Вы можете только догадываться.
Если вы решите не сотрудничать, ваши личные данные будут опубликованы здесь или проданы.
Поместите секретное сообщение сюда:
[                                         ]
[Иди]
---
После ввода секретного кода открывается "чат поддержки".
Мы приводит здесь его содержание, так как именно там указывается название программы-вымогателя Suncrypt ransomware и сумма выкупа в $400000


 

 

Содержание чата: 
Please what's going on, my files are locked?
Hello, yes your files were encrypted.
If we will make an agreement you will receive following : 1) Decryption for all stations 2) All your leaked data will be removed with no ways to restore it. 3) Full file tree of leaked data 4) Security report to avoid future attacks.
I searched the internet a bit, mention is made of ransomware infection. Which ransomware ..
Which ransomware encrypted my files?I would like to recover my files ..
Yes it was performed using ransomware infection. It is done using high level encryption and you will not be able to decrypt the files without a special encryption key.
The best way you can do at the moment is to inform the management about this situation.
What kind of ransomware is it? Does it have a name.Yes but I need to have more information
We can provide you screenshots of leaked data. Also we may decrypt one of your stations as a proof.
Yes I would like some proof. You still haven't answered which ransomware it is..
You were locked using Suncrypt ransomware.
Ok.Thank you. What do you suggest next?
Ok, i will get a couple of screenshots ready for you. Full file tree will be available after you will make a btc transaction. Also you are welcome to provide a not from one your encrypted stations and i will get back to you with insturctions and decryption key.
"not" - "note"
Ok
I will check up the amount of ransom for you and will get back to you with it in 10 minutes. The best way to solve this situation is to communicate with somebody from the management. So please inform them.
Ok I'll let you know..
The amount for your network is 400. 000. USD The COVID discount is available up to 15%
Ok.I expect an emergency board meeting...
It will take a while.
Thank you for prompt notification. You may provide me one note for decryption right now and i will pass it to tech support.
Sure, no problem just check back at least once a day. In case if you will remain silent for 3 days or fail to negotiate the leaked data will be published online.
Ok
Hello
Hello
Do you have any updates?
https://postimg.cc/gallery/XjBwWmM
As long as you've already contacted meedia we are ready for a mirror move. Please speed up with your decision. In 2 days we will contact media to prove that your data leaked. Please name yourself next time, i have to understand that you are interested in getting this resolved, i don't want to waste my time speaking to white hats.
ok
tell me where I have to pay
and how much you want?
is 400usd fixed or negotiable?
are you there?
Hello
It is 400k USD and it is negotiable.
You have to transfer this amount using bitcoin.

Краткий перевод на русский язык (только суть):
Что происходит, мои файлы заблокированы?
Привет, да, ваши файлы были зашифрованы.
Если мы заключим соглашение, вы получите следующее: 1) Расшифровка для всех станций 2) Все ваши утекшие данные будут удалены без возможности их восстановления. 3) Полное дерево файлов с утечкой данных 4) Отчет о безопасности для предотвращения будущих атак.
Какой вымогатель зашифровал мои файлы? Я хочу вернуть свои файлы.
Вы были заблокированы Suncrypt ransomware.
Сумма для вашей сети - $400000. Скидка COVID до 15%.
Вы должны перевести эту сумму в биткойнах.

---
Одна из ссылок с первого сайта ведет на второй сайт. 


Его содержание оставим без комментариев. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск PowerShell. 


➤ Использует Windows PowerShell для вредоносных целей — запускает 
haywood.ps1 на выполнение с помощью команды: 
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" -ep bypass -file "C:\Users\5p5NrGJn0jS HALPmcxz\Desktop\haywood.ps1


➤ Определяет IP-адрес ПК, страну, в которой работает ПК и локализацию системы. В числе стран, в которых шифрование не производится:
Россия, Беларусь. Украины, Киргизия и Сирия. 

Список файловых расширений, подвергающихся шифрованию:
Список состоит из 589 расширений. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
haywood.ps1 - сценарий PowerShell, названный так по имени округа Хейвуд 
YOUR_FILES_ARE_ENCRYPTED.HTML - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
qvx1kaxo.0.cs
qvx1kaxo.cmdline
qvx1kaxo.out
qvx1kaxo.tmp
qvx1kaxo.pdb
w_ymqo8t.cmdline
w_ymqo8t.out
w_ymqo8t.pdb
profile.ps1
и другие

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.0.cs
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.cmdline
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.out
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\w_ymqo8t.cmdline
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\w_ymqo8t.out
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.tmp
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.pdb
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\w_ymqo8t.pdb
C:\Users\5p5NrGJn0jS HALPmcxz\Documents\WindowsPowerShell\profile.ps1
и другие

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
rrtu(t(%%%( !$p#!%#$s%tr w#w"(! % '(&#&# t&& (u'r)&)t# !!u#(#u'p 'u$ (twrtw!%$#
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://ebwexiymbsib4rmw.onion
Tor-URL: http://nbzzb6sa6xuura2z.onion
URL: xxxx://91.218.14.31/
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Sun (SunCrypt) 2019 Ransomware - октябрь 2019
Suncrypt 2020 (Haywood) Ransomware - август 2020


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 октября 2020:
После того, как переговоры зашли в тупик, компаньон вымогателя Suncrypt сделал DDoS-атаку на веб-сайт жертвы для принуждения к переговорам.


Вариант от 1 декабря 2020: 
Расширение (пример): .16A51E88FC127CB6A58BF5B7B296369BCE5A9CFC0A388B489A626390DF077B3F
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML



Содержание записки:
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we're not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
How do I access the website?
Get TOR browser here
Go to our website
In case you decide not to cooperate, your private data will be published here or sold.
Offline how-to
Copy & Paste this secret message to this page textarea field
bfe4796dd0ede443332e47a*** [всего 96 знаков]
---
 
Tor-URL
hxxx://nbzzb6sa6xuura2z.onion/
hxxx://ebwexiymbsib4rmw.onion/
---
 

 

➤ Вымогатели о себе:
Suncrypt greats you again!
We are pleased to inform you about the upcoming update of the news website.
High professionalism and constructive approach of our customers forced us
to face a tough decision : to leave you without updates or to post the data
of low revenue entities. Despite the recent trend to solve issues
in a fast and confidential way we have different cases.
Now we have something interesting coming. High revenue targets and
the information they don't want you to see.
We will post a new entity once in two days so stay tuned!
You are welcome to use "messages" to get in touch with us for
our comments.
Can you trust TrustTeam?
Obviously not!
The company that claims to offer IT solutions and network and security audit services actually offers you the loss of your data and GDPR non compliance responsibility.
As long as they are incapable of protecting their own network.
TrustTeam :
Don't worry, with Trust team you are in the right place for your hardware, software, telephony and/or cloud solutions. You can sleep on both sides: our solutions will perfectly support your general business objectives.
In fact being informed of the data leak and cyber breach the strategy of the company was to act like nothing has happened. Irresponsible behavior of so called security and network specialists endangers your business and information of people who have trusted your companies. SunCrypt tried to build up a dialog multiple times to avoid impact on 3rd parties but we were never heard.
You have TRUSTED them and they FAILED you.
Check our news website for detailed information. SunCrypt reminds that there is always a chance to build up security report/bug-bounty format of communication.
Stay tuned! More to come!
---
Результаты анализов: VT + IA + HA + TG 
➤ Обнаружения: 
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.jdntn
BitDefender -> Gen:Variant.Razy.797458
DrWeb -> Trojan.Encoder.33270
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODM
Malwarebytes -> Ransom.SunCrypt
Microsoft -> Ransom:Win32/SunCrypt.PB!MTB
Rising -> Trojan.Filecoder!8.68 (TFE:5*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Sxxu
TrendMicro -> Ransom.Win32.SUNCRYPT.SM


Вариант от 21 января 2021:
Расширение: с тем же шаблоном, как в основной статье. 
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML
Tor-URL Leaks: nbzzb6sa6xuura2z.onion
Tor-URL Chat: ebwexiymbsib4rmw.onion/chat.html***
Результаты анализов: VT + AR + IA


 



Вариант от 15 февраля 2021:
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML
Результаты анализов: VT + AR
Сайты: nbzzb6sa6xuura2z.onion
ebwexiymbsib4rmw.onion



Вариант от 15 апреля 2021:
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML
Расширение: .<HEX{64}>
Пример расширения: .B52A6CC8FB7587F444C47DF3B494EA273D8CB96D932F5714F89DEFF12500AF29
Tor-URL: nbzzb6sa6xuura2z.onion
Tor-URL: ebwexiymbsib4rmw.onion
Результаты анализов: VT + IA + VMR
➤ Обнаружения:  
DrWeb -> Trojan.Encoder.32575
BitDefender -> Gen:Variant.Razy.326200
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODM
Kaspersky -> HEUR:Trojan.Win32.Zudochka.vho
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/SunCrypt.PA!MTB
Rising -> Ransom.Genasom!8.293 (CLOUD)
Symantec -> Downloader
Tencent -> Win32.Trojan.Zudochka.Htvs
TrendMicro -> Ransom.Win32.SUNCRYPT.SM


Вариант от 14 июля 2021:



Варианты августа 2022:


=== 2022 ===

Вариант от 9 января 2022: 
Самоназвание: MASSIVE RANSOMWARE
Записка: DecryptFiles.TXT
Расширение: .<HEX{64}>
Пример расширения: .D5252B348BA1C007A717AACECFBF151CCB403AB2D1BBAE1D0C6CA33FEE4683A
Email: massiveransomware@protonmail.com, 7211300@protonmail.com




Вариант от 3 февраля 2022: 
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML
Текст только на английском. Перевода на другие языки нет. 
Расширение: .<HEX{64}>
Пример расширения: .003C819E60858B5A1B6D6976239FBA7440EA30DF375FB3044A9E3B6747694B4A
Результаты анализов: VT + AR + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34781
ESET-NOD32 -> A Variant Of Win32/Filecoder_AGen.A
Microsoft -> Ransom:Win32/SunCrypt.MK!MTB
Rising -> Trojan.AntiAV!8.9C4 (CLOUD)
TrendMicro -> Ransom_SunCrypt.R002C0DB622


Содержание записки: 
If you get this message, your network was hacked!
After we gained full access to your servers, we first downloaded a large amount of sensitive data and then encrypted all the data stored on them.
That includes personal information on your clients, partners, your personnel, accounting documents, and other crucial files that are necessary for your company to work normally.
We used modern complicated algorithms, so you or any recovery service will not be able to decrypt files without our help, wasting time on these attempts instead of negotiations can be fatal for your company.
Make sure to act within 72 hours or the negotiations will be considered failed!
Inform your superior management about what's going on, invite someone who is authorized to solve financial issues to our private chat. To get there you should download and install TOR browser and follow the link below:
hxxx://sttzxdr7uofos6f5koi644dv2xash7ope5x2yrat6fmhyvywigzc3eqd.onion/chat.html?***
If you and us succeed the negotiations we will grant you:
complete confidentiality, we will keep in secret any information regarding to attack, your company will act as if nothing had happened.
comprehensive information about vulnerabilities of your network and security report.
software and instructions to decrypt all the data that was encrypted.
all sensitive downloaded data will be permanently deleted from our cloud storage and we will provide an erasure log.
Our options if you act like nothing's happening, refuse to make a deal or fail the negotiations:
inform the media and independent journalists about what happened to your servers. To prove it we'll publish a chunk of private data that you should have ciphered if you care about potential breaches. Moreover, your company will inevitably take decent reputational loss which is hard to assess precisely.
inform your clients, employees, partners by phone, e-mail, sms and social networks that you haven't prevent their data leakage. You will violate laws about private data protection.
start DDOS attack on you website and infrastructures.
personal data stored will be put on sale on the Darknet to find anyone interested to buy useful information regarding your company. It could be data mining agencies or your market competitors.
publish all the discovered vulnerabilities found in your network, so anyone will do anything with it.
Why pay us?
We care about our reputation. You are welcome to google our cases up and be sure that we don't have a single case of failure to provide what we promissed.
Turning this issue to a bug bounty will save your private information, reputation and will allow you to use the security report and avoid this kind of situations in future.


Вариант от 30 апреля 2022 или раньше: 
Расширение: .<HEX{64}>
Расширение (пример): .B6A65114595A55B4DDA61A91541718F76D58765A70ED2D74F4758A7DE9940D35
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML
Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.35189
BitDefender -> Gen:Trojan.Heur.tC0@YAgdFWai
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODM
Kaspersky -> Trojan-Ransom.Win32.Encoder.qbs
Malwarebytes -> Malware.AI.2661009110
Microsoft -> Ransom:Win32/SunCrypt.MK!MTB
Rising -> Ransom.Agent!8.6B7 (RDMK:cmRtazrOdTjuU25mMScIYpHUQqzm)
Symantec -> Ransom.Generic.1
TrendMicro -> Ransom.Win32.SUNCRYPT.SMYXBJUT







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SunCrypt)
 Write-up, Write-up, Topic of Support 

Added later: Write-up by Sapphire (om November 12, 2020)
Added later: Write-up by Intezer (on 2 March, 2021)
 Thanks: 
 GrujaRS, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 Petrovic and to others who add new variants
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *