ThunderX, Ranzy Locker

ThunderX Ransomware

Ranzy Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ThunderX. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32480, Trojan.Encoder.32485, Trojan.Encoder.32806, Trojan.Encoder.33314
BitDefender -> Trojan.GenericKD.34388567, Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODD, A Variant Of Win32/Filecoder.RanzyLocker.A
Malwarebytes -> Ransom.FileCryptor, Ransom.Ranzy
Microsoft -> Trojan:Win32/Ymacco.AA64, Ransom:Win32/FileCrypter.MB!MTB
Rising -> Trojan.Generic@ML.85 (RDML:***, Ransom.FileCrypter!8.11F42 (TFE*
Symantec -> ML.Attribute.HighConfidence, Downloader, Ransom.RanzyLocker
TrendMicro -> Trojan.Win32.WACATAC.THHAHBO, Ransom.Win32.THUNDERX.SMTH
--- 

© Генеалогия: Ako ⇒ ThunderX > Ranzy Locker 

Знак "⇒" здесь означает переход на другую разработку. См. "Генеалогия".

Изображение — логотип статьи

К зашифрованным файлам добавляется случайное расширение: .<random>

Примеры таких расширений: 
.BuchX
.SNwyR
.cyekE

В обновленном варианте стало использоваться расширение: .tx_locked
(т.е. "ThunderX locked"). 

Позже, вариант Ranzy Locker получил расширения .RNZ и .ranzy

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на конец августа - начало сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе (1-й вариант):
Attention! Your network has been locked
All files on each host has been encrypted
For this server all encrypted files have extension: .SNwyR
----
You cant open or work with encrypted files while it encrypted
All backups has been deleted or formatted, do not worry, we can help you restore your files
We use strongest encryption algoriths, the only way to return your files back - contact us and receive decryption program.
Do not worry about guarantees - you can decrypt any 3 files FOR FREE as guarantee
----
Contact us: deloneThunder@protonmail.com or ThunderBirdXeX@cock.li
And attach in first letter this file or just send all info below (copy all info!):
key: eyJleHQiOiIuU053eVIiLCJrZXkiOiJKMElr*** [totally 1012 chars]
personal id: AX90F***

Перевод записки на русский язык (1-й вариант):
Внимание! Ваша сеть заблокирована
Все файлы на каждом хосте зашифрованы
Для этого сервера все зашифрованные файлы имеют расширение: .SNwyR
----
Вы не сможете открыть зашифрованные файлы или работать с ними, пока они зашифрованы
Все резервные копии удалены или отформатированы, не волнуйтесь, мы можем помочь вам вернуть ваши файлы
Мы используем самые надежные алгоритмы шифрования, единственный способ вернуть ваши файлы - написать нам и получить программу дешифрования.
Не беспокойтесь о гарантиях - вы можете БЕСПЛАТНО расшифровать любые 3 файла в качестве гарантии
----
Пишите нам: deloneThunder@protonmail.com или ThunderBirdXeX@cock.li
И прикрепите в первом письме этот файл или просто отправьте всю инфу ниже (скопируйте всю инфу!):
ключ: eyJleHQiOiIuU053eVIiLCJrZXkiOiJKMElr *** [всего 1012 символов]
персональный id: AX90F ***
---

Сравните ранний вариант с более новым вариантом записки. 

Содержание записки о выкупе (2-й вариант):
Attention! Your network has been locked by ThunderX
Your computers and server are encrypted
For this server all encrypted files have extension: .tx_locked
Follow our instructions below and you will recover all your data
----
You cant open or work with files while it encrypted - we use strongest encryption algorithm ***
All backups are deleted or formatted, do not worry, we can help you restore your files
The only way to return your files back - contact us and receive decryption program.
Do not worry about guarantees - you can decrypt any 3 files FOR FREE as guarantee
----
Contact us: deloneThunder@protonmail.com or ThunderBirdXeX@cock.li
And attach in first letter this file or just send all info below (copy all info!):
key: ***
personal id: ********

Перевод записки на русский язык (2-й вариант):
Внимание! Ваша сеть заблокирована ThunderX
Ваши компьютеры и сервер зашифрованы
Для этого сервера все зашифрованные файлы имеют расширение: .tx_locked.
Следуйте нашим инструкциям ниже, и вы восстановите все свои данные
----
Вы не можете открывать файлы или работать с ними, пока они зашифрованы - мы используем самый надежный алгоритм шифрования ***
Все резервные копии удалены или отформатированы, не волнуйтесь, мы поможем вам восстановить ваши файлы
Единственный способ вернуть ваши файлы - связаться с нами и получить программу для дешифрования.
Не беспокойтесь о гарантиях - вы можете БЕСПЛАТНО расшифровать любые 3 файла в качестве гарантии
----
Пишите нам: deloneThunder@protonmail.com или ThunderBirdXeX@cock.li
И прикрепите в первом письме этот файл или просто отправьте всю инфу ниже (скопируйте всю инфу!):
ключ: ***
персональный id: ********

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов с помощью команды:

wmic.exe SHADOWCOPY /nointeractive
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых расширений:

.dll, .exe, .ini, .lnk, .key, .rdp

Пропускаемые директории:
AppData, boot, PerfLogs, PerfBoot, Intel, Microsoft, Windows, Tor Browser.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

LockerStub.pdb - название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Gh0St\Desktop\ThunderX\Release\LockerStub.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: deloneThunder@protonmail.com, ThunderBirdXeX@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 сентября 2020:
Сообщение >>
Расширение: .tx_locked
Записка: readme.txt
Результаты анализов: VT + IA

Обновление от 14 сентября 2020:
Сообщение >>
Расширение: .tx_locked
Записка: readme.txt
Email: mbhelp@protonmail.com
akodesh@tutanota.com
Результаты анализов: VT + VMR + IA

Обновление от 29 сентября 2020:

Сообщение >>

Самоназвание в записке: Ranzy Locker

Название файла проекта: C:\Users\Gh0St\Desktop\ThunderX\Release\LockerStub.pdb

Расширение: .RNZ

Записка: readme.txt

Email: suppfilesencrypt@protonmail.com, filesencryptedsupp@protonmail.com

Результаты анализов: VT + IA  + HA

Обновление от 5 октября 2020:

Вымогатели подготовили замену. 

Новый образец вредоного ПО: VT + IA

Дата создания: 5 октября 2020. 

Дата загрузки на анализ: 21 октября 2020. 

На скриншоте от Intezer видно, что в этом образце есть гены обоих версий. 

 

  

Обновление от 16 октября 2020:

Статья на сайте BC >>

Расширение: .ranzy

Записка: readme.txt

Сайт: hxxxs://ranzylock.hk/***

Теперь официально соообщается:

1) этот шифровальщик получил новое название Ranzy Locker;

2) Группа, управляющая Ranzy Locker, запустила сайт "Ranzy Leak" для публикации украденных данных.

Обновление от 16 октября 2020: 

Сообщение >>

Версия: Ranzy Locker 1.1

Расширение: .ranzy

Теперь используются 2 сайта в сети Tor: один вместо email для общения с жертвами, другой назвается "Ranzy Leak", для публикации украденных данных. Кстати этот домен ранее использовался вымогателями Ako Ransomware.

Обновление от 28 октября 2020:

Сообщение >>

Сообщение >>

Расширение: .ranzy

URL: hxxx://ranzylock.hk/O19QN6QR

Tor-URL: xxxx://a6a5b4ppnkrio3nikyutfexbc6y5dc6kfhj3jr32kdwbryr2lempkuyd.onion/

 

Анализы: VT + IA  / VT

Вариант от 22 февраля 2021: 

Сообщение >>

Расширение: .RANZYLOCKED

Записка: readme.txt

Email: kazinbekdutch@tutanota.com

kazinbekdutch@cock.li

kazinbekdutch@protonmail.com

Результаты анализов: VT

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33314

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.RanzyLocker.A

Malwarebytes -> Ransom.Ranzy

Microsoft -> Ransom:Win32/FileCrypter.MB!MTB

Qihoo-360 -> Win32/Ransom.Generic.HwoCdjkA

Rising -> Ransom.FileCrypter!8.11F42 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Malware.Win32.Gencirc.11b0ebcf

TrendMicro -> Ransom.Win32.RANZYLOCKER.SMTH

Вариант от 12 сентября 2021: 

Сообщение >>

Расширение: .lock

Записка: readme.txt

Email: off_the_grid@tutanota.com, wee_wee@tutanota.com

Результаты анализов: VT + AR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы, зашифрованные ThunderX, можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >> 
***
Или пишите в Tesorion, у них есть бесплатный дешифровщик >>
*

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ThunderX)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 Tesorion
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WinWord64

WinWord64 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: WinWord64. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32364
BitDefender -> Trojan.GenericKD.34372506
ESET-NOD32 -> A Variant Of Win32/Filecoder.NWD
Malwarebytes -> Ransom.Crypren
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Llqu
TrendMicro -> Ransom.Win32.CRYPREN.A
---

© Генеалогия: ??? >> WinWord64

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в середине августа 2020 г. Штамп даты: 30 мая 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Содержание текста о выкупе:
The Matrix Has You!!
---
ATTENTION: All Your Files Are Belong To Us!!!
All files on your hard drive are encrypted by WinWord64.
Your documents, photos, and other important files have been encrypted with the strongest encryption and unique key generated for this computer. 
A private decryption key is required to decrypt your files, and no one else can decrypt your files unless you pay for the private key. 
You must send $500 worth of bitcoin to this address to purchase the decryption key : 569G40JNu9432opmQ021233

Перевод текста на русский язык:
The Matrix Has You!!

---
ВНИМАНИЕ: Все Ваши Файлы Теперь Наши!!!
Все файлы на вашем жестком диске зашифрованы WinWord64.
Ваши документы, фото и другие важные файлы зашифрованы с самым надежным шифрованием и уникальным ключом, созданным для этого компьютера.
Для расшифровки ваших файлов нужен закрытый ключ дешифрования и никто другой не сможет расшифровать ваши файлы, если вы не заплатите за закрытый ключ.
Вы должны прислать $500 в биткоинах на этот адрес, чтобы купить ключ дешифрования: 569G40JNu9432opmQ021233

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Скриншоты от исследователей:

Использует веб-перехватчик Slack. Вероятно, это первый Ransomware, который это делает. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 569G40JNu9432opmQ021233 - фиктивный или от другой криптовалюты
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

XMRLocker

XMRLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: XMRLocker. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---

© Генеалогия: ??? >> XMRLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .[XMRLocker]

Пример зашифрованного файла: document.txt.[XMRLocker]

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadMe(HowToDecrypt).txt

Содержание записки о выкупе:
~All your files are encrypted with Base-64 algorithm~
Don't worry, all your files can be restored.
Contact us by e-mail to find out the price for data decryption:
xmrlocker@goat.si = Main e-mail.
xmrlocker@protonmail.ch = Spare e-mail (If you have not received an answer within one day from main e-mail).
As proof that we can decrypt your files you can send us 1 file weighing no more than 1 MB.
Please note:
1. If you do not pay within 24 hours, the price for data decryption will double (x2).
2. Сhanging, editing or renaming encrypted files can lead to the fact that the data cannot be restored.
Your unique ID: 9DA9-EE55-4FDA-B534-E4F2-XXXX-XXXX-XXXX

Перевод записки на русский язык:
~ Все ваши файлы зашифрованы алгоритмом Base-64 ~
Не волнуйтесь, все ваши файлы можно восстановить.
Напишите нам по email, чтобы узнать стоимость расшифровки данных:
xmrlocker@goat.si = Основной email.
xmrlocker@protonmail.ch = Запасной email (если вы не получили ответ в течение одного дня с основного email).
Как доказательство того, что мы можем расшифровать ваши файлы, вы можете прислать нам 1 файл размером не более 1 МБ.
Обратите внимание:
1. Если вы не заплатите в течение 24 часов, цена за расшифровку данных вырастет вдвое (x2).
2. Изменение, редактирование или переименование зашифрованных файлов может сделать восстановление данных невозможным.
Ваш уникальный ID: 9DA9-EE55-4FDA-B534-E4F2-XXXX-XXXX-XXXX

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe(HowToDecrypt).txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xmrlocker@goat.si
xmrlocker@protonmail.ch
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 31 января 2021:

Сообщение >>

Расширение: .[XMRLocker]

Email: xmrlocker2@airmail.cc, xmrlocker@daum.net

Записка: ReadMe(HowToDecrypt).txt

➤ Содержание записки: 

~All your files are encrypted with Base-64 algorithm~

Don't worry, all your files can be restored.

Contact us by e-mail to find out the price for data decryption with next template:

=============================

Hello, my ID: ...

I offer for my info decryption ... $

=============================

Our e-mail contacts:

xmrlocker2@airmail.cc

xmrlocker@daum.net

As proof that we can decrypt your files you can send us 1 file weighing no more than 1 MB.

Please note:

1. If you do not pay within 24 hours, the price for data decryption will double (x2).

2. Сhanging, editing or renaming encrypted files can lead to the fact that the data cannot be restored.

Your unique ID: 663F-A87E-A510-DBE6-487D-XXXX-XXXX-XXXX

Вариант от 23 июня 2021:

Email: lockxmr@daum.net

В ответном письме пишут: "Внимание, АКЦИЯ! через 7 месяцев после шифрования ключ можно будет купить за 20$."

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as XMRLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DeathOfShadow

DeathShadow Ransomware

Aliases: DeathOfShadow, Death_Shadow, Malakot

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: DeathOfShadow или Death_Shadow. На файле написано: Death_Shadow.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32763
BitDefender -> Gen:Variant.Ursu.933369
Avira (no cloud) -> TR/ATRAPS.Gen
ESET-NOD32 -> A Variant Of MSIL/Agent.TYU
Malwarebytes -> ***
Rising -> Trojan.Agent!8.B1E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09HB20, Ransom_DeathShadow.R002C0DHH20
---

© Генеалогия: ??? >> DeathOfShadow

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Death_Of_Shadow

Фактически используется составное расширение: (Malakot@protonmail.com).Death_Of_Shadow


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: (Malakot@protonmail.com).txt

Содержание записки о выкупе:
All Your File Have Been Encrypted!
For Decrypt Your Files Send Msg In Malakot@protonmail.com
Do not close the program or restart the computer,Otherwise the files will not be decrypted!
Do not try to decrypt the files in any way as it will damage the file and make it unopenable!
Do not rename files in any way and do not edit them
If an email is sent within the next 24 hours, the amount received will be doubled
If you do not receive an email within the next 48 hours, your files will not be returned
You can send a file for decrypting that should not contain important formats such as databases or documents and the file size should eventually be 10 MB
Death Of Shadow Encryptor By Malakot!

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Для расшифровки файлов отправьте сообщение на Malakot@protonmail.com
Не закрывайте программу и не перезагружайте компьютер, иначе файлы не будут расшифрованы!
Не пытайтесь каким-либо образом расшифровать файлы, так как это повредит файл и испортит его!
Ни в коем случае не переименовывайте файлы и не редактируйте их
Если email будет отправлено в течение следующих 24 часов, полученная сумма будет удвоена.
Если вы не получите email в течение следующих 48 часов, ваши файлы не будут возвращены.
Вы можете отправить на расшифровку файл, который не должен быть важных форматов, таких как базы данных или документы, а размер файла в конечном итоге должен быть 10 МБ.
Death Of Shadow Encryptor Malakot!

При запуске демонстрирует экран с надписью и дальше не загружается.  

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Death_Shadow.exe
Death_Shadow.pdb
(Malakot@protonmail.com).txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\Death_Shadow.exe
D:\Source Checker\death shadow\Death_Shadow\Death_Shadow\bin\Debug\Secured\Death_Shadow.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Malakot@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 августа 2020: 
Пост в Твиттере >>
Записка: (malakot@tutanota.com).txt
Email: malakot@tutanota.com, malakot@mailfence.com

➤ Содержание записки: 
All Your File Have Been Encrypted!
For Decrypt Your Files Send Msg In malakot@tutanota.com OR malakot@mailfence.com
Do not close the program or restart the computer,Otherwise the files will not be decrypted!
Do not try to decrypt the files in any way as it will damage the file and make it unopenable!
Do not rename files in any way and do not edit them
If an email is sent within the next 24 hours, the amount received will be doubled
If you do not receive an email within the next 48 hours, your files will not be returned
You can send a file for decrypting that should not contain important formats such as databases or documents and the file size should eventually be 10 MB
Death Of Shadow Encryptor By Malakot!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as DeathOfShadow)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.