Suncrypt 2020

Suncrypt 2020-2022 Ransomware

Haywood Ransomware

Suncrypt DDoS-attack-Ransomware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компаний, бизнес-пользователей и учебных заведений с помощью AES (режим CFB) + RSA, а затем требует перейти на сайт вымогателей, чтобы узнать, как заплатить выкуп в # BTC и вернуть файлы. Угрожает опубликовать файлы в Интернете или продать конкурентам. Оригинальное название: в записке не указано. На сайте в чате названо как Suncrypt. На исполняемом файле написано: haywood.ps1. Для других жертв название файла и тип может быть другим. Написан на языке C++. Вымогатели, стоящие за этим вымогательством, используют DDoS-атаки, чтобы заставить жертву связаться с ними и договориться о выкупе.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32409, Trojan.Encoder.33270, Trojan.Encoder.32575
BitDefender -> Trojan.PowerShell.Ransom.E, Gen:Variant.Razy.797458
ESET-NOD32 -> PowerShell/Kryptik.AX
Kaspersky -> Trojan-Ransom.PowerShell.Agent.z
Malwarebytes -> Trojan-Ransom.PowerShell.Agent.z / A Variant Of Win32/Filecoder.ODM, Ransom.SunCrypt
Microsoft -> Ransom:Win32/Sncupte, Ransom:Win32/Sncupte.STA, Ransom:Win32/SunCrypt.PB!MTB
Qihoo-360 -> Virus.powershell.qexvmc.1
Rising -> *** / Trojan.Filecoder!8.68 (TFE:5*
Symantec -> Ransom.Gen, ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Agent.Wsah, Win32.Trojan.Filecoder.Sxxu
TrendMicro -> Ransom.PS1.SUNCRYPT.A, Ransom.Win32.SUNCRYPT.SM
---

© Генеалогия: Sun (SunCrypt) 2019 + QNAPCrypt ⇒ Suncrypt 2020 (Haywood)

Значок "⇒" означает переход на другую разработку. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<HEX{64}>
При этом у разных файлов разный код в расширении. 

Примеры зашифрованных файлов с таким расширением:
Desert.jpg.2A712E73A8B0DFA3B7B565C25FDD22076411904E023E9A4CA8DF8DF69843DF26
Lighthouse.jpg.A876A6829E840ECB19626281F8C5B812DAD9D6FF0F41C6C4A74255A483313A53
Chrysanthemum.jpg.D17D0832089C5A2A897EC9E87C37E2F080BBB8344C54ACA5FD446B133A0A421D

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, может распространять его по всему миру. Записка и сайт в сети Tor включают перевод текста на немецкий, французский, испанский, японский языки. Неизвестно, проводятся ли атаки против жителей этих стран или это просто перевод текста на всякий случай. 

➤ Как стало известно позже, школа округа Хейвуд (Haywood) в штате Северная Каролина (США) 24 августа 2020 подверглась атаке этого вымогателя. В результате этой атаки округ отключил свою сеть и прекратил дистанционное обучение, которое началось 17 августа, на 1 неделю. Не получи выкупа операторы вымогателей опубликовали украденные данные на сайте утечек данных. Эти просочившиеся данные содержат многочисленные конфиденциальные документы и личную информацию, относящуюся к школе округа Хейвуд, ученикам и учителям. 

Записка с требованием выкупа называется: YOUR_FILES_ARE_ENCRYPTED.HTML

Содержание записки о выкупе:
EN | DE | FR | ES | JP
---
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we�re not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
How do I access the website?
Get TOR browser here
Go to our website
In case you decide not to cooperate, your private data will be published here or sold.
Offline how-to
Copy & Paste this secret message to this page textarea field
11b1072e3743d7079a5c869d0f2d3f0093 [96 characters in total]

Перевод записки на русский язык:
EN | DE | FR | ES | JP
---
Что случилось?
Мы зашифровали ваши документы и файлы, и вы не можете получить к ним доступ. Чтобы убедиться, что мы не обманываем, просто просмотрите свои файлы. Хотите их восстановить? Просто делайте то, что мы вам говорим. Если вы не будете следовать нашим рекомендациям, вы больше никогда не увидите свои файлы. Во время каждой атаки мы копируем ценные коммерческие данные. Если пользователь не платит нам, мы либо отправим эти данные конкурентам, либо опубликуем их. GDPR. Не хочешь платить нам, плати государству в 10 раз больше.
Какие гарантии?
Мы занимаемся своим делом и не заботимся о том, что делаете вы. Все, что нам нужно, это заработать. Если бы мы были несправедливыми, с нами никто бы не работал. Поэтому, если вы откажетесь от нашего предложения, мы не обидимся, но вы потеряете все свои данные и файлы. Сколько времени потребуется для возмещения убытков? Вы можете только догадываться.
Как мне получить доступ к сайту?
Загрузите браузер TOR здесь
Перейти на наш сайт
Если вы решите не сотрудничать, ваши личные данные будут опубликованы здесь или проданы.
Офлайн-инструкции
Скопируйте и вставьте это секретное сообщение в текстовое поле этой страницы
11b1072e3743d7079a5c869d0f2d3f0093 [всего 96 знаков]

Другим информатором жертвы выступает сайт в сети Tor. 

Содержание текста на сайте:
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we’re not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
In case you decide not to cooperate, your private data will be published here or sold.
Put the secret message here:
[                                         ]
[Go]

Перевод текста на сайте на русский язык:
Что случилось?
Мы зашифровали ваши документы и файлы, и вы не можете получить к ним доступ. Чтобы убедиться, что мы не блефуем, просто просмотрите свои файлы. Хотите их восстановить? Просто делайте то, что мы вам говорим. Если вы не будете следовать нашим рекомендациям, вы больше никогда не увидите свои файлы. Во время каждой атаки мы копируем ценные коммерческие данные. Если пользователь не платит нам, мы либо отправим эти данные конкурентам, либо опубликуем их. GDPR. Не хочешь платить нам, плати государству в 10 раз больше.
Какие гарантии?
Мы занимаемся своим делом и не заботимся о том, что делаете вы. Все, что нам нужно, это заработать. Если бы мы были несправедливыми, с нами никто бы не работал. Поэтому, если вы откажетесь от нашего предложения, мы не обидимся, но вы потеряете все свои данные и файлы. Сколько времени потребуется для возмещения убытков? Вы можете только догадываться.
Если вы решите не сотрудничать, ваши личные данные будут опубликованы здесь или проданы.
Поместите секретное сообщение сюда:
[                                         ]
[Иди]
---
После ввода секретного кода открывается "чат поддержки".
Мы приводит здесь его содержание, так как именно там указывается название программы-вымогателя Suncrypt ransomware и сумма выкупа в $400000. 

 

 

Содержание чата: 
Please what's going on, my files are locked?
Hello, yes your files were encrypted.
If we will make an agreement you will receive following : 1) Decryption for all stations 2) All your leaked data will be removed with no ways to restore it. 3) Full file tree of leaked data 4) Security report to avoid future attacks.
I searched the internet a bit, mention is made of ransomware infection. Which ransomware ..
Which ransomware encrypted my files?I would like to recover my files ..
Yes it was performed using ransomware infection. It is done using high level encryption and you will not be able to decrypt the files without a special encryption key.
The best way you can do at the moment is to inform the management about this situation.
What kind of ransomware is it? Does it have a name.Yes but I need to have more information
We can provide you screenshots of leaked data. Also we may decrypt one of your stations as a proof.
Yes I would like some proof. You still haven't answered which ransomware it is..
You were locked using Suncrypt ransomware.
Ok.Thank you. What do you suggest next?
Ok, i will get a couple of screenshots ready for you. Full file tree will be available after you will make a btc transaction. Also you are welcome to provide a not from one your encrypted stations and i will get back to you with insturctions and decryption key.
"not" - "note"
Ok
I will check up the amount of ransom for you and will get back to you with it in 10 minutes. The best way to solve this situation is to communicate with somebody from the management. So please inform them.
Ok I'll let you know..
The amount for your network is 400. 000. USD The COVID discount is available up to 15%
Ok.I expect an emergency board meeting...
It will take a while.
Thank you for prompt notification. You may provide me one note for decryption right now and i will pass it to tech support.
Sure, no problem just check back at least once a day. In case if you will remain silent for 3 days or fail to negotiate the leaked data will be published online.
Ok
Hello
Hello
Do you have any updates?
https://postimg.cc/gallery/XjBwWmM
As long as you've already contacted meedia we are ready for a mirror move. Please speed up with your decision. In 2 days we will contact media to prove that your data leaked. Please name yourself next time, i have to understand that you are interested in getting this resolved, i don't want to waste my time speaking to white hats.
ok
tell me where I have to pay
and how much you want?
is 400usd fixed or negotiable?
are you there?
Hello
It is 400k USD and it is negotiable.
You have to transfer this amount using bitcoin.

Краткий перевод на русский язык (только суть):
Что происходит, мои файлы заблокированы?
Привет, да, ваши файлы были зашифрованы.
Если мы заключим соглашение, вы получите следующее: 1) Расшифровка для всех станций 2) Все ваши утекшие данные будут удалены без возможности их восстановления. 3) Полное дерево файлов с утечкой данных 4) Отчет о безопасности для предотвращения будущих атак.
Какой вымогатель зашифровал мои файлы? Я хочу вернуть свои файлы.
Вы были заблокированы Suncrypt ransomware.
Сумма для вашей сети - $400000. Скидка COVID до 15%.
Вы должны перевести эту сумму в биткойнах.

---
Одна из ссылок с первого сайта ведет на второй сайт. 

Его содержание оставим без комментариев. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит, требуется разрешение на запуск PowerShell. 

➤ Использует Windows PowerShell для вредоносных целей — запускает haywood.ps1 на выполнение с помощью команды: 
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" -ep bypass -file "C:\Users\5p5NrGJn0jS HALPmcxz\Desktop\haywood.ps1

➤ Определяет IP-адрес ПК, страну, в которой работает ПК и локализацию системы. В числе стран, в которых шифрование не производится:

Россия, Беларусь. Украины, Киргизия и Сирия. 

Список файловых расширений, подвергающихся шифрованию:
Список состоит из 589 расширений. 

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
haywood.ps1 - сценарий PowerShell, названный так по имени округа Хейвуд 
YOUR_FILES_ARE_ENCRYPTED.HTML - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
qvx1kaxo.0.cs
qvx1kaxo.cmdline
qvx1kaxo.out
qvx1kaxo.tmp
qvx1kaxo.pdb
w_ymqo8t.cmdline
w_ymqo8t.out
w_ymqo8t.pdb
profile.ps1
и другие

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.0.cs
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.cmdline
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.out
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\w_ymqo8t.cmdline
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\w_ymqo8t.out
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.tmp
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.pdb
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\w_ymqo8t.pdb
C:\Users\5p5NrGJn0jS HALPmcxz\Documents\WindowsPowerShell\profile.ps1
и другие

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
rrtu(t(%%%( !$p#!%#$s%tr w#w"(! % '(&#&# t&& (u'r)&)t# !!u#(#u'p 'u$ (twrtw!%$#
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://ebwexiymbsib4rmw.onion
Tor-URL: http://nbzzb6sa6xuura2z.onion
URL: xxxx://91.218.14.31/
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Sun (SunCrypt) 2019 Ransomware - октябрь 2019

Suncrypt 2020 (Haywood) Ransomware - август 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 октября 2020:

Статья на сайте BleepingComputer >>

После того, как переговоры зашли в тупик, компаньон вымогателя Suncrypt сделал DDoS-атаку на веб-сайт жертвы для принуждения к переговорам.

Вариант от 1 декабря 2020: 

Сообщение >>

Расширение (пример): .16A51E88FC127CB6A58BF5B7B296369BCE5A9CFC0A388B489A626390DF077B3F

Записка: YOUR_FILES_ARE_ENCRYPTED.HTML

Содержание записки:

Whats Happen?

We got your documents and files encrypted and you cannot access them. To make sure we're not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government.

What Guarantees?

We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.

How do I access the website?

Get TOR browser here

Go to our website

In case you decide not to cooperate, your private data will be published here or sold.

Offline how-to

Copy & Paste this secret message to this page textarea field

bfe4796dd0ede443332e47a*** [всего 96 знаков]

---

 

Tor-URL

hxxx://nbzzb6sa6xuura2z.onion/

hxxx://ebwexiymbsib4rmw.onion/

---

 

 

➤ Вымогатели о себе:

Suncrypt greats you again!
We are pleased to inform you about the upcoming update of the news website.
High professionalism and constructive approach of our customers forced us
to face a tough decision : to leave you without updates or to post the data
of low revenue entities. Despite the recent trend to solve issues
in a fast and confidential way we have different cases.
Now we have something interesting coming. High revenue targets and
the information they don't want you to see.
We will post a new entity once in two days so stay tuned!
You are welcome to use "messages" to get in touch with us for
our comments.
Can you trust TrustTeam?
Obviously not!
The company that claims to offer IT solutions and network and security audit services actually offers you the loss of your data and GDPR non compliance responsibility.
As long as they are incapable of protecting their own network.
TrustTeam :
Don't worry, with Trust team you are in the right place for your hardware, software, telephony and/or cloud solutions. You can sleep on both sides: our solutions will perfectly support your general business objectives.
In fact being informed of the data leak and cyber breach the strategy of the company was to act like nothing has happened. Irresponsible behavior of so called security and network specialists endangers your business and information of people who have trusted your companies. SunCrypt tried to build up a dialog multiple times to avoid impact on 3rd parties but we were never heard.
You have TRUSTED them and they FAILED you.
Check our news website for detailed information. SunCrypt reminds that there is always a chance to build up security report/bug-bounty format of communication.
Stay tuned! More to come!

---

Результаты анализов: VT + IA + HA + TG 

➤ Обнаружения: 

ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/FileCoder.jdntn

BitDefender -> Gen:Variant.Razy.797458

DrWeb -> Trojan.Encoder.33270

ESET-NOD32 -> A Variant Of Win32/Filecoder.ODM

Malwarebytes -> Ransom.SunCrypt

Microsoft -> Ransom:Win32/SunCrypt.PB!MTB

Rising -> Trojan.Filecoder!8.68 (TFE:5*

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Filecoder.Sxxu

TrendMicro -> Ransom.Win32.SUNCRYPT.SM

Вариант от 21 января 2021:

Сообщение >>

Расширение: с тем же шаблоном, как в основной статье. 

Записка: YOUR_FILES_ARE_ENCRYPTED.HTML

Tor-URL Leaks: nbzzb6sa6xuura2z.onion

Tor-URL Chat: ebwexiymbsib4rmw.onion/chat.html***

Результаты анализов: VT + AR + IA

 

Вариант от 15 февраля 2021:

Сообщение >>

Записка: YOUR_FILES_ARE_ENCRYPTED.HTML

Результаты анализов: VT + AR

Сайты: nbzzb6sa6xuura2z.onion

ebwexiymbsib4rmw.onion

Вариант от 15 апреля 2021:

Сообщение >>

Записка: YOUR_FILES_ARE_ENCRYPTED.HTML

Расширение: .<HEX{64}>

Пример расширения: .B52A6CC8FB7587F444C47DF3B494EA273D8CB96D932F5714F89DEFF12500AF29

Tor-URL: nbzzb6sa6xuura2z.onion

Tor-URL: ebwexiymbsib4rmw.onion

Результаты анализов: VT + IA + VMR

➤ Обнаружения:  

DrWeb -> Trojan.Encoder.32575

BitDefender -> Gen:Variant.Razy.326200

ESET-NOD32 -> A Variant Of Win32/Filecoder.ODM

Kaspersky -> HEUR:Trojan.Win32.Zudochka.vho

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win32/SunCrypt.PA!MTB

Rising -> Ransom.Genasom!8.293 (CLOUD)

Symantec -> Downloader

Tencent -> Win32.Trojan.Zudochka.Htvs

TrendMicro -> Ransom.Win32.SUNCRYPT.SM

Вариант от 14 июля 2021:

Сообщение >>

Варианты августа 2022:

Ссылка на Intezer Analyze >>

=== 2022 ===

Вариант от 9 января 2022: 

Сообщение >>

Самоназвание: MASSIVE RANSOMWARE

Записка: DecryptFiles.TXT

Расширение: .<HEX{64}>

Пример расширения: .D5252B348BA1C007A717AACECFBF151CCB403AB2D1BBAE1D0C6CA33FEE4683A

Email: massiveransomware@protonmail.com, 7211300@protonmail.com

Вариант от 3 февраля 2022: 

Сообщение >>

Записка: YOUR_FILES_ARE_ENCRYPTED.HTML

Текст только на английском. Перевода на другие языки нет. 

Расширение: .<HEX{64}>

Пример расширения: .003C819E60858B5A1B6D6976239FBA7440EA30DF375FB3044A9E3B6747694B4A

Результаты анализов: VT + AR + IA

➤ Обнаружения:

DrWeb -> Trojan.Encoder.34781

ESET-NOD32 -> A Variant Of Win32/Filecoder_AGen.A

Microsoft -> Ransom:Win32/SunCrypt.MK!MTB

Rising -> Trojan.AntiAV!8.9C4 (CLOUD)

TrendMicro -> Ransom_SunCrypt.R002C0DB622

Содержание записки: 

If you get this message, your network was hacked!

After we gained full access to your servers, we first downloaded a large amount of sensitive data and then encrypted all the data stored on them.

That includes personal information on your clients, partners, your personnel, accounting documents, and other crucial files that are necessary for your company to work normally.

We used modern complicated algorithms, so you or any recovery service will not be able to decrypt files without our help, wasting time on these attempts instead of negotiations can be fatal for your company.

Make sure to act within 72 hours or the negotiations will be considered failed!

Inform your superior management about what's going on, invite someone who is authorized to solve financial issues to our private chat. To get there you should download and install TOR browser and follow the link below:

hxxx://sttzxdr7uofos6f5koi644dv2xash7ope5x2yrat6fmhyvywigzc3eqd.onion/chat.html?***

If you and us succeed the negotiations we will grant you:

complete confidentiality, we will keep in secret any information regarding to attack, your company will act as if nothing had happened.

comprehensive information about vulnerabilities of your network and security report.

software and instructions to decrypt all the data that was encrypted.

all sensitive downloaded data will be permanently deleted from our cloud storage and we will provide an erasure log.

Our options if you act like nothing's happening, refuse to make a deal or fail the negotiations:

inform the media and independent journalists about what happened to your servers. To prove it we'll publish a chunk of private data that you should have ciphered if you care about potential breaches. Moreover, your company will inevitably take decent reputational loss which is hard to assess precisely.

inform your clients, employees, partners by phone, e-mail, sms and social networks that you haven't prevent their data leakage. You will violate laws about private data protection.

start DDOS attack on you website and infrastructures.

personal data stored will be put on sale on the Darknet to find anyone interested to buy useful information regarding your company. It could be data mining agencies or your market competitors.

publish all the discovered vulnerabilities found in your network, so anyone will do anything with it.

Why pay us?

We care about our reputation. You are welcome to google our cases up and be sure that we don't have a single case of failure to provide what we promissed.

Turning this issue to a bug bounty will save your private information, reputation and will allow you to use the security report and avoid this kind of situations in future.

Вариант от 30 апреля 2022 или раньше: 

Сообщение >> 

Расширение: .<HEX{64}>

Расширение (пример): .B6A65114595A55B4DDA61A91541718F76D58765A70ED2D74F4758A7DE9940D35

Записка: YOUR_FILES_ARE_ENCRYPTED.HTML

Результаты анализов: VT + AR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.35189

BitDefender -> Gen:Trojan.Heur.tC0@YAgdFWai

ESET-NOD32 -> A Variant Of Win32/Filecoder.ODM

Kaspersky -> Trojan-Ransom.Win32.Encoder.qbs

Malwarebytes -> Malware.AI.2661009110

Microsoft -> Ransom:Win32/SunCrypt.MK!MTB

Rising -> Ransom.Agent!8.6B7 (RDMK:cmRtazrOdTjuU25mMScIYpHUQqzm)

Symantec -> Ransom.Generic.1

TrendMicro -> Ransom.Win32.SUNCRYPT.SMYXBJUT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SunCrypt)
 Write-up, Write-up, Topic of Support 

Added later: Write-up by Sapphire (om November 12, 2020)
Added later: Write-up by Intezer (on 2 March, 2021)

 Thanks: 
 GrujaRS, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 Petrovic and to others who add new variants
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Gladius

Gladius Ransomware

GladiusCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Gladius или GladiusCrypt. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---

© Генеалогия: ??? >> Gladius

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: GLADIUS

Точка, как элемент расширения, не используется. 
Метка файла — тоже GLADIUS


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Your files are encrypted.txt

Содержание записки о выкупе:
Your files are encrypted. To decrypt :
nekross@tutanota.com

Перевод записки на русский язык:
Ваши файлы зашифрованы. Расшифровка:
nekross@tutanota.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Your files are encrypted.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nekross@tutanota.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Gladius)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Jackpot 3.0.0.2

Jackpot Ransomware

Jackpot Test Ransomware

Jackpot 3.0.0.2 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в 1-3 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Версия: 3.0.0.2
---
Обнаружения:
DrWeb -> Trojan.Encoder.31492 (февраль 2020)
BitDefender -> Trojan.GenericKD.43728337
ESET-NOD32 -> A Variant Of Win32/Filecoder.JackPot.A
Kaspersky -> Trojan.Win32.Zudochka.euj
Malwarebytes -> Ransom.JackPot
Rising -> Trojan.Zudochka!8.106DC (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> ***
---

© Генеалогия: JackPot (1.0.0.1) > JackPot (2.0) > Jackpot (3.0.0.2)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .coin


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен во второй половине августа 2020 г., но впервые был обнаружен в феврале 2020 (согласно обнаружению DrWeb). Штамп даты создания: 21 октября 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
payment request.html
payment request.txt

Сумма выкупа - 1 BTC

Сумма выкупа - 3 BTC

Содержание записки о выкупе:
JACKPOT
***
All your important files are encrypted.
To decrypt your files, pay 1 BTC ~= 6.436 USD to the BitCoin address:
qGxYfVpvxUoNxbeckpZ7XviudsAdhTi6gV

Перевод записки на русский язык:
JACKPOT
***
Все твои важные файлы зашифрованы.
Для расшифровки файлов плати 1 BTC ~= 6.436 USD на BitCoin-адрес:
qGxYfVpvxUoNxbeckpZ7XviudsAdhTi6gV


Видеообзор атаки с блокировкой экрана. 

Примечательно, что сумма выкупа не согласуется с суммой на сегодняшний день. 

Это говорит в пользу того, что эта версия была создана ранее. С помощью сайта MyFin можно определить примерную дату формирования суммы выкупа отношения биткоин-доллар. 

На графике примерное соотношение 1BTC к доллару на 21 октября 2018.

На графике примерное соотношение 1BTC к доллару на 24 апреля 2017 (когда 3 BTC подходил к $3.867). Это единственное соотношение за всё время. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Jackpot Test Ransomware.bin.exe
payment request.html - название файла с требованием выкупа
payment request.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\Jackpot Test Ransomware.bin.exe
C:\temp\Ransomware\Debug\Jackpot Test Ransomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: https://jackpot.support/

Email: - 
Какой-то кошелек: VJSqyORK6tYkQhRdFJgyrTIzfZ1j8dDLBk
Какой-то кошелек: qGxYfVpvxUoNxbeckpZ7XviudsAdhTi6gV
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.