Solve

Solve Ransomware

Solve Linux Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей на сетевых накопителях NAS с помощью AES-256 + RSA для ключа, а затем требует выкуп в $400 в # BTC, чтобы вернуть файлы. Иногда сумма выкупа не указана. Оригинальное название: в записке не указано. Написан на языке Go. Предназначен для Linux-систем. Файлы можно расшифровать! 
---
Обнаружения:
DrWeb -> Linux.Encoder.68

Avast/AVG -> ELF:Filecoder-AX [Trj]

Avira (no cloud) -> LINUX/Ransom.jggmc
ESET-NOD32 -> A Variant Of Linux/Filecoder.Z
Microsoft -> Ransom:MacOS/Filecoder

Symantec -> OSX.Trojan.Gen
---

© Генеалогия: другие для NAS >> Solve

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: SOLVE ENCRYPTED FILES.txt

Содержание записок различается для разных пострадавших.

   

Содержание 1-й записки о выкупе:

All your files encrypted.

Want get them back? send email diVesTaCil@protonmail.com

ID: LQSSXHUXZ***

Перевод 1-й записки на русский язык:

Все ваши файлы зашифрованы.

Хотите вернуть? отправьте email на diVesTaCil@protonmail.com

ID: LQSSXHUXZ***

Содержание 2-й записки о выкупе: 

Your files encrypted due to security issues!

The used encryption for lock your files is secure and could not breakable without the correct key.

To be clear, the only way to recover your files is to pay the $400 with bitcoin cryptocurrency.

All you have to do to recover your files is to send your ID to our email address for receiving the payment instruction.

Also, you can send one of your files less size than 1 megabyte for a decryption guarantee.

ID: 341f53a78***

Email: ialpatntedu@protonmail.com

Перевод 2-й записки на русский язык: 

Ваши файлы зашифрованы из-за проблем с безопасностью!

Шифрование для блокировки ваших файлов надежно и без правильного ключа его не взломать.

Точнее, единственный способ восстановить ваши файлы - заплатить $400 в биткойн.

Чтобы вернуть свои файлы вам надо отправить свой ID на наш email-адрес для получения платежных инструкций.

Еще вы можете отправить один из ваших файлов менее 1 Мб для гарантии дешифрования.

ID: 341f53a78 ***

Email: ialpatntedu@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SOLVE ENCRYPTED FILES.txt - название файла с требованием выкупа
LQSSXHUXZMFG - пример ELF-файла, сочетающего в себе ID пострадавшего, а на самом деле является вредоносным файлов для Linux-систем сетевых накопителей NAS. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: diVesTaCil@protonmail.com

Email-2: ialpatntedu@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 октября 2020:

Пост на форуме >>

Расширение: .encrypted

Записка: SOLVE ENCRYPTED FILES.txt

BTC: 17mULFJwDFpJYWdMVQMXqifk7hTtaH7dT4

Сумма выкупа: 0.0600 BTC

Tor-URL: xxxx://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion

➤ Содержание записки:

Hello!

Your files are encrypted and can never access your files without our solution!

What is the solution?

- Seach "Download Tor Browser" on the internet for access to our website.

- Visit the website below with the <Tor Browser>

 http://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion/link/***

- Buy "DECRYPTION KEY" to restore files instantly.

---

 

➤ Содержание Tor-сайта:

 Recover Files Instruction

---

Affected Device NAS

Amount For Recovery 0.0600 BTC

---

If you want to decrypt your files and get them back.

You need decryption tool and key. The only way to buy them is from this link.

We do not accept credit cards or bank transfer as a payment method.

You have to pay only in Bitcoin (BTC) Digital currency.

Transfer amount of 0.0600 Bitcoin (Exactly the same amount at once) to wallet address: 17mULFJwDFpJYWdMVQMXqifk7hTtaH7dT4

Payment calculated after three confirms from the blockchain network. You can check your transaction information Here

Please do not panic if you paid. Give some time for payment for confirmation.

The download box is available after payment. If you completed a payment,

[please refresh the page]

[Download (Decryption tools & Guide + Support)]

---

F.A.Q

How to buy bitcoin?

Search for the Internet or ask from specialist.

How long take receive a decryption tools and solve the encrypted files after payment?

After payment confirmation. Immediate with complete guide with support.

I do not spend enough amount. What do now?

Just send the rest of the amount.

I don't have money. Please give me a favor?

Without money, you will receive *nothing*.

I want to test the free solutions first and then pay you.

Your files are overwritten with an encrypted form of a file. No free way to recovery and antivirus companies cannot help you too. If you waste a time this website may get offline soon. This means complete data loss without any hope! 

=== 2021 ===

Вариант от 4 июня 2021 или раньше:

Записка: SOLVE ENCRYPTED FILES.txt

➤ Содержание записки:

Hello!

Your files are encrypted and can never access your files without our solution!

What is the solution?

- Seach "Download Tor Browser" on the internet for access to our website.

- Visit the website below with the <Tor Browser>

 http://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion/link/b6d599b41ffaac584e

- Buy "DECRYPTION KEY" to restore files instantly.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать! 
Get help from Emmanuel_ADC-Soft
- Twitter (DM) >>
- Official site >>
***

 Read to links: 
 Message + myTweet
 ID Ransomware (ID as Solve)
 Write-up, Topic of Support

 Thanks: 
 Michael Gillespie, Emmanuel_ADC-Soft
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Badbeeteam

Badbeeteam Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: vol2-C..Windows.Systema32.svchost.exe. Написан на языке Rust.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32628
BitDefender -> Trojan.GenericKD.43881417
Avira (no cloud) -> TR/AD.RansomHeur.wkswc
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODO
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic@ML.84 (RDML:/qKz*
Symantec -> ML.Attribute.HighConfidence, Ransom.Wannacry, Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.BADBEE.THIBDBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ??? >> Badbeeteam

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CRPTD

Визуализация зашифрованного файла: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Recover files.hta

 

Скриншот HTA-записки

HTML-код записки

Записка частично похожа на то, что использовалось ранее в вымогательских компаниях GlobeImposter. 

Содержание записки о выкупе:

Your personal ID

4-uP9S0Rmr-X0128C

☣Your files are encrypted!☣

⬇ To decrypt, follow the instructions below.⬇

To recover data you need decrypt tool.

To get the decrypt tool you should:

Send 3 crypted test image or text file or document to badbeeteam@mail.ee

Or alternate mail badbeeteam@cock.li

In the letter include your personal ID (look at the beginning of this document). Send me this ID in your first email to me.

We will give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files.

After we send you instruction how to pay for decrypt tool and after payment you will receive a decrypt tool and instructions how to use it We can decrypt few files in quality the evidence that we have the decoder.

--------------------------------------------------------------------------------

MOST IMPORTANT!!!

Do not contact other services that promise to decrypt your files, this is fraud on their part!

They will buy a decoder from us, and you will pay more for his services.

No one, except badbeeteam@mail.ee (badbeeteam@cock.li), will decrypt your files.

--------------------------------------------------------------------------------

Only badbeeteam@mail.ee (badbeeteam@cock.li) can decrypt your files

Do not trust anyone besides badbeeteam@mail.ee (badbeeteam@cock.li)

Antivirus programs can delete this document and you can not contact us later.

Attempts to self-decrypting files will result in the loss of your data

Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:

Ваш личный ID

4-uP9S0Rmr-X0128C

Ваши файлы зашифрованы!

Чтобы расшифровать, следуйте приведенным ниже инструкциям.

Для восстановления данных вам нужен инструмент дешифрования.

Чтобы получить инструмент дешифрования, вам надо:

Отправить 3 зашифрованных тестовых изображения, текстовых файла или документа на badbeeteam@mail.ee

Или альтернативная почта badbeeteam@cock.li

В письме укажите свой личный ID (см. начало этого документа). Отправьте мне этот ID в своем первом email .

Мы дадим вам бесплатный тест на расшифровку нескольких файлов (НЕ ЗНАЧЕНИЕ) и назначим цену за расшифровку всех файлов.

После того, как мы отправим вам инструкцию, как оплатить инструмент дешифрования, и после оплаты вы получите инструмент дешифрования и инструкции по его использованию. Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.

--------------------------------------------------------------------------------

САМОЕ ВАЖНОЕ!!!

Не связывайтесь с другими сервисами, которые обещают расшифровать ваши файлы, это мошенничество с их стороны!

Они купят у нас декодер, а вы заплатите больше за его услуги.

Никто, кроме badbeeteam@mail.ee (badbeeteam@cock.li), не расшифрует ваши файлы.

--------------------------------------------------------------------------------

Только badbeeteam@mail.ee (badbeeteam@cock.li) может расшифровать ваши файлы

Не доверяйте никому, кроме badbeeteam@mail.ee (badbeeteam@cock.li)

Антивирусные программы могут удалить этот документ и вы не сможете связаться с нами позже.

Попытки самостоятельно расшифровать файлы приведут к потере ваших данных

Декодеры других пользователей несовместимы с вашими данными, потому что у каждого пользователя уникальный ключ шифрования

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Добавляет в Автозагрузку Windows файл записки с требованием выкупа. 

C:\Users\User\AppData\Roaming\Microsoft\Word\STARTUP\Recover files.hta

➤ Отключает процессы, связанные с базами данных, находящиеся в том числе на сетевых ресурсах: 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recover files.hta - название файла с требованием выкупа
vol2-C..Windows.Systema32.svchost.exe - название вредоносного файла

start.bat

start_after.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%APPDATA%\Microsoft\Visio\start.bat

%APPDATA%\Microsoft\Visio\start_after.bat

Записи реестра, связанные с этим Ransomware:

\REGISTRY\USER\S-1-5-21-2090973689-680783404-4292415065-1000\Software\Microsoft\Windows\CurrentVersion\Run\Readme = "C:\\Users\\Admin\\AppData\\Roaming\\Microsoft\\Visio\\readme.bat"

\REGISTRY\USER\S-1-5-21-2090973689-680783404-4292415065-1000\Software\Microsoft\Windows\CurrentVersion\Run\Readme_c = "C:\\\\readme.bat"

и другие. 

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: badbeeteam@mail.ee, badbeeteam@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 октября 2020: 

Пост в Твиттере >>

Расширение: .CRPTD

C:\Users\X\IdeaProjects\untitled\target\i686-pc-windows-msvc\release\deps\untitled.pdb

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Kelly

Kelly Ransomware

Kelly ChineseLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Kelly, указано выше китайского текста. На файле написано: Leen.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32286
Avira (no cloud) -> TR/Redcap.uwubk
BitDefender -> Gen:Variant.MSILPerseus.234458
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan.MSIL.Dnoper.gen
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Dnoper!8.10CB3 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Dnoper.Pfsw
TrendMicro -> ***
---

© Генеалогия: предыдущие варианты >> Kelly

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locky


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине сентября 2020 г. Ориентирован на китайских пользователей, может распространяться по всему миру.

Записка с требованием выкупа написана на экран блокировки: 

Содержание записки о выкупе:

FILE ENCRYPTED BY KELLY

我的电脑出了什么问题

您电脑内的重要文件被加密保存了，无法正常打开访问

除了我们以外，没有任何方式您可以恢复这些档案

如何恢賈这呰文件

咅案是肯定的，只能透过我们的解密服夯对能恢复

这个服夯雷要收费，且有时效性

费用与时效

我们仅接受比特币(Bitcoin)做为付款方式，比特币付款地址和教重将显示于下方栏位中，

同时提醒您若在期效内没有收到付款，费用将会豳倍，时间过久您的档案将会被全数删除。

強烈逮设，在档案恢葚之前，谪不要关闭或是刪除此钦件，并且关闭您所有的防毐软件，否则您的档案有可能永远无法复原。

---

比特帀付款地址 [1L9REpvzBkWUhVKzsoLJEVLBh19Ng5jiqb] [**]

解锁费用 0,05 BTC  47:59:14 [ 查询当前忖歃状况及解密 ]

Перевод записки на русский язык:

Что не так с моим компьютером

Важные файлы на вашем компьютере зашифрованы и не могут быть открыты и доступны в обычном режиме.

Вы не сможете восстановить эти файлы, кроме нас.

Как восстановить этот файл

Зашифрвоанный файл может быть восстановлен только через наш сервер дешифрования.

Эта услуга требует оплаты и зависит от времени.

Стоимость и срок

Мы принимаем только биткойны в качестве оплаты, адрес для оплаты биткойнами и статус будут отображаться в столбце ниже.

Кроме того, напоминаем вам, что если вы не сделаете платеж в течение срока действия, сумма будет удвоена, а ваши файлы будут удалены, если время будет превышено.

Очень рекомендуется перед восстановлением файла не закрывать и не удалять этот файл, а также закрыть все защитные программы, иначе ваши файлы могут никогда не быть восстановлены.

---

Адрес Биткоин-кошелька [1L9REpvzBkWUhVKzsoLJEVLBh19Ng5jiqb] [**]

Плата за разблокировку 0,05 BTC 47:59:14 [Запрос статуса и расшифровки]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Leen.exe (executable.exe) - название вредоносного файла;

K.log - специальный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\ax020\source\repos\WindowsFormsApp1\WindowsFormsApp1\obj\Debug\Leen.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Ошибки в работе:

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1L9REpvzBkWUhVKzsoLJEVLBh19Ng5jiqb
URL: lihi1.cc -> lihi.io

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Используются следующие ссылки:

xxxxs://lihi1.cc/4kdW2

xxxxs://lihi1.cc/7FWHR

xxxxs://live.blockcypher.com/btc/address/

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Egregor

Egregor Ransomware

Egregor Doxware

(шифровальщик-вымогатель, RaaS, публикатор) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует связаться в течение 3 дней для уплаты выкупа в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Хакеры-вымогатели: Twisted Spider Extortion Group. Среди вымогателей есть граждане Украины, по другим данным это международная хакерская группа. 

Вымогатели, распространяющие Egregor, угрожают опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. На момент публикации статьи еще не было известно о публикациях украденных данных, вымогатели только угрожали, что данные будут опубликованы в СМИ. Позже появилась информация, что операторы Maze перешли на Egregor. 

---

Обнаружения:
DrWeb -> Trojan.Siggen10.31058
BitDefender -> Gen:Variant.Zusy.313821
ESET-NOD32 -> A Variant Of Win32/Kryptik.HEDE
Malwarebytes -> ***
Rising -> Trojan.Generic@ML.88 (RDML:5pA***
Symantec -> Trojan.Gen.2

Tencent -> Win32.Trojan.Johnnie.Pdmk
TrendMicro -> TROJ_GEN.R002H09IO20, TROJ_FRS.0NA103IQ20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Maze > Sekhmet > Egregor

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVER-FILES.txt

Содержание записки о выкупе:

��

------------------

| What happened? |

------------------

Your network was ATTACKED, your computers and servers were LOCKED,

Your private data was DOWNLOADED.

----------------------

| What does it mean? |

----------------------

It means that soon mass media, your partners and clients WILL KNOW about your PROBLEM.

--------------------------

| How it can be avoided? |

--------------------------

In order to avoid this, 

To avoid this issue you are to COME IN TOUCH WITH US no later than within 3 DAYS and conclude the data recovery and breach fixing AGREEMENT.

-------------------------------------------

| What if I do not contact you in 3 days? |

-------------------------------------------

If you do not contact us in the next 3 DAYS we will begin DATA publication.

-----------------------------

| I can handle it by myself |

-----------------------------

It is your RIGHT, but in this case all your data will be published for public USAGE.

-------------------------------

| I do not fear your threats! |

-------------------------------

That is not the threat, but the algorithm of our actions.

If you have hundreds of millions of UNWANTED dollars, there is nothing to FEAR for you.

That is the EXACT AMOUNT of money you will spend for recovery and payouts because of PUBLICATION.

--------------------------

| You have convinced me! |

--------------------------

Then you need to CONTACT US, there is few ways to DO that.

I. Recommended (the most secure method)

   a) Download a special TOR browser: https://www.torproject.org/ 

   b) Install the TOR browser

   c) Open our website with LIVE CHAT in the TOR browser: http://egregor[redacted].onion/[redacted]

   d) Follow the instructions on this page.

II. If the first method is not suitable for you

   a) Open our website with LIVE CHAT: https://[redacted].top/[redacted]

   b) Follow the instructions on this page.

Our LIVE SUPPORT is ready to ASSIST YOU on this website.

----------------------------------------

| What will I get in case of agreement |

----------------------------------------

You WILL GET full DECRYPTION of your machines in the network, FULL FILE LISTING of downloaded data,

confirmation of downloaded data DELETION from our servers, RECOMMENDATIONS for securing your network perimeter.

And the FULL CONFIDENTIALITY ABOUT INCIDENT.

----------------------------------------------------------------------------------

Do not redact this special technical block, we need this to authorize you.

---EGREGOR---

[redacted base64]

---EGREGOR---

Перевод записки на русский язык:

�� 

------------------

| Что произошло? |

------------------

Ваша сеть АТАКОВАНА, ваши компьютеры и серверы БЛОКИРОВАНЫ,

Ваши личные данные ЗАГРУЖЕНЫ.

----------------------

| Что это значит? |

----------------------

Это значит, что скоро СМИ, ваши партнеры и клиенты УЗНАЮТ о вашей ПРОБЛЕМЕ.

--------------------------

| Как этого избежать? |

--------------------------

Чтобы этого избежать,

Чтобы избежать этой проблемы, вы должны СВЯЗАТЬСЯ С НАМИ не позднее 3 ДНЕЙ и заключить СОГЛАШЕНИЕ о восстановлении данных и устранении нарушений.

-------------------------------------------

| Что делать, если я не свяжусь с вами в течение 3 дней? |

-------------------------------------------

Если вы не свяжетесь с нами в следующие 3 ДНЕЙ, мы начнем публикацию ДАННЫХ.

-----------------------------

| Я справлюсь сам |

-----------------------------

Это ваше ПРАВО, но в этом случае все ваши данные будут опубликованы для публичного использования.

-------------------------------

| Я не боюсь ваших угроз! |

-------------------------------

Это не угроза, а алгоритм наших действий.

Если у вас есть сотни миллионов НЕНУЖНЫХ долларов, вам нечего бояться.

Это ТОЧНАЯ СУММА денег, которую вы потратите на восстановление и выплаты из-за ПУБЛИКАЦИИ.

--------------------------

| Вы меня убедили! |

--------------------------

Тогда вам нужно СВЯЗАТЬСЯ С НАМИ, есть несколько способов сделать это.

I. Рекомендуемый (самый безопасный метод)

   а) Загрузите специальный браузер TOR: https://www.torproject.org/

   б) Установите браузер TOR

   c) Откройте наш веб-сайт с помощью LIVE CHAT в браузере TOR: http://egregor[скрыто].onion/[скрыто]

   г) Следуйте инструкциям на этой странице.

II. Если первый способ вам не подходит

   а) Откройте наш веб-сайт в ЖИВОМ ЧАТЕ: https://[скрыто].top/[скрыто]

   б) Следуйте инструкциям на этой странице.

Наша Живая ПОДДЕРЖКА готова помочь ВАМ на этом сайте.

----------------------------------------

| Что я получу в случае соглашения |

----------------------------------------

ВЫ ПОЛУЧИТЕ ПОЛНУЮ РАСШИФРОВКУ ваших машин в сети, ПОЛНЫЙ СПИСОК ФАЙЛОВ загруженных данных,

подтверждение УДАЛЕНИЯ загруженных данных с наших серверов, РЕКОМЕНДАЦИИ по охране периметра вашей сети.

И ПОЛНАЯ КОНФИДЕНЦИАЛЬНОСТЬ ОБ ИНЦИДЕНТЕ.

-------------------------------------------------- --------------------------------

Не редактируйте этот специальный технический блок, он нужен нам для авторизации.

---EGREGOR---

[скрыто base64]

---EGREGOR---

Сайт вымогателей находит в сети Tor.

Содержание текста на сайте:
Egregor
Greetings
We have hacked your network, downloaded and encrypted your data.
You can recover your data and prevent data leakage to public.
Please upload your note RECOVER-FILES.txt using the form below and start recovering your data.
After you upload note, you will be provided with further instructions.


Перевод на русский язык:
Egregor
Приветствую
Мы взломали вашу сеть, скачали и зашифровали ваши данные.
Вы можете вернуть свои данные и остановить утечку данных в открытый доступ.
Загрузите записку RECOVER-FILES.txt, используя форму ниже, и начните возврат своих данных.
После загрузки записки вам будут предоставлены дальнейшие инструкции.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Egregor Ransomware использует три разные функции Windows API, чтобы проверить компьютер на принадлежность к России или и некоторым странам СНГ и прекратит работу, если обнаружит следующие локали: 

0423 Белорусский (Беларусь)

0428 Таджикский (кириллица, Таджикистан)

042B Армянский (Армения)

042C Азербайджанский (латиница, Азербайджан)

0437 Грузинский (Грузия)

043F Казахский (Казахстан)

0440 Киргизский (Киргизия)

0442 Туркменский - Туркмения

0443 Узбекский (латиница, Узбекистан)

0444 Татарский (Россия)

0818 Румынский (Молдова)

0819 Русский (Молдова)

082C Азербайджанский (кириллица, Азербайджан)

0843 Узбекский (кириллица, Узбекистан)

➤ Для каждого шифруемого файла используется новое случайное расширение. Используется файловый маркер из двух DWORD в EOF XOR'd вместе до определенного значения для идентификации зашифрованных файлов. >>

➤ Подробности шифрования:

Шифровальщик использует функции API GetLogicalDriveStrings и GetDiskFreeSpace для определения имён и типов логических дисков, подключенных к устройству, в дополнение к количеству доступного на них свободного места. 

Открытый RSA-ключ встроен в конфигурацию. Для каждого шифруемого файла генерируется пара закрытого и открытого ключей. Открытый ключ используется для шифрования симметричных ключей, которые позже будут использоваться для шифрования каждого файла. Для каждого шифруемого файла  создается уникальный симметричный ключ.

Схема генерации ключей:

- С помощью CryptGenKey создается 2048-битная пара RSA-ключей (т.н. сеансовый ключ).

- Затем ключ экспортируется с помощью API CryptExportKey.

- Экспортированный ключ шифруется с помощью ChaCha с использованием случайно сгенерированного ключа и IV.

- Ключи ChaCha зашифрованы с помощью функции CryptEncrypt и открытого RSA-ключ, встроенного в конфигурацию.

- Зашифрованный ключ ChaCha и зашифрованный сеансовый ключ сохраняются на диск по жестко заданному пути %ProgramData%\dtb.dat

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVER-FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

b.dll - представленный для анализа файл

testbuild.pdb - название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

M:\sc\p\testbuild.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://egregor***.onion

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
➤ Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Maze Ransomware - май 2019 - ноябрь 2020

Sekhmet Ransomware - март 2020 - октябрь 2020

Egregor Ransomware -  сентябрь 2020 - февраль 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 октября 2020:

Статья на сайте BC >>

Расширение: .CRYTEK
Пострадавшие компании Ubisoft и Crytek


Обновление от 12 октября 2020:
Сообщение >>

Обновление от 29 октября 2020:

Статья о закрытии вымогательского проекта "Maze Ransomware" и переход операторов вымогателей на "Egregor Ransomware". 

Вымогатели также подтверждили, что Maze, Sekhmet, Egregor являются их вымогательскими програмами. 

Более того, пострадавшие от Egregor после уплаты выкупа получают. Sekhmet Decryptor.  

Обновление от 18 ноября 2020:

Статья об этом >>

Деятели стоящие за Egregor Ransomware решили заявить о себе оригинальным способом. Чтобы привлечь внимание жертвы после атаки они стали с помощью сценария добавлять в печать на принтер своё сообщение. Это не отдельно взятый случай. Egregor многократно печатает записки о выкупе на всех доступных сетевых и местных принтерах.

------------------

| What happened? |

------------------

Your network was ATTACKED, your computers and servers were LOCKED,

Your private data was DOWNLOADED.

----------------------

| What does it mean? |

----------------------

It means that soon mass media, your partners and clients WILL KNOW about your PROBLEM.

--------------------------

***

Это сообщение полностью есть в начале статьи, нет смысла повторть его здесь. Важно отметить, что вымогатели делают это для того, чтобы повысить осведомленность общественности об атаке и усилить давление на организацию-жертву, вынуждая её заплатить выкуп. Многие организации, государственные и финансовые учреждение предпочитают скрывать инциденты с вымогательством. 

Обновление от 30 ноября 2020:

Выплата выкупа теперь называется контрактом. 👾

Обновление от 1 декабря 2020:

Сообщение >>

Расширение: .SEBsC

Записка: RECOVER-FILES.txt

Tor-URL: xxxx://egregor4u5ipdzhv.onion/C4BA3647FD0D6918

URL: xxxxs://egregor-support.com/C4BA3647FD0D6918

Файл проекта: G:\Intel\Logs\qqqqq.pdb

Файл: qq.dll

Результаты анализов: VT + AR

 

Обновление от 10 февраля 2021:

В ходе совместной операции полиции Франции и Украины удалось арестовать некоторых участников вымогательства Egregor Ransomware. 

Статья на сайте FranceInter >>

Статья на сайте BleepingComputer >>

=== 2022 ===

Новость от 9 февраля 2022

Представитель группы вымогателей выложил в общий доступ на форуме BleepingComputer ключи дешифрования для пострадавших от Maze, Sekhmet, Egregor Ransomware.   

Ссылка на скриншоте скрыта, чтобы не дать возможность использовать вредоносные файлы инфектора m0yv, которые были в архиве. 

Внимание! 

Теперь есть дешифровщик >>

Скачайте Emsisoft Decryptor for Maze/Sekhmet/Egregor >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myTweet
 ID Ransomware (ID as Egregor)
 Write-up, Topic of Support
 Added later: Write-up (on December 7, 2020)

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 Tom Roter (Minerva Labs)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.