Ironcat

Ironcat Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные в процессе исследования вредоносных программ, а затем делает вид, что требует выкуп, чтобы вернуть файлы. Оригинальное название: Ironcat. На файле написано: iai-users.exe. Написан на языке Go. 

✋ Создатель программы Аарон Розенмунд сообщил мне, что она была сделана для исследований и практических упражнений и никогда не распространялась с вредоносной целью. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32634
BitDefender -> Generic.Ransom.Snatch.D0860D4B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Cobalt.nphvp
ESET-NOD32 -> A Variant Of Win64/Filecoder.CJ

Kaspersky -> Trojan.Win32.Cobalt.aga
Malwarebytes -> Ransom.Sodinokibi.GO
Symantec -> Trojan.Gen.2

Tencent -> Win32.Trojan.Cobalt.Wtec
TrendMicro -> TROJ_FRS.VSNTIN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Ironcat

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден во второй половине сентября 2020 г. Ориентирован на англоязычных пользователей. 

Записка с требованием выкупа называется: pay_the_piper.txt

Содержание записки о выкупе:

tazerface strikes again! Now with twice the ransom! 

---=== Welcome. Again. ===---

[+] Whats Happen? [+]

Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension ENCRYPTED

By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).

[+] What guarantees? [+]

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.

To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.

If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice - time is much more valuable than money.

[+] How to get access on website? [+]

You have two ways:

1) [Recommended] Using a TOR browser!

  a) Download and install TOR browser from this site: https://torproject.org/

  b) Open our website: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/CA78BD67965B1577

2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:

  a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)

  b) Open our secondary website: http://decryptor.cc/CA78BD67965B1577

Warning: secondary website can be blocked, thats why first variant much better and more available.

When you open our website, put the following data in the input form:

Key:

windowsOgqhBdcaMCjDnoLhPEpFLBoNenFIHiOdPANOchCCrIdMsaamPqHdeBMFebOFCeDf_ _

!!!!DANGER!!!

DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damage of the private key and, as result, The Loss all data.

!!! !!! !!!

ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.

!!! !!! !!!

Перевод записки на русский язык:

tazerface снова бьет! Теперь с вдвое большим выкупом!

--- === Добро пожаловать. Снова. === ---

[+] Что случилось? [+]

Ваши файлы зашифрованы и теперь недоступны. Вы можете это проверить: все файлы в вашей системе имеют расширение ENCRYPTED

Кстати, все можно восстановить (вернуть), но нужно следовать нашим инструкциям. Иначе вы не сможете вернуть свои данные (НИКОГДА).

[+] Какие гарантии? [+]

Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - никто с нами не будет сотрудничать. Это не в наших интересах.

Чтобы проверить возможность возврата файлов, Вам следует зайти на наш сайт. Там можно бесплатно расшифровать один файл. Это наша гарантия.

Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо дороже денег.

[+] Как получить доступ на сайт? [+]

У вас есть два пути:

1) [Рекомендуется] Используйте браузер TOR!

  а) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/

  б) Откройте наш сайт: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/CA78BD67965B1577

2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! Но вы можете использовать наш вторичный сайт. Для этого:

  а) Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge)

  б) Откройте наш дополнительный веб-сайт: http://decryptor.cc/CA78BD67965B1577

Предупреждение: вторичный сайт может быть заблокирован, поэтому первый вариант намного лучше и доступнее.

Когда вы открываете наш сайт, введите в форму ввода следующие данные:

Ключ:

windowsOgqhBdcaMCjDnoLhPEpFLBoNenFIHiOdPANOchCCrIdMsaamPqHdeBMFebOFCeDf_ _

!!!!ОПАСНОСТЬ!!!

НЕ ПЫТАЙТЕСЬ изменять файлы сами, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.

!!! !!! !!!

ЕЩЕ ОДИН РАЗ. В ваших интересах вернуть свои файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но не должны мешать.

!!! !!! !!!

Текст записки позаимствован из Sodinokibi Ransomware. 
Оттуда же заимствованы адреса сайтов, указанных в записке о выкупе. 

Согласно информации, полученной от разных специалистов по крипто-вымогателям, Ironcat не имеет отношения к Sodinokibi. 

Платить выкуп по ней НЕ нужно! 😸

Технические детали

Создатель программы Аарон Розенмунд сообщил мне, что она была сделана для исследований и практических упражнений. 

Но, если кто-то модифицирует и перенастроит программу, то она может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ После того, как все файлы зашифрованы, бинарник помещает четыре командных файла в каталог C:\Windows. У каждого своя функция.

Файл chtes.bat позволяет 5 раз нажать любую клавишу на экране входа в систему и запустить административную консоль cmd.exe: 

“Chtes.bat” copy c:\Windows\System32\sethc.exe c:\Windows\System32\sethc.old && && del c:\Windows\System32\sethc.exe && copy c:\Windows\System32\cmd.exe c:\Windows\System32\sethc.exe

Файл netlogin.bat добавляет ключ reg для запуска административной консоли cmd.exe при каждом запуске utilman.exe, пропуская экраны входа и ограничения пользователя: 

“Netlogin.bat” REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

Файл shadow.bat удаляет все теневые копии, которые можно было использовать для восстановления данных: 

“Shadow.bat” cmd /C vssadmin delete shadows /all

Файл mssupdate.bat удаляет все журналы событий Windows.

“mssupdate.bat” FOR /F "delims=" %%I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%%I")

➤ Если сопоставить задачи, то описанный функционал фактически использует дыру в безопасности Windows для запуска следующей команды:

copy C:\Windows\System32\sethc.exe c:\Windows\System32\chtes.old && del c:\Windows\System32\sethc.exe && copy c:\Windows\System32\cmd.exe c:\Windows\System32\sethc.exe

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

Этот трюк позволяет выполнить любую команду с правами системы на экране входа в Windows до прохождения процедуры авторизации. При этом он подменяет исполняемый файл sethc.exe ("Sticky Keys") на свой файл. 

➤ Код JavaScript компилирован в исполняемый файл. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pay_the_piper.txt - название исполняемого файла

iai-users.exe

iai-inetpub.exe

iai-sql.exe

iai-file.exe - название вредоносного файла

Подробнее в статье разработчика этой учебной программы. 

netlogin.bat

shadow.bat

mssupdate.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\netlogin.bat

C:\Windows\shadow.bat

C:\Windows\mssupdate.bat

C:\Windows\chtes.bat

Называет себя Ironcat. 

Записи реестра, связанные с этим Ransomware:

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

URL: http://fakebook.com

URL: http://decryptor.cc/CA78BD67965B1577

Tor-URL: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/CA78BD67965B1577

 

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
➤ Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT> VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 26-28 сентября 2020: 

Разработчик Ironcat-а, Aaron Rosenmund вышел на связь и сообщил, что его программа не предназначена для распространения и вредоносного использования. Он также открыл блог на своем сайте и в первом сообщении рассказал историю программы Ironcat и разместил мою картинку, которую я сделал логотипом этой статьи.

Из его рассказа стало известно, что Ironcat имеет защиту от вредоносных действий. 

Если запустить исполняемый файл без аргументов, он проверит это и сообщит вам, что вы не Ironcat: "I am ironcat, and you're not".

Это и есть защита от случайного запуска. Только с правильными аргументами он запуститься для шифрования файлов. 

Таким же образом, только с правильными аргументами работает дешифрование. При запуске с неправильными аргументами, Ironcat вместо обычного сообщения об ошибке напишет, что он любит чизбургеры.  

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet + Tweet
 ID Ransomware (ID as Ironcat)
 Write-up, Topic of Support
 * 

 Thanks: 
 Joakim Kennedy, Michael Gillespie
 Andrew Ivanov (author)
 Aaron Rosenmund (Ironcat dev)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DataCloud

DataCloud Ransomware

DataCloud Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, помещает их в один большой файл без расширения, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: другие Hand-Ransomware >> DataCloud

Изображение — логотип статьи

К заблокированным файлам никакое расширение на добавляется. 

Пример большого файла с 48-ю знаками: 3590F75ABA9E485486C100C1A9D4FF06RXLYDXVKOSA*****

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README!!!!!!.txt

Содержание записки о выкупе: 

Good time of day.

All your data has been moved to the cloud.

All of your information has two use cases.

1. The return of the entire data array to you while maintaining complete confidentiality.

2. Use of the entire data array at our discretion.

This option threatens you with big legal problems.

If you are interested in the first option, you can contact    data_cloud2012@aol.com       id  149902*****

Based on the fact that the largest irreplaceable resource is time.

You have 72 hours to make a decision.

Please also note that we do not insist on your use of the first option, the shadow information market is quite wide.

Перевод записки на русский язык:

Доброго времени суток.

Все ваши данные перенесены в облако.

Вся ваша информация имеет два варианта использования.

1. Возврат всего массива данных вам с сохранением полной конфиденциальности.

2. Использование всего массива данных по нашему усмотрению.

Этот вариант грозит вам большими юридическими проблемами.

Если вас интересует первый вариант, вы можете связаться с data_cloud2012@aol.com id 149902*****

Исходя из того, что самый большой невосполнимый ресурс - это время.

У вас есть 72 часа, чтобы принять решение.

Также обратите внимание, что мы не настаиваем на использовании вами первого варианта, рынок теневой информации достаточно широк.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README!!!!!!.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: data_cloud2012@aol.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Zhen

Zhen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: zhang.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32612
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Generik.FVCECGD
Malwarebytes -> Ransom.Zhen
Rising -> Dropper.Dapato!8.2A2 (CLOUD)
Symantec -> Trojan.Seaduke

Tencent -> Win32.Trojan-dropper.Dapato.Wtxh
TrendMicro -> TROJ_GEN.R002H09II20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Zhen

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .zhen
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Штамп даты: 16 сентября 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: read.ini

Содержание записки о выкупе:

What Happened to My Computer?

Your important files are encrypted.

Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are 

busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.

Can I Recover My Files?

Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.

If you want to decrypt all your files, you need to pay.

How Do I Pay?

Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.

Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.

And send the correct amount to the address specified in this window.

After your payment, click <Check Payment>.

Once the payment is checked, you can start decrypting your files immediately.

We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If 

your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

1. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites: 

https://cex.io/ 

https://www.binance.com/ 

https://www.coinbase.com/ 

2. After then, if you already have Bitcoins, pay us 0.3 BTC on following our Bitcoin address.

3. Then, press the "Check Payment" button. We will automatically decrypt your files, after bitcoin transfer.

Send 0.3 BTC to; 

14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc

Перевод записки на русский язык:

Что случилось с моим компьютером?

Ваши важные файлы зашифрованы.

Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, т.к. они зашифрованы. Может быть вы

ищете способ восстановить ваши файлы, но не тратьте время зря. Никто не сможет восстановить ваши файлы без нашей дешифрования.

Могу ли я восстановить свои файлы?

Конечно. Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы. Но у вас мало времени.

Если вы хотите расшифровать все свои файлы, вам нужно заплатить.

Как мне платить?

Оплата принимается только в биткойнах. Для получения дополнительной информации нажмите <О биткойнах>.

Пожалуйста, проверьте текущую цену биткойнов и купите биткойны. Для получения дополнительной информации нажмите <Как купить биткойны>.

И отправьте правильную сумму на адрес, указанный в этом окне.

После оплаты нажмите <Проверить платеж>.

Как только платеж будет проверен, вы можете сразу же приступить к расшифровке файлов.

Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, он не сможет восстановить ваши файлы, даже если вы заплатите!

1. Чтобы заплатить нам, вы должны использовать биткойн. Вы можете легко купить биткойны на следующих сайтах:

https://cex.io/

https://www.binance.com/

https://www.coinbase.com/

2. После этого, если у вас уже есть биткойны, заплатите нам 0,3 BTC за отслеживание нашего биткойн-адреса.

3. Затем нажмите кнопку «Проверить платеж». Мы автоматически расшифруем ваши файлы после передачи биткойнов.

Отправьте 0,3 BTC на;

14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 

Содержание текста на изображении:

!! ATTENTION !!

YOUR FILES HAVE BEEN ENCRYPTED!

All of your documents, photos, databases and other important files have been encrypted with RSA encryption.

You will not be able to recover your files without the private key which has been saved on our server.

An antivirus can not recover your files.

View the file "Decryption Notes" on your Desktop to fix this.

Send 0.3 BTC To: 14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ По данным анализа содержит бэкдор и инфостилер. 

Завершает некоторые процессы, удаляет антивирусные обновления Windows Defender с помощью запуска утилиты 'mpcmdrun.exe' из командной строки. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ioxyfx.dat - загружаемый вредоносный файл

read.ini - название файла с требованием выкупа

Read For Decryption - ярлык для открытия записки read.ini

  

zhang.exe - название вредоносного файла

x64.exe - созданный файл для Windows x64

output.174193977.txt

1.bmp

img0.jpg

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ProgramData\ioxyfx.dat.exe

C:\ProgramData\x64.exe

C:\Windows\Web\Wallpaper\Windows\img0.jpg

Записи реестра, связанные с этим Ransomware:

Множественные настройки для установки изображения с текстом. 

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: https://a.pomf.cat/ioxyfx.dat

Email: - 
BTC: 14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
➤ Triage analysis >>  TG> TG with 5 min timeout>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Zhen)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RenameX12

RenameX12 Ransomware

RenameX12 Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует вторичные разделы на дисках ПК пользователей с помощью DiskCryptor, не трогая системный диск, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: нет. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> RenameX12

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется, потому что шифруются все разделы жесткого диска, кроме системного. 

Системный раздел переименовывается на: RenameX12@cock.li

 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Описанный случай атаки этого крипто-вымогателя относится к второй половине сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: New Text Document.txt
Эта записка много кратно дублируется по схеме: 

New Text Document.txt

New Text Document - Copy.txt

New Text Document - Copy (N).txt

Где "N" - это числовой рад, например, от 1 до 35

Содержание записки о выкупе:

Hello

decrypt contact:

main

RenameX12@cock.li

reserv only:

RenameX12@tutanota.com

NamedFree2@protonmail.com

Hello,

we need Your external IP or domain name

we provide You details and servers list now

please do not ask backup server as a demo

do not touch partition because You under risk loose Your data forever

do not ban our address now because You leave other people without passwords.

If this Banned please use our reserve contact and we will contact you back.

we do not use this email long time and close soon forever

after donation Your Confidential data will be deleting in our database forever

Best regards

Anonymous

Перевод записки на русский язык:

Привет

расшифровать контакт:

главный

RenameX12@cock.li

только резервный:

RenameX12@tutanota.com

NamedFree2@protonmail.com

Привет,

нам нужен ваш внешний IP или доменное имя

мы предоставим вам детали и список серверов тогда

пожалуйста, не запрашивайте резервный сервер в качестве демонстрации

не трогайте раздел, потому что вы рискуете потерять свои данные навсегда

не баньте наш адрес сейчас, потому что вы оставите других людей без паролей.

Если этот забанен, используйте наш резервный контакт и мы напишем вам.

мы не использовали этот email долгое время и скоро закроем навсегда

после пожертвования Ваши Конфиденциальные данные будут навсегда удалены из нашей базы данных

С наилучшими пожеланиями

Анонимный

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Как и в других подобных случаях при использования DiskCryptor, кроме всего прочего вредоносным ПО может быть повреждена или заблокирована главная загрузочная записки диска (MBR). Если в ПК используется более новый стандарт формата размещения таблиц разделов (GPT) и Windows 8-10, то блокировки не будет, но может быть использован другой деструктивный способ, не позволяющий полноценно загрузить ОС Windows. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
New Text Document.txt - название файла с требованием выкупа

New Text Document - Copy.txt

New Text Document - Copy (1).txt

*** от 1 до 35 ***

New Text Document - Copy (35).txt

dcrypt.sys - файл DiskCryptor 

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Program Files\dcrypt

C:\Windows\system32\Drivers\dcrypt.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://diskcryptor.net - старый сайт-поставщик шифровальщика

xxxxs://www.diskcryptor.org - новый сайт-поставщик шифровальщика

Email: RenameX12@cock.li

RenameX12@tutanota.com

NamedFree2@protonmail.com 

BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другой вариант без точной даты:

Топик на форуме >>

Email: CyberGod200@protonmail.com, ~ CyberGod200@@firemail.cc

➤ Содержание записки: 

decrypt contact:

main: CyberGod200@protonmail.com

not answer 3h: ***@firemail.cc (original code obfuscated with x's)

---

Hello,

we need Your external IP or domain name

we provide You details and servers list now

please do not ask backup server as a demo

do not touch partition because You under risk loose Your data forever

do not ban our address now because You leave other people without passwords.

If this Banned please use our reserve contact and we will contact you back.

we do not use this email long time and close soon forever

Best regards

Anonymous

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.