Clay Ransomware
Clay 2.0 Ransomware
Clay "CryptoToys" Ransomware
(шифровальщик-вымогатель, фейк-шифровальщик) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Clay Ransomware. На файле написано: Rasomware2.0.exe. В разделе обновлений есть код разблокировки.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32644, Trojan.Encoder.32943, Trojan.Encoder.33000, Trojan.Encoder.33009, Trojan.Encoder.33461, Trojan.EncoderNET.31372
BitDefender -> Gen:Variant.Razy.760416, Gen:Heur.Ransom.RTH.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1137051
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Encoder!8.FFD4 (TFE:C:zNi2QAPrs7T)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Een
TrendMicro -> Ransom.MSIL.CLAY.THJBABO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: OnyxLocker > Clay > Clay 2.0 > CryptoToys
Изображение — логотип статьи
К зашифрованным или фейк-зашифрованным файлам никакое расширение не добавляется.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание текста о выкупе:
/////////////////////////////////////////////////////CLAY RANSOMWARE///////////////////////////////////////////////////////////
All your documents, videos, pictures, music and others files have been encrypted with a special encryption algorithm!!!
-------------------------------------------------------------------------------------------
Only way to restore you're files is to buy a key. You have to send 300$ worth in bitcoin to this bitcoing address = 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt and then send me a message on my tor mail = whoami98@mail2tor.com you can make you own tor mail but first you have to download tor browser, nand the go to mail2tor.
To buy bitcoin search on web
-------------------------------------------------------------------------------------------
///////////////////////////////////////////////////////////////RULES//////////////////////////////////////////////////////////////////////
1. Do not turn off the computer
2. Don't try to kill ransomware
3. Do not turn on Task Manager
4. Don't try to break your password without paying
5. Do not try to open encrypted files
IF YOU DO THIS THINGS YOU'RE FILES WILL BE DESTROYED!!!
///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
[DECRYPT FILES]
REAMING TIME: 00:59:34
Перевод ткста на русский язык:
/////////////////////////////////////////////////////CLAY RANSOMWARE///////////////////////////////////////////////////////////
Все ваши документы, видео, изображения, музыкальные и другие файлы зашифрованы со специальным алгоритмом шифрования !!!
-------------------------------------------------- -----------------------------------------
Единственный способ восстановить свои файлы - это купить ключ. Вы должны отправить биткоины на сумму 300$ на этот биткойн-адрес = 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt, а затем отправить мне сообщение на мою tor-почту = whoami98@mail2tor.com, вы можете сделать свою собственную tor-почту, но сначала вы должны загрузить tor-браузер, и идти в mail2tor.
Чтобы купить биткойн, найдите в Интернете
-------------------------------------------------- -----------------------------------------
////////////////////////////////////////////////// ///////////// ПРАВИЛА //////////////////////////////////// //////////////////////////////////
1. Не выключайте компьютер
2. Не пытайтесь завершить вымогатель.
3. Не включайте диспетчер задач.
4. Не пытайтесь взломать пароль, не заплатив
5. Не пытайтесь открывать зашифрованные файлы.
ЕСЛИ ВЫ СДЕЛАЕТЕ ЭТО, ВАШИ ФАЙЛЫ БУДУТ УНИЧТОЖЕНЫ !!!
////////////////////////////////////////////////// ////////////////////////////////////////////////// ///////////////////////////////////////////
[РАСШИФРОВАТЬ ФАЙЛЫ]
ОСТАЛОСЬ ВРЕМЯ: 00:59:34
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Модифицирует Winlogon\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "empty"
➤ Отключает диспетчер задач через реестр.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Rasomware2.0.pdb - название файла проекта
Rasomware2.0.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->C:\Users\BracaPopovic\source\repos\Rasomware2.0\Rasomware2.0\obj\Debug\Rasomware2.0.pdb
Ошибки:
Записи реестра, связанные с этим Ransomware:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "empty"См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: whoami98@mail2tor.com
BTC: 34N9pKvd7R8XXtnxWQJwNs2f4HsLjZmRAt
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >> Самоназвание: V3JS
Текст на английском и польском языках.
BTC: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Код: minigames321
Результаты анализов: VT + IA
Разработчик снова назвался как bl4ack#1337.
C:\Users\aguim\Desktop\Ransomware_visual_items\Rasomware2.0\Rasomware2.0\obj\Debug\Rasomware2.0.pdb
Файл: Rasomware2.0.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33000
BitDefender -> Gen:Variant.Razy.760416
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/WPlague.DB!MTB
Qihoo-360 -> Win32/Trojan.fc8
Rising -> Ransom.Agent!1.CE87 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WK620
Discord: bl4ack#1337
Результаты анализов:
VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33009
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Microsoft -> Ransom:MSIL/WPlague.DB!MTB
Rising -> Ransom.Agent!1.CE87 (CLASSIC)
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom_WPlague.R002C0CKA20
Самоназвание: NIGGERWARE
Email: niggapoopoo123@protonmail.com
Файл: Rasomware2.0.exe
Вариант от 20 декабря 2020:
Самоназвание: ExciteRAN Ransomware
Название (ещё): Instant Ransomware (Winlock) by Alexgamer5516
Email: lnstantRansom@gmail.com
Файл: SubmitSoftware.exe
Результаты анализов:
VT + IA➤ Обнаружения:
DrWeb > Trojan.EncoderNET.31372
ESET-NOD32 > A Variant Of MSIL/Filecoder.ACE
Malwarebytes > Ransom.Instant.MSIL
Microsoft > Ransom:MSIL/FileCryptor.PG!MTB
Tencent > Msil.Trojan.Diztakun.Wqww
TrendMicro > Ransom.MSIL.CRYPTOLOCKER.SM.hp
Вариант от 23 декабря 2020:
Самонавание: ExciteRAN Ransomware
Результаты анализов:
VT + IA➤ Обнаружения:
DrWeb > Trojan.EncoderNET.31372
ESET-NOD32 > A Variant Of MSIL/Filecoder.ACE
Malwarebytes > Ransom.FileCryptor
Microsoft > Ransom:Win32/ExciteRAN.SL!MTB
Tencent > Msil.Trojan.Diztakun.Svrp
Вариант от 23 декабря 2020:
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32644
ESET-NOD32 -> RA Variant Of MSIL/Filecoder.ACE
TrendMicro -> Ransom.MSIL.CLAY.SMJCDP
=== 2021 ===
Вариант от 7 января 2021:
Самоназвание: vGriefferS
Email: vgrieffers@gmail.com
Discord: Stiv0 Hacker#9030 TheeEnder#6971
Email: vgrieffers@gmail.com
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32861
ESET-NOD32 -> RA Variant Of MSIL/Filecoder.ACE
TrendMicro -> Ransom_Filecoder.R002C0DA721
Вариант от 6 февраля 2021:
Файл проекта: D:\D\ezz\Backup\Compressed\Ezz ransomware\Alinsr70 ransomware\Ransomware_visual_items\Rasomware2.0\Rasomware2.0\obj\Debug\Alo Minegames ransomware.pdb
Файл: Mionoho.exe, Alo Minegames ransomware.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33461
BitDefender -> Gen:Heur.Ransom.MSIL.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Вариант от 27 февраля 2021:
Самоназвание: Fancy Bears Ransomware
Делает вид, что шифрует файлы, а затем требует выкуп в $3000 в BTC.
Использует скомпрометированный инструмент удаленного администрирования от Televes Internacional S.A. de C.V.. Является явной фальшивкой, причем корявой и неумелой.
Email: thefancybears@protonmail.com
BTC: 1CZ1tgrssT96L29JSLJ5SecqtgCyayALXi
➤ Содержание текста с экрана:
Fancy Bears Russia
Российская хакерская группа
ALL YOUR FILES IS LOCKED!
PAY US TO UNLOCK YOUR FILES.
EMAIL: thefancybears@protonmail.com
PAY $3,000 USD TO UNLOCK ALL FILES.
BITCOIN ADDRESS (BTC)
1CZ1tgrssT96L29JSLJ5SecqtgCyayALXi
We are the most powerful hacker in this Planet!
➤ Перевод текста на русский язык:
Fancy Bears Россия
Российская хакерская группа
ВСЕ ТВОИ ФАЙЛЫ БЛОКИРОВАНЫ!
ПЛАТИ НАМ ЗА РАЗБЛОКИРОВКУ СВОИХ ФАЙЛОВ.
EMAIL: thefancybears@protonmail.com
ПЛАТИ $3000 ЗА РАЗБЛОКИРОВКУ ВСЕХ ФАЙЛОВ
БИТКОИН-АДРЕС (BTC)
1CZ1tgrssT96L29JSLJ5SecqtgCyayALXi
Мы самый могущественный хакер на этой планете!
---
Результаты анализов: VT + IA
Вариант от 2 марта 2021:
Самоназвание: Mionoho (1.0.0.0)
Файл: Mionoho.exe
Вариант от 20 марта 2021:
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Gen:Heur.Variadic.A.175.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Ebgj
TrendMicro -> Ransom_FileCryptor.R002C0DCK21
Вариант от 31 марта 2021:
Самоназвание: FridayProject.0
Email: 6281fjds93hdfj5396dfgk@gmail.com
Qвспышка'Q@D#h{KYy#FG+гранулярностьуровень%h7|пределы!k'нетQ*6<усыновитель]'дешифратор$@axcLG7L[D>ao9D^epnh4Xn{глюглоу$rDYn(7LbGQ1aGZHNDMySC1QNGR6MWtsOXQz~C##{DiQ+d_головакибернетика(GgC%7&,M+небрежный|X<1ZG5HN2&Gy/t})T]B53]L|q|03am/e<X;QKn*C!mNqnS6[DJIa2RqYg
Вариант от 7 апреля 2021:
Самоназвание: NIGGERWARE
Вариант от 26 апреля 2021:
Расширение: .kfuald
Файл нового проекта: C:\Users\aaa\source\repos\Ransom\Ransom\obj\Debug\Ransom.pdb
Файл: Ransom.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33858
BitDefender -> Gen:Heur.Ransom.MSIL.1
ESET-NOD32 -> MSIL/Filecoder.AHZ
Вариант от 4 мая 2021:
Расширение: .clay
Записка: ___RECOVER__FILES__.clay.txt
Вариант от 7 мая 2021:
Файл: NewRanSmWare.exe
Результат анализов:
VT + IA
Вариант от 5 июня 2021:
D:\Camera\Ransomeware2.0\Ransomeware2.0\obj\x86\Debug\Ransomeware2.0.pdb
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Trojan.GenericKD.46433004
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> Trojan.Gen.MBT
TrendMicro -> Ransom.MSIL.CRYPTOLOCKER.SM.hp
Сообщение от 24 июня 2021:
Самоназвание: Mionoho
Идентификация на сайте ID-Ransomware: Mionoho
Записка: OPEN ME!!!!!!.txt
Email: CryptoPrivacyRecovery@protonmail.com
Вариант от 1 августа 2021:
Самоназвание: WannaMad2.0
Примечательно, что внешне больше похож на
WannaMad из группы CobraLocker, но антивирусные обнаружения говорят в пользу Clay Ransomware. Или они друг у друга копируют или они связаны.
Результаты анализов:
VT + IA➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Microsoft -> Ransom:MSIL/FileCryptor.AB!MTB
Вариант от 3 августа 2021:
Файл проекта: C:\Users\polem\OneDrive\Desktop\Ransomware_visual_items\launcher2.0\launcher2.0\obj\Debug\DCQPKX.pdb
Файл: Clownic1.0.exe
Результаты анализов:
VT + VT➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
TrendMicro -> Ransom.MSIL.CLAY.SMJCDP
Вариант от 8 августа 2021:
Самоназвание: Ulitsa Crypter
Вариант от 9 августа 2021:
Самоназвание: Rasomware2.0
Вариант от 29 октября 2021:
Файл проекта: C:\Users\rober\Desktop\Ransomware_source_code-master\Rasomware2.0\Rasomware2.0\obj\Release\Rasomware2.0.pdb
Файл: Rasomware2.0.exe
Вариант от 4 декабря 2021:
Записка: README.txt
Файлы: Argos.exe (Rasomware2.0), ._cache_ARGOS.exe
Результаты анализов:
VT + AR + TG➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
BitDefender -> Gen:Heur.Variadic.A.175.1
Microsoft -> Ransom:MSIL/CryptoLocker.DD!MTB
Symantec -> ML.Attribute.HighConfidence
Вариант от 23 января 2022:
Файл проекта: C:\Users\Monster\source\repos\txt_to_rtf_converter\txt_to_rtf_converter\obj\Debug\txt_to_rtf_converter.pdb
Результаты анализов:
VT + IA
Вариант от 29 января 2022:
Самоназвание: Argos 2.0
Файлы: Argos 2.0.exe, Argos 2.0.pdb, @argosd3crypter.exe, Ransom.png
Результаты анализов:
VT + IA➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Gen:Variant.Ransom.MSILHeracles.4
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ANJ
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.AI.3357312952
Microsoft -> Ransom:MSIL/ArgosCrypt.MAK!MTB
Rising -> Trojan.Generic/MSIL@AI.94 (RDM.MSIL:5sf*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Pkgv
TrendMicro -> Ransom_ArgosCrypt.R002C0DAT22
Вариант от 14 марта 2022:
Самоназвание: SusLocker Ransomware
Email: sukablyat.hardbas@gmail.com
Файл: SusLocker.exe
Файл проекта: C:\Users\vinze\source\repos\SusLocker\SusLocker\obj\Debug\SusLocker.pdb"
Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
Avast -> Win32:RansomX-gen [Ransom]
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SusLocker.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Microsoft -> Ransom:MSIL/Filecoder!MSR
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:sYn*
TrendMicro -> TROJ_GEN.R002H09CE22
Вариант от 19 марта 2022:
Самоназвания: Sus, Goose Ransomware
Email: sukablyat.hardbas@gmail.com
Файл: sus.exe
Результаты анализов:
VT + IA Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> DeepScan:Generic.Ransom.Hiddentear.A.2F5E16F0
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Rising -> Trojan.Generic/MSIL@AI.96 (RDM.MSIL:S4GfFF
Tencent -> Win32.Trojan.Generic.Lpll
TrendMicro -> Ransom_Encoder.R002C0WCJ22
Вариант от 13 июня 2022:
Распроcтраняется из Польши.
Файлы: bv_vector1_1.scr, GHJWARE.exe
Файл проекта: C:\Users\rober\source\repos\Rasomware2.0\Rasomware2.0\obj\Debug\GHJWARE.pdb
Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACE
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet + myTweet
ID Ransomware (ID as ***)
Write-up, Topic of Support
*
Thanks:
Kangxiaopao, 0x4143, S!Ri
Andrew Ivanov (author)
***
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.