TechandStrat

TechandStrat Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: TechandStrat. На файле написано: inn.exe
---
Обнаружения:
DrWeb -> Trojan.Siggen10.42959
BitDefender -> Generic.Malware.PfVPk!12.606CCA24
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Agent.dkdaw
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.C

Kaspersky -> HEUR:Trojan.Win32.AntiAV
Malwarebytes -> Trojan.Agent

Microsoft -> Exploit:O97M/CVE-2017-11882.BI!MTB
Rising -> Trojan.Generic@ML.85 (RDML:pCZ*
Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Filecoder.Lpbi
TrendMicro -> TROJ_GEN.R002H09JR20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: DeathRansom > TechandStrat > HelloKitty 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: read_me_lkd.txt

Шаблон может быть таким: read_me_xxx.txt

Содержание записки о выкупе: 

Hello Technology and Strategy!

All your fileservers, HyperV infrastructure and backups have been encrypted!

Trying to decrypt or modify the files with programs other than our decryptor can lead to permanent loss of data!

The only way to recover your files is by cooperating with us.

To prove our seriousness, we can decrypt 1 non - critical file for free as proof.

Contacts:

TECHANDSTRATsupport@secmail.pro

TECHANDSTRATsuport@protonmail.com

Перевод записки на русский язык: 

Привет, Технология и Стратегия!

Все ваши файловые серверы, инфраструктура HyperV и резервные копии зашифрованы!

Попытка расшифровать или изменить файлы программами, отличными от нашего дешифратора, может привести к безвозвратной потере данных!

Единственный способ восстановить ваши файлы - это сотрудничать с нами.

Чтобы доказать свою серьезность, мы можем бесплатно расшифровать 1 некритичный файл как доказательство.

Контакты:

TECHANDSTRATsupport@secmail.pro

TECHANDSTRATsuport@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Завершает ряд процессов, связанных с базами данных и обеспечением безопасности. Подключается к сетевым ресурсам. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me_lkd.txt - название файла с требованием выкупа
inn.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: TECHANDSTRATsupport@secmail.pro

TECHANDSTRATsuport@protonmail.com

BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 января 2021: 

Сообщение >>

Расширение: .crypted

Записка: read_me_lkd.txt

См. отдельную статью HelloKitty Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter +  myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SnapDragon, BurningEagle

SnapDragon Ransomware

BurningEagle Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем по идее должен был требовать выкуп, чтобы вернуть файлы, но записка не была найдена. Оригинальное название: вероятно, SnapDragon или BurningEagle. На файле написано: нет данных. Написан на языке Go.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32949
BitDefender -> Trojan.GenericKD.44223734
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Encoder.egvkh
ESET-NOD32 -> ***

Kaspersky -> Trojan-Ransom.Win32.Encoder.kmp
Malwarebytes -> ***
Rising -> Trojan.Generic@ML.99 (RDMK:qzh*
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> ***
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> SnapDragon

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .SNPDRGN
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***


Содержание записки о выкупе:
***

Перевод записки на русский язык:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
BURNINGEAGLE.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SnapDragon)
 Write-up, Topic of Support
 * 

 Thanks: 
 0x4143, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RegretLocker

RegretLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.DownLoader35.8955
BitDefender -> Gen:Heur.Ransom.Imps.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Downloader.Gen
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCE

Kaspersky -> Not-a-virus:NetTool.Win32.TorTool.cta
Malwarebytes -> Ransom.Regret

Microsoft -> Ransom:Win32/FileCrypter.MB!MTB
Rising -> Trojan.Generic@ML.95 (RDML:xEq*
Symantec -> Trojan.Gen.MBT

Tencent -> Win32.Trojan.Filecoder.Lhwv
TrendMicro -> Ransom_FileCrypter.R067C0DJU20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> RegretLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .mouse


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RESTORE FILES.TXT

Содержание записки о выкупе:

Hello, friend.

All your files were encrypted.

If you want to restore them, please email us : petro@ctemplar.com

Your hash:

***

Перевод записки на русский язык:

Привет друг.

Все твои файлы зашифрованы.

Если хочешь восстановить их, напиши нам: petro@ctemplar.com

Ваш хеш:

***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Схема запуска вредоносного файла.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe /C wmic SHADOWCOPY DELETE & wbadmin DELETE SYSTEMSTATEBACKUP & bcdedit.exe / set{ default } bootstatuspolicy ignoreallfailures & bcdedit.exe / set{ default } recoveryenabled No wmic SHADOWCOPY DELETE

➤ RegretLocker использует особую технику монтирования файла виртуального диска, чтобы индивидуально зашифровать каждый из его файлов. Для монтирования виртуальных дисков RegretLocker использует функции Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk, GetVirtualDiskPhysicalPath. Таким образом он специально ищет VHD и монтирует их при обнаружении. После того, как виртуальный диск смонтирован как физический диск в Windows, RegretLocker может зашифровать каждый из них по отдельности, что увеличивает скорость шифрования.

Кроме использования API виртуального хранилища, RegretLocker также использует API диспетчера перезапуска Windows для завершения процессов или служб Windows, которые сохраняют файл открытым во время шифрования.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RESTORE FILES.TXT - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

locker.log

tor-lib.dll

locker.exe

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\AppData\Local\Temp\locker.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс:
svchost

Сетевые подключения и связи:

Tor-URL: xxxx://regretzjibibtcgb.onion

Malware-URL: xxxx://344744.cloud4box.ru/files/locker/locker.exe

Email: petro@ctemplar.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 ноября 2020:

Пост в Твиттере >>

Побробнее о реализации атаки с помощью смонтированных виртуальных дисков. 

 

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as RegretLocker)
 Write-up, Topic of Support
 Added later: Write-up by BC >>

 Thanks: 
 MalwareHunterTeam, S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 Vitali Kremez
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

MetadataBin

MetadataBin Ransomware

Ransomware32 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $1000, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ransomware.exe, ransomware32.exe. Написан на языке Rust.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32937, Trojan.Encoder.32940
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.44206852
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.uxgkl
ESET-NOD32 -> A Variant Of Win32/Filecoder.OED

Kaspersky -> Trojan.Win32.Udochka.y, Trojan-Ransom.Win32.Encoder.klv
Malwarebytes -> ***
Rising -> Ransom.Agent!1.CDE5 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09JP20
---

© Генеалогия: ??? >> MetadataBin

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: _encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_encrypted.txt

Содержание записки о выкупе: 

ATTENTION!!! ALL YOUR FILES HAVE BEEN ENCRYPTED

YOU HAVE TO PAY $1000 DOLLARS TO UNLOCK YOUR FILES.

PLEASE CONTACT <insert onion site here>.onion using Tor Browser.

Make sure to provide the metadata.bin file that you can find in your user

folder.

Перевод записки на русский язык:

ВНИМАНИЕ!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ

ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ $1000 ДЛЯ РАЗБЛОКИРОВКИ ФАЙЛОВ.

КОНТАКТ НА <вставьте сюда onion-сайт>.onion, используя Tor Browser.

Убедитесь, что передали файл metadata.bin, который можно найти в папке пользователя.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:

После доработки это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_encrypted.txt - название файла с требованием выкупа
ransomware.exe, ransomware.bin - названия вредоносного файла

ransomware32.exe - название вредоносного файла

metadata.bin - специальный файл

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >> IA>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 12 октября 2021:

Сообщение >>

Расширение: _encrypted

Записка: README_encrypted.txt

Tor-URL: hxxx://t2tqvp4pctcr7vxhgz5yd5x4ino5tw7jzs3whbntxirhp32djhi7q3id.onion
Файл: hptestu.exe

Результаты анализов: VT + TG + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 xiaopao, 0x4143, Karsten Hahn
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

InstallPay

InstallPay Ransomware

InstallPay Cover-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0026 BTC (30$), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.9
BitDefender -> Trojan.GenericKD.44233226
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.lwxhw
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACV
Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:MSIL/FileCoder.AB!MTB
Rising -> Ransom.Agent!1.CE20 (CLASSIC)
Symantec -> Downloader
TrendMicro -> TROJ_FRS.VSNW19J20


© Генеалогия: ??? >> InstallPay

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypted

Этимология названия и пояснения: 

Среди осмотренного "багажа" не было обнаружено никаких индивидуальных принадлежностей, которые могли бы идентифицировать программу и узнать ее название. Файл проекта и установочный файл называются Install.pdb и Install.exe соответственно. Визитная карточка - файл pay.jpg. Отсюда название InstallPay Ransomware. 

Cover-Ransomware — я ввел новое название для программ-вымогателей, которые являются прикрытием для установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя подобным образом, уже были описаны в нашем Дайджесте, но мы не выделяли это в отдельный вид. 

В различных Cover-Ransomware вредоносным компонентом могут быть трояны различного действия, банковские трояны (банкеры), инфостилеры (здесь — Echelon Stealer и Avalon Stealer), стиратели, деструкторы, doxware, майнеры и прочие. Описание смотрите в нашем Глоссарии. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных и испаноязычных пользователей, что позволяет распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, заменяющее обои Раббочего стола и экран блокировки, в поля которого нужно ввести KEY1 и KEY2. 

Содержание текста с экрана: 

HEY. AS YOU ALREADY UNDERSTOOD, I HAVE ALL THE

LOGINS/PASSWORDS FOR ALL YOUR ACCOUNTS

AND ENCRYPT SOME YOUR FILES.

I GIVE YOU A CHOICE:

1. I DELETE YOU FROM MY DATABASE AND UNLCOK YOUR FILES.

2. I SELL YOUR DATA AND EVERYTHING I FOUND

ON THE BLACK MARKET.

IF YOU CHOOSE 1 ST WAY - SEND 0,0026 BTC (30$) TO WALLET

1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M

I GIVE YOU 40 HOURS

FOR MORE INFORMATION CHECK INSTALL.EXE

Перевод текста с экрана на русский язык: 

ПРИВЕТ. КАК ВЫ УЖЕ ПОНЯЛИ, У МЕНЯ ВСЕ ЛОГИНЫ / ПАРОЛИ ОТ ВСЕХ ВАШИХ АККАУНТОВ И ЗАШИФРОВАНЫ НЕКОТОРЫЕ ВАШИ ФАЙЛЫ.

Я ДАЮ ВАМ ВЫБОР:

1. Я УДАЛЮ ВАС ИЗ МОЕЙ БАЗЫ ДАННЫХ И РАСКРОЮ ВАШИ ФАЙЛЫ.

2. ПРОДАЮ ВАШИ ДАННЫЕ, ЧТО НАШЕЛ, Н
А ЧЕРНОМ РЫНКЕ.

ЕСЛИ ВЫ ВЫБИРАЕТЕ 1 ПУТЬ - ОТПРАВЬТЕ 0,0026 BTC (30 $) НА КОШЕЛЬК

1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M

ДАЮ ВАМ 40 ЧАСОВ

ДЛЯ ИНФОРМАЦИИ ПРОВЕРЬТЕ INSTALL.EXE

 

 

Скриншоты, полученные из разных систем

---

Из того, что удалось найти, есть ещё двуязычный текст на английском и испанском, но некоторые испанские буквы искажены. 

Содержание текста о выкупе (из кода): 

HEY. AS YOU ALREADY UNDERSTOOD, I HAVE ALL THE LOGINS/PASSWORDS FOR ALL YOUR ACCOUNTS AND ENCRYPT SOME YOUR FILES.

I GIVE YOU A CHOICE:

1. I DELETE YOU FROM MY DATABASE AND UNLCOK YOUR FILES.

2. I SELL YOUR DATA AND EVERYTHING I FOUND ON THE BLACK MARKET.

IF YOU CHOOSE 1ST WAY - SEND 0,0026 BTC (30$) TO WALLET 

1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M

I GIVE YOU 48 HOURS if you don't know how to buy bitcoin, just ask google or just follow the link https://bitcoin.org/en/buy and buy 0,0026 BTC on my wallet address after this send me your KEY1 on James.Roach.10@gmail.com

HOLA. COMO USTED YA ENTIENDE, SUS INICIOS DE SESIÓN/CONTRASEÑAS PARA TODAS LAS CUENTAS CONMIGO, TAMBIÉN ENCRIPTÉ ALGUNOS DE SUS ARCHIVOS.

 LE OFRECGO UNA OPCIÓN: 

1. ELIMINARÉ SUS DATOS DE MI BASE DE DATOS Y DESCODIFICARÉ SUS ARCHIVOS. 

2. VENDO TUS DATOS EN EL MERCADO NEGRO. 

SI ELIGE LA PRIMERA MANERA - ENVÍE 0.0026 BTC ($ 30) A WALLET 1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M 

TE DOY 48 HORAS si no sabes cómo comprar bitcoin - pregunta a google o simplemente sigue el enlace https://bitcoin.org/en/buy y comprar 0.0026 bitcoins a mi número de billetera. y luego envíeme su KEY1 a James.Roach.10@gmail.com

Перевод текста на русский язык: 

ПРИВЕТ. КАК ВЫ УЖЕ ПОНЯЛИ, У МЕНЯ ЕСТЬ ВСЕ ЛОГИНЫ/ПАРОЛИ ДЛЯ ВСЕХ ВАШИХ УЧЕТНЫХ ЗАПИСЕЙ И ЗАШИФРОВАНЫ НЕКОТОРЫЕ ВАШИ ФАЙЛЫ.

ДАЮ ВАМ ВЫБОР:

1. Я УДАЛЯЮ ВАС ИЗ МОЕЙ БАЗЫ ДАННЫХ И РАЗЛОЧУ ВАШИ ФАЙЛЫ.

2. Я ПРОДАЮ ВАШИ ДАННЫЕ И ВСЁ, ЧТО НАШЕЛ, НА ЧЕРНОМ РЫНКЕ.

ЕСЛИ ВЫ ВЫБИРАЕТЕ ПЕРВЫЙ СПОСОБ - ОТПРАВЬТЕ 0,0026 BTC (30$) НА КОШЕЛЕК

1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M

Я ДАЮ ВАМ 48 ЧАСОВ, если вы не знаете, как купить биткойны, просто спросите Google или просто перейдите по ссылке https://bitcoin.org/en/buy и купите 0,0026 BTC на адрес моего кошелька, после этого отправьте мне свой KEY1 на James.Roach.10@gmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ В составе обнаружены инфостилеры (Echelon Stealer и Avalon Stealer), которые используюся для хищения информации. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pay.jpg - название файла-изображения с требованием выкупа

Install.pdb - название файла проекта 
Install.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Public\Documents\pay.jpg

%USERPROFILE%\Desktop\projects\Install\Install\obj\Release\Install.pdb"

C:\Users\google\Desktop\projects\Install\Install\obj\Release\Install.pdb

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-293278959-2699126792-324916226-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Public\\Documents\\pay.jpg"

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: James.Roach.10@gmail.com
BTC: 1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

Video demo of the attack

 Thanks: 
 S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.