Tripoli

Tripoli Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Tripoli ransomware. На файле написано: нет данных.
---
Обнаружения (образец от 31 марта 2021): 
DrWeb -> Trojan.Encoder.33744
BitDefender -> Trojan.GenericKD.36620265

ESET-NOD32 -> A Variant Of Win32/TrojanDownloader.Nymaim.BA

Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Malwarebytes -> Trojan.Nymaim

Microsoft -> Trojan:Win32/Vundo.gen!L

Rising -> Ransom.Encoder!8.FFD4 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R011C0DD421

---

© Генеалогия: ???  >> Tripoli

Изображение — логотип статьи

К зашифрованным файлам добавляется составное расширение, состоящее из сокращенного названия атакованной компании (компьютера) + слово "crypt".

Шаблон: .<company_name>crypt или .<pc_name>crypt

Пример: .bestsoftcrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: HOW_FIX_FILES.htm

Содержание записки о выкупе:

All files including videos, photos and documents on your computer are encrypted by Tripoli ransomware.

File decryption costs money.

In order to decrypt the files, you need to perform the following steps:

1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en

2. After installation, run the browser and enter the address: 7v2fgph2jakawhul.onion

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION

You should enter the personal code on the tor site.

Your Personal CODE:

E4D50***** [total 40 HEX characters]

Перевод записки на русский язык:

Все файлы, включая видео, фото и документы на вашем компьютере, зашифрованы Tripoli ransomware.

Расшифровка файлов стоит денег.

Для расшифровки файлов вам надо сделать следующие шаги:

1. Вам надо загрузить и установить этот браузер http://www.torproject.org/projects/torbrowser.html.en

2. После установки запустите браузер и введите адрес: 7v2fgph2jakawhul.onion

3. Следуйте инструкциям на сайте. Напоминаем, что чем раньше вы это сделаете, тем больше будет шансов восстановить файлы.

Гарантированное восстановление только в течении 10 дней.

ВАЖНАЯ ИНФОРМАЦИЯ

Вам надо ввести личный код на сайте tor.

Ваш личный КОД:

E4D50***** [всего 40 знаков HEX]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_FIX_FILES.htm - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 7v2fgph2jakawhul.onion

 

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов: для раннего варианта не найдены.
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант января 2021:

Пост на форуме >>

Вариант от 31 марта 2021:

Сообщение >>

Сообщение >>

Расширение (пример): .uniwinnicrypt

Расширение (шаблон): .<company_name>crypt

Записка: HOW_FIX_FILES.htm

 

Файл: SearchUI.exe

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33744

BitDefender -> Trojan.GenericKD.36620265

ESET-NOD32 -> A Variant Of Win32/TrojanDownloader.Nymaim.BA

Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Malwarebytes -> Trojan.Nymaim

Microsoft -> Trojan:Win32/Vundo.gen!L

Rising -> Ransom.Encoder!8.FFD4 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R011C0DD421

*** пропущенные варианты ***

Вариант от 7 декабря 2021:

Расширение: .Cat4er

Записка: HOW_FIX_FILES.htm

➤ Содержание записки: 

Hello

All files including videos, photos and documents on your computer are encrypted by Cat4er ransomware.

File decryption costs money.

In order to decrypt the files, you need to perform the following steps:

1. You should download and install this browser: https://www.torproject.org/download/

2. After installation, run the browser and enter the address: b6eiwvxyjjsiesbtimdyaif6dzmnxepq5ye7j4g6tejw3k56fqehrbyd.onion

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION

You should enter the personal code on the tor site.

Your Personal CODE:

CCD001*** [всего 40 знаков HEX]

---

Скриншоты с сайта вымогателей

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myTweet
 ID Ransomware (ID as Tripoli)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, PolarToffee
 Andrew Ivanov (article author)
 quietman7
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Pay2Key

Pay2Key Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA (для некоторых функций еще использует алгоритм RC4), а затем требует выкуп в 7-9 BTC (около 110-140 тысяч долларов), чтобы вернуть файлы. Оригинальное название: Pay2key (написано в заголовке записки). На файле написано: Cobalt.Client.exe. Написан на C++ и скомпилирован с использованием MSVC ++ 2015. Вероятно управляется из Ирана. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33027, Trojan.Encoder.33028, Trojan.Encoder.33029
BitDefender -> Trojan.GenericKD.35120498, Trojan.GenericKD.35120626, Trojan.GenericKD.35120535
Avira (no cloud) -> TR/AD.Pay2keyRansom.xdwes, TR/FileCryptor.gufqt, TR/FileCryptor.kykon
ESET-NOD32 -> A Variant Of Generik.DVXTLZU, A Variant Of Win32/Filecoder.OEU
Malwarebytes -> Ransom.FileCryptor, Ransom.Pay2Key

Microsoft -> Program:Win32/Wacapew.C!ml, Trojan:Win32/Ymacco.AA5B, Trojan:Win32/Wacatac.C!ml
Rising -> Trojan.Generic@ML.94 (RDML:z2R*, Trojan.Generic@ML.89 (RDMK:TFU*
Symantec -> Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.PAY2KEY.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Pay2Key

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pay2key


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые атаки были направлены против организаций в Израиле. Позже пришли сообщения о пострадавших организациях в Бразилии. 

Записка с требованием выкупа называется по шаблону: [ORGANIZATION]_MESSAGE.TXT

Содержание записки о выкупе: 

PAY2KEY

HELLO *** USERS!

Congratulations!

Your entire network and all your informations such as computers/ employees information/ users folders/ servers/ file-servers/

applications/ databases/etc... in your network has been successfully encrypted!

Some of your important information dumped and ready to leak, in case we can't make a good deal!

Don't modify encrypted files or you can damage them and decryption will be impossible!

Don't try unofficial decryptors to recover your files or you can damage them and decryption will be impossible!

There is only ONE possible way to get back your files! Pay and contact to receive your special decryptor!

You should pay 7 BTC to receive official decryptor and easily recover your files. ***special decryptor is now ready and

waiting for your payment, let's do it!

You can send 4 random files from any computers and receive decrypted data, just as a proof that works!

Your UserlD IS: ***

Your Network ID ***

| NOTICE |

Offer available until 11/08/2020. If you do not pay on time, price will be doubled!

Wallet: ***

E-mail: 

pay2key@tuta.io

pay2key@pm.me

Keybase: 

Pay2Key

Перевод записки на русский язык: 

Поздравляем!

Вся ваша сеть и вся ваша информация, такая как компьютеры / информация о сотрудниках / пользовательские папки / серверы / файловые серверы /

приложения / базы данных / и т.д ... в вашей сети были успешно зашифрованы!

Часть вашей важной информации сброшена и готова к утечке на случай, если мы не сможем заключить выгодную сделку!

Не изменяйте зашифрованные файлы, иначе вы можете повредить их и расшифровать будет невозможно!

Не пытайтесь восстановить файлы с помощью неофициальных дешифраторов, иначе вы можете повредить их и расшифровать будет невозможно!

Есть только ОДИН способ вернуть ваши файлы! Оплатите и свяжитесь, чтобы получить специальный дешифратор!

Вы должны заплатить 7 BTC, чтобы получить официальный дешифратор и легко восстановить свои файлы. *** специальный дешифратор готов и

ждем оплаты, давайте!

Вы можете отправить 4 случайных файла с любого компьютера и получить расшифрованные данные, что является доказательством того, что это работает!

Ваш UserlD: ***

Ваш Network ID ***

| УВЕДОМЛЕНИЕ |

Предложение действительно до 8.11.2020. Если вовремя не заплатить, цена удвоится!

Кошелек: ***

E-mail:

pay2key@tuta.io

pay2key@pm.me

Keybase:

Pay2Key

ASCII-арт в записке настраивается для каждой организации. 

Красным цветом выделены ошибки, харатерные для тех, кому английский язык неродной. 

Вместо звездочек *** должно быть то, что было скрыто исследователями. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP. Точнее: группа хакеров-вымогателей, которая получила название Pay2Key, осуществляет целевые атаки на израильские компании. Эта запущенная иранскими хакерами вредоносная кампания является частью продолжающейся киберконфронтации между Израилем и Ираном. Первоначальное атака происходит через RDP-соединение. Далее используется PsExec.exe для запуска программы-вымогателя (файл Cobalt.Client.exe) на разных машинах в организации. 

Хакеры-вымогатели, использующие Pay2Key, проникают в целевые сети быстро, в течение часа, распространяют программу-вымогатель по всей сети. Кроме того они устанавливают устройство, которое будет использоваться в качестве прокси для всех исходящих сообщений между компьютерами, инфицированные Pay2Key Ransomware и C&C. Это помогает им снизить риск обнаружения перед шифрованием всех доступных систем в сети.

Пока нет данных о других способах распространения, но после перенастройки вполне может начать распространяться помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ По данным исследователей, Pay2Key находится в стадии активной разработки и разработчики обновляют его дополнительными функциями. Например, в ранней версии программа-вымогатель не подчищала за собой следы активности и это позволила исследовать её работу, но в последней рассмотреной на момент написании статьи версии исследователи заметили, что злоумышленники добавили механизм самоуничтожения в дополнение к новому аргументу командной строки --noreboot.

На этом скриншоте представлена функция, которая отвечает за удаление программы-вымогателя и его файлов и перезапуск систем. Для выключения ПК используется команда: 

Shutdown /r /f /t 0

Подробности о шифровании:

Используется гибрид симметричной и асимметричной криптографии - с использованием алгоритмов AES и RSA. Сервер C&C генерирует и передает открытый ключ RSA во время выполнения. Это означает, что Pay2Key не выполняет шифрование в автономном режиме и если нет подключения к Интернету или C&C недоступен, то шифрование не произойдет. 

Исследователи заметили, что для некоторых криптографических функций (не для шифрования файлов) используется алгоритм RC4. Авторы Pay2Key использовали стороннюю реализацию (через Windows API).

Network ID из записки (формат GUID) сохраняется как ASCII в начале файла, за ним идут некоторые метаданные как [WORD length][data], включая исходное имя файла.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
[ORGANIZATION]_MESSAGE.TXT - название файла с требованием выкупа

Cobalt.Client.exe - исполняемый файл Pay2Key

Config.ini - файл конфигурации, в котором указаны "Сервер" и "Порт".

Cobalt-Client-log.txt - файл журнала, используется программой-вымогателем во время выполнения

ConnectPC.exe - файл подключения к компьютерам сети, используется для ретрансляции сообщений от жертв внутри организации на внешний сервер управления

Cobalt.Client.pdb - оригинальный файл проекта

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\Temp\[organization-name]tmp\Cobalt.Client.exe

F:\2-Sources\21-FinalCobalt\Source\cobalt\Cobalt\Cobalt\Win32\Release\Client\Cobalt.Client.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pay2key@tuta.io, pay2key@pm.me
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Некоторые другие образцы можно найти на сайте BA:

https://bazaar.abuse.ch/browse/tag/Pay2key/

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myTweet
 ID Ransomware (ID as Pay2Key)
 Write-up, Topic of Support
 Added later: Write-up by BC >> 

 Thanks: 
 CheckPoint, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SZ40, Lorenz

SZ40 Ransomware

Lorenz Ransomware

Lorenz (SZ40) Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов RSA + AES (режим CBC), а затем требует выкуп в 50 BTC, чтобы вернуть файлы. Угрожает опубликовать украденные данные в Интернете. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> *** / Trojan.Encoder.33931
BitDefender ->  Gen:Variant.Doina.12046
Avira (no cloud) -> TR/Ransom.Agent.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.D
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.THUNDERCRYPT.A, Ransom.Win32.THUNDERCRYPT.SM
---

© Генеалогия: ThunderCrypt >> SZ40 > Lorenz

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sz40

Неизвестно, статическое это название или изменяемое. Это может быть аббревиатура названия ПК или компании. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP_SECURITY_EVENT.html

Содержание записки о выкупе: 

.sz40

Good day!

We have download and encrypted all your company files!

We did this using hybrid RSA-2048 public key encryption. It basically means there is no way to decrypt your files without the private key. The private key is stored on our server.

Indeed, we can recover your files. You just have to pay us before the deadline.

If you don't, the private key will be securely erased from our server, you lose encrypted files forever and we will publish all the contents of your company includes client's databases with personal data on the internet.

Transfer required amount to the Bitcoin address below, wich was generated just for your payment. As soon as the transaction gets confirmed, leave your contact mail to hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (it's Tor site, use Tor Browser hxxxs://www.torproject.org/download/) to get instructions and key to restore all your files.

WARNING! Antivirus software, police or anyone can't decrypt your files. Also any attemps to modify files may damaged them and even we won't be able to recover them.

Bitcoin walet:

***

Amount:

50 Btc

Deadline:

11/03/2020

Перевод записки на русский язык: 

.sz40

Добрый день!

Мы скачали и зашифровали все файлы вашей компании!

Мы сделали это, используя гибридное шифрование с открытым ключом RSA-2048. По сути, это значит, что невозможно расшифровать ваши файлы без закрытого ключа. Закрытый ключ хранится на нашем сервере.

Да, мы можем восстановить ваши файлы. Вы просто должны заплатить нам до истечения срока.

Если вы этого не сделаете, закрытый ключ будет удален с нашего сервера, вы потеряете зашифрованные файлы навсегда, а мы опубликуем все содержимое вашей компании, включая клиентские базы данных с личными данными в Интернете.

Переведите нужную сумму на указанный ниже биткойн-адрес, который был сгенерирован только для вашего платежа. Как только транзакция будет подтверждена, оставьте свой контактный email-адрес на hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (это сайт Tor, используйте браузер Tor hxxxs://www.torproject.org/download/), чтобы получить инструкции и ключ. чтобы восстановить все ваши файлы.

ПРЕДУПРЕЖДЕНИЕ! Антивирусная программа, полиция или кто-то еще не смогут расшифровать ваши файлы. Также любые попытки изменить файлы могут повредить их, и даже мы не сможем их восстановить.

Биткойн-кошелек:

***

Количество:

50 Btc

Крайний срок:

11.03.2020

Скриншот указанного в записке Tor-сайта. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Очищает системыне журналы. 

Регистрируется как системная служба, чтобы обеспечить автоматический запуск вредоносного файла при каждом запуске системы, добавляет в реестр следующий ключ:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускает следующие директории: 

$Recycle.Bin

All Users

Local

Microsoft

Packages

Program Files

Program Files (x86)

ProgramData

Temp

WINDOWS

Windows

Маркер зашифрованных файлов:

Файлы, связанные с этим Ransomware:
HELP_SECURITY_EVENT.html - название файла с требованием выкупа;

<random>.js - вредоносный файл-скрипт;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123

Мьютексы:
sz40

Сетевые подключения и связи:
Tor-URL: hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php

Email:
BTC: скрыт исследователем
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

ThunderCrypt Ransomware - май 2017

SZ40 Ransomware - октябрь 2020

Lorenz Ransomware - март 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 4 марта 2021:

Описание >>

Самоназвание: Lorenz Ransomware

Расширение: аббревиатура названия ПК или компании. 

Замеченные расширения: .Lorenz или .Lorenz.sz40

Записка: HELP_SECURITY_EVENT.html

Файлы: %User Temp%\MoUsoCoreWorker.exe

%Windows%\dws.exe

%Windows%\tWjdf.js

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33931

BitDefender -> Gen:Variant.Johnnie.310333, Gen:Variant.Doina.12046

Rising -> Ransom.Gen!8.DE83 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> Ransom.Win32.THUNDERCRYPT.SM

---

Сообщение от 30 июня 2021: 

Tesorion выпустила бесплатный дешифратор для Lorenz Ransomware, который позволяет жертвам бесплатно восстанавить некоторые свои файлы (документы Office, файлы PDF, некоторые типы изображений и видеофайлы) без уплаты выкупа. Другие типы файлов не будут расшифрованы. 

Сообщение >>

Загрузить дешифровщик можно с сайта NoMoreRansom по ссылке >>

Вариант от 14 ноября 2021: 

Сообщение >>

Расширение: .Lorenz.sz40

Записка: HELP_SECURITY_EVENT.html

Файл изображения: ECes1Ma81x0h.bmp

Сайт: hxxx://lorenzezzket6afhfqfjagefsrjn44edsgi26kq4sfhqjal6wyneh4yd.onion

Сайт Leaks: hxxx://lorenzmlwpzgxq736jzseuterytjueszsvznuibanxomlpkyxk6ksoyd.onion

Результаты анализов: VT + TG

 

=== 2022 ===

Вариант от 2 марта 2022:

Статья о новом варианте >>

Расширение: .Lorenz.sz40

Записка: HELP.TXT

Tor-URL: hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion

hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion.ly

Результаты анализов: VT + IA + HA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.35136

BitDefender -> Trojan.GenericKD.39120532

ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.F

Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypren.gen

Malwarebytes -> Ransom.Lorenz

Microsoft -> Trojan:Win32/Tnega!ml

Rising -> Ransom.Convagent!8.123A1 (CLOUD)

TrendMicro -> Ransom_Crypren.R002C0WC522

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myTweet
 ID Ransomware (ID as ThunderCrypt / Lorenz)
 Write-up, Topic of Support
 * 

Внимание!
В некоторых случаях файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >> 
---
Загрузить дешифровщик для Lorenz можно по ссылке >>

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 Kangxiaopao
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CCECrypt

CCECrypt Ransomware

CCE Ransomware

AIEOU Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Описанный вариант предназначен для Windows x64. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32965
BitDefender -> Trojan.GenericKD.44254481
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.terpo
ESET-NOD32 -> A Variant Of Win64/Filecoder.CQ

Kaspersky -> Trojan.Win32.Udochka.ba
Malwarebytes -> Ransom.CCECrypt
Rising ->
Symantec -> Trojan.Gen.2

Tencent -> Win32.Trojan.Udochka.Lkdo
TrendMicro -> TROJ_GEN.R002C0WJV20


© Генеалогия: ??? >> CCECrypt (CCE) 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aieou
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

Your files were infected with ransomware and encrypted. If you wish to recover, please contact the email address below and pay 1 BTC or more.cce_2020_final@cce2020.kr

Перевод записки на русский язык:
Ваши файлы заражены ransomware и зашифрованы. Если хотите вернуть, пишите на email-адрес ниже и платите 1 BTC или more.cce_2020_final@cce2020.kr

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
<random>.exe - название вредоносного файла

n0tepad.exe - название вредоносного файла

20200824_112607.exe - название вредоносного файла

cce_final_ransom.pdb - файл оригинального проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\user\Desktop\n0tepad.exe

C:\Windows\system32\conhost.exe

C:\Users\Administrator\source\repos\cce_final_ransom\x64\Release\cce_final_ransom.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: more.cce_2020_final@cce2020.kr
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.