Lola, Blockchain

Lola Ransomware

Blockchain Generator 2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: BLOCKCHAIN GENERATOR 2021.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop15.59723
BitDefender -> Trojan.GenericKD.35089323
ESET-NOD32 -> A Variant Of MSIL/Filecoder.GZ
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Trojan.Crypt.Generic
Microsoft -> Trojan:Win32/Ymacco.AA50
Rising -> Trojan.Pack-RAR!1.BB61 (CLASSIC)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> TROJ_GEN.R002C0GK620


© Генеалогия: ??? >> Lola (Blockchain Generator 2021) 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lola


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Please_Read.txt

Содержание записки о выкупе: 

------------------------ ALL YOUR FILES ARE ENCRYPTED ------------------------

Don't worry, you can return all your files!

All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key. 

The only method of recovering files is to purchase decrypt tool and unique key for you.

This software will decrypt all your encrypted files.

What guarantees do we give to you?

You can send one of your encrypted file from your PC and we decrypt it for free.

But we can decrypt only 1 file for free. File must not contain valuable information

Don't try to use third-party decrypt tools because it will destroy your files.

Discount 50% available if you contact us first 72 hours.

-----------------------------------------------------------------------------------------

To get this software you need write on our e-mail : vjkumaren@protonmail.com

You will receive btc address for payment in the reply letter

Your personal ID : ***

Перевод записки на русский язык: 

------------------------ ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ ------------------------

Не волнуйтесь, вы можете вернуть все свои файлы!

Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.

Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.

Эта программа расшифрует все ваши зашифрованные файлы.

Какие гарантии мы вам даем?

Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.

Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации

Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.

Скидка 50% будет, если вы свяжетесь с нами в первые 72 часа.

-------------------------------------------------- ---------------------------------------

Чтобы получить эту программу, вам надо написать на наш email: vjkumaren@protonmail.com

В ответном письме вы получите адрес btc для оплаты

Ваш личный ID: ***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов с помощью команд:

"cmd.exe" /c vssadmin.exe delete shadows /all /quiet 

vssadmin.exe delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Please_Read.txt - название файла с требованием выкупа
BLOCKCHAIN GENERATOR 2021.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vjkumaren@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
В некоторых случаях файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

 Read to links: 
 Message + Message
 ID Ransomware (ID as Lola)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RedRoman

RedRoman Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: RedROMAN. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33104
BitDefender -> Trojan.GenericKD.44472883
Avira (no cloud) -> TR/Instructions.mgjun
ESET-NOD32 -> A Variant Of Generik.IOECIRZ
Kaspersky -> Trojan-Ransom.Win32.Instructions.th
Malwarebytes -> Ransom.SepSys
Microsoft -> Ransom:Win32/Genasom
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Instructions.Dxwx
TrendMicro -> Ransom_Instructions.R002C0WKG20


© Генеалогия: Silvertor > RedRoman

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .REDROMAN


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 

OPENTHIS.html

RR_README.html

README.html

Примечательно, что содержание кода этих записок отличается: содержит небольшой кружок (ссылка на онлайн файл small_red_dot.png) и приписку <!-- RED ROMAN -->. 

 

 

Содержание записки о выкупе:

Critical Error!

Your files have been corrupted!

Follow these directions to easily restore them:

1. Purchase around $200 in Bitcoin (BTC). To learn more about Bitcoin, visit https://bitcoin.org/en/buy or https://buy.bitcoin.com

2. Send the new Bitcoin to the following address: 14BfVG4vH71NLmhu7vFKi9EMmeZFoiAsYP

3. Contact our Tech Support team at insupport@messagesafe.io and explain your issue.

4. After confirming your Bitcoin transfer, we will send you a file-repair tool to fix your entire system.

5. Run our file-cleaner and wait... Your data will be restored.

To test our services, you may send up to 2 files for repairing before making the Bitcoin transfer.

Estimated repair time after Bitcoin transfer: 24 hours

Перевод записки на русский язык:

Критическая ошибка!

Ваши файлы повреждены!

Следуйте этим инструкциям, чтобы легко восстановить их:

1. Купите около $200 в биткойнах (BTC). Чтобы узнать больше о биткойнах, посетите https://bitcoin.org/en/buy или https://buy.bitcoin.com.

2. Отправьте новый биткойн по следующему адресу: 14BfVG4vH71NLmhu7vFKi9EMmeZFoiAsYP.

3. Свяжитесь с нашей службой технической поддержки по адресу inspport@messagesafe.io и объясните свою проблему.

4. После подтверждения перевода биткойнов мы отправим вам инструмент для восстановления файлов, который исправит всю вашу систему.

5. Запускаем наш очиститель файлов и ждем... Ваши данные будут восстановлены.

Чтобы протестировать наши услуги, вы можете отправить до 2 файлов на исправление перед переводом биткойнов.

Расчетное время исправления после передачи биткойнов: 24 часа

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Добавляет файлы с требованием выкупа в Автозагрузку Windows. 

Удаляет етеневые копии файлов, манипулирует размером хранилища. Использует net.exe для изменения прав пользователя, добавляет RedROMAN. 

powershell -WindowStyle Hidden get-wmiobject win32_computersystem | fl model 

powershell Start-Process C:\ProgramData\amdkey.bat -Verb runas 

C:\Windows\System32\cmd.exe /C C:\ProgramData\amdkey.bat 

vssadmin.exe Delete Shadows /All /Quiet 

vssadmin.exe Resize ShadowStorage /For=C: /On=C: /MaxSize=320MB 

net user /add RedROMAN p4zzaub71h 

C:\Windows\system32\net1 user /add RedROMAN p4zzaub71h 

net localgroup administrators RedROMAN /add 

C:\Windows\system32\net1 localgroup administrators RedROMAN /add

 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:

OPENTHIS.html - название файла с требованием выкупа

RR_README.html - название копии файла с требованием выкупа

README.html - название копии файла с требованием выкупа

NUDIFYv1.0.exe - название вредоносного файла

amdkey.bat - специальный командный файл

BlueGreek-ede1be7933def180.pdb - файл проекта

ENTER-PASSWORD-HERE.txt

dsc.sys

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

\Desktop\OPENTHIS.html

\Desktop\README.txt

\ProgramData\dsc.sys

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OPENTHIS.html

C:\ProgramData\RR_README.html

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.html

C:\Users\User\Desktop\OPENTHIS.html

%USERPROFILE%\Documents\Experiments\virusTests\BlueGreek\target\debug\deps\BlueGreek-ede1be7933def180.pdb

C:\Users\tinop\Documents\Experiments\virusTests\BlueGreek\target\debug\deps\BlueGreek-ede1be7933def180.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: insupport@messagesafe.io
BTC: 14BfVG4vH71NLmhu7vFKi9EMmeZFoiAsYP

Ссылка на красный кружок: xxxxs://2no.co/3uXh54
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞  Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

SepSys Ransomware - февраль 2020

Silvertor Ransomware - июль 2020

RedRoman Ransomware - ноябрь 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

68-Random-HEX

68-Random-HEX Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33082
BitDefender -> Gen:Variant.Doris.6643
ALYac -> Gen:Variant.Doris.6643
Avira (no cloud) -> TR/FileCoder.jjaeb
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEF
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Filecoder!8.68 (TFE*
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Gen.R002C0WKD20


© Генеалогия: ??? >> 68-Random-HEX

Изображение — логотип статьи

К каждому зашифрованному файлу добавляется случаной расширение по шаблону: .<68_Random_HEX>

Примеры таких расширений: 

.069C4FC52D2230F61C4D8B92C5EB6B17F3136B1689CE73D4F0A66F039BA88B0E

.EAA43A4E509ESF1EFBC194C87B60F1D33FFCA0939C485D45F6A3718508228A74

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в первой половине ноября 2020 г. После доработки может быть ориентирован на англоязычных пользователей, что позволит распространять его по всему миру.

Записка с требованием выкупа называется: PUSSY.TXT

Содержание записки о выкупе: 
abcd

Перевод записки на русский язык: 
абцд

Технические детали

Вероятно находится в разработке, поэтому активно не распространеяется. После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
После дорабобтки это наверняка будут самые популярные форматы файлов: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PUSSY.TXT - название файла с требованием выкупа
build.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Сообщение от 0x4143 >>
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 0x4143
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HowAreYou

HowAreYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33072
BitDefender -> Trojan.GenericKD.35166310
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.gohun
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEP
Malwarebytes -> Ransom.FileCryptor
Symantec -> Downloader
TrendMicro -> Ransom_HwruGo.R011C0DKC20


© Генеалогия: ??? >> HowAreYou

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .howareyou

Файлы не переименовываются, но все буквы переводятся в нижний регистр. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __read_me_.txt

Содержание записки о выкупе: 

Your files have been encrypted and copied to our private servers!

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ ПРИВЕДЕТ К БЕЗВОЗВРАТНОМУ ПОВРЕЖДЕНИЮ ФАЙЛОВ.

DO NOT MODIFY ENCRYPTED FILES.

DO NOT RENAME ENCRYPTED FILES.

But keep calm! There is a solution for your problem!

For some money reward we can decrypt all your encrypted files.

Also we will delete all your private data from our servers.

To prove that we are able to decrypt your files we give you the ability to decrypt 2 files for free.

So what is you next step ? Contact us for price and get the decryption software.

Our Mail: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li

Your ClientId: XXXXXXXXXXXXXXXX

We would share your SENSITIVE DATA in case you refuse to pay.

Перевод записки на русский язык: 

Ваши файлы зашифрованы и скопированы на наши частные серверы!

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ НАДО ИСПРАВИТ ЭТО.

НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Но успокойся! Решение вашей проблемы есть!

За небольшое денежное вознаграждение мы можем расшифровать все ваши зашифрованные файлы.

Также мы удалим все ваши личные данные с наших серверов.

Чтобы доказать, что мы можем расшифровать ваши файлы, мы даем вам возможность бесплатно расшифровать 2 файла.

Итак, каков ваш следующий шаг? Свяжитесь с нами, чтобы узнать цену и получить программу для дешифрования.

Наша почта: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li

Ваш ClientId: XXXXXXXXXXXXXXXX

Мы поделимся вашими ДАННЫМИ, если вы откажетесь платить.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
__read_me_.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message 
 ID Ransomware (ID as HowAreYou)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Devos

Devos Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->


© Генеалогия: ??? >> Devos

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 

.devos

.devoscpu

Зашифрованный файл

Незашифрованный файл

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt text.txt

Содержание записки о выкупе: 

问： 我的文件怎么了？

答: 糟糕，您的重要文件己加密。这意味着您将无法再访问它们，直到它们被解密。

如果您进循我们的指示，我们保证您可以快速安全地解密所有文件！

让我们开始解密！

问： 我该怎么办？

答: 首先，您需要支付解密服务费。

请犮送0.1个比特币到该比特币地址： 1CyPFUjebf2SuzAbDY5it4uacMfaBmQRCt

您的密钥: hkmkZMF4gRC4te2Og+Ib4boG+EV+Q6/er7tufBjWlXJPKoqZ/LTLra***

您的密钥和您向我们支付比特币的时间将犮送到我们的电子邮件地址： devosapp@aaathats3as.com

收到比特币后，我们会将您的解密密码和解密软件发送到您的邮箱。获取密码后，在此软件上输入密码，即可解密所有文件！

问： 我如何信任？

答: 不用担心解密。

我们肯定会解密您的文件，因为如果我们欺骗用户，没人会相信我们

Перевод записки на русский язык: 

Вопрос: Что случилось с моими файлами?

Ответ: Увы, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.

Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все файлы!

Приступим к расшифровке!

Вопрос: Что мне делать?

Ответ: Во-первых, вам нужно оплатить за расшифровку.

Пожалуйста, отправьте 0.1 биткойн на этот биткойн-адрес: 1CyPFUjebf2SuzAbDY5it4uacMfaBmQRCt

Ваш ключ: hkmkZMF4gRC4te2Og+Ib4boG+EV+Q6 /er7tufBjWlXJPKoqZ/LTLra ***

Ваш ключ и время, когда вы заплатили нам биткойны, нужно отправить на наш email-адрес: devosapp@aaathats3as.com

После получения биткойнов мы отправим ваш пароль для расшифровки и программу для дешифрования на ваш email. После получения пароля введите его в этой программе, чтобы расшифровать все файлы!

В: Почему я должен доверять?

Ответ: Не беспокойтесь о расшифровке.

Мы обязательно расшифруем ваши файлы, потому что если мы обманем пользователей, нам никто не поверит

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt text.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: devosapp@aaathats3as.com
BTC: 1CyPFUjebf2SuzAbDY5it4uacMfaBmQRCt
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

В некоторых случаях файлы можно расшифровать!
Сообщение Kangxiaopao >>
Нужен 360 Ransomware Decryption Tools или 360 TotalSecurity

 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.