CryptoJoker 2020

CryptoJoker 2020 Ransomware

CryptoJoker-Nocry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 50€ в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: CryptoJoker.exe и NoCryCryptor. Новая вариация CryptoJoker, которая появляется каждый год, начиная с 2016 года. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.33011
BitDefender -> DeepScan:Generic.Ransom.Hiddentear.A.17A920E3
ALYac -> Trojan.Ransom.CryptoJoker
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CryptoJoker.C
Malwarebytes -> Ransom.CryptoJoker

Microsoft -> Ransom:MSIL/CryptJoke.B!bit
Rising -> Ransom.CryptJoke!8.EC67 (TFE*
Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_CryptJoke.R002C0DKA20


© Генеалогия: CryptoJoker 2016 ✂️ + EDA2 >> Executioner ⇔ CryptoJoker 2017 > ExecutionerPlus > CryptoNar (CryptoJoker 2018) > CryptoJoker 2019 > CryptoJoker 2020

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .nocry

Но используется, как в предыдущих вариантах в составе двух типов:

.partially.nocry

.fully.nocry

Одно используется для частичного шифрования файлов, другое для полного шифрования файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: CryptoJoker Recovery Information.txt

Содержание записки о выкупе: 

Hello! I am NocryCrypt0r

My name is NocryCrypt0r. I have encrypted all your precious files including images, videos, songs, text files, word files and etc.  So long story short, you are screwed... but you are lucky in a way. Why is that ?? I am ransomware that leave you an unlimited amount of time to gather the money

to pay me. I am not gonna go somewhere, neither do your encrypted files.

FAQ:

1. Can i get my precious files back??

Answer: Ofcourse you can. There is just a minor detail. You have to pay to get them back.

2. Ok, how i am gonna get them back?

Answer: You have to pay 50�  in bitcoin.

3. There isn't any other way to get back my files ?

Answer: Nahhh. Just our service.

4. Ok, what i have to do then ?

Answer: Simply, you will have to pay 50�  to this bitcoin address: 1yh3eJjuXwqqXgpu8stnojm148b8d6NFQ . When time comes to send me the money, make sure to include your e-mail and your personal ID(you can see it bellow) in the extra information box (it may apper also as 'Extra Note' or 'optional message') in order to get your personal decryption key. It may take up to 6-8 hours to take your personal decryption key.

5. What the heck bitcoin is ?

Answer: Bitcoin is a cryptocurrency and a digital payment system. You can see more information here: https://en.wikipedia.org/wiki/Bitcoin . I recommend to use 'Coinbase' or 'Bitcoin Wallet' as a bitcoin wallet, if you are new to the bitcoin-wallet. Ofcourse you can pay me from whatever bitcoin wallet you want, it deosn't really matter.

6. Is there any chance to unclock my files for free ?

Answer: Not really. After 1-2 or max 3 years there is propably gonna be released a free decryptor. So if you want to wait... it's fine. As i said, i am not gonna go somewhere.

7. What i have to do after getting my decryption key ?

Answer: Simple. Just press the decryption button bellow. Enter your decryption key you received, and wait until the decryption process is done.

Your personal ID: C4BA3647178BFBFF00050***

Перевод записки на русский язык: 

Привет! Я NocryCrypt0r

Меня зовут NocryCrypt0r. Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, word-файлы и т.д. Короче говоря, вы облажались ... но в каком-то смысле вам повезло. Почему это?? Я программа-вымогатель, которая оставляет вам неограниченное время на сбор денег заплатить мне. Я никуда не уйду, и твои зашифрованные файлы тоже.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:

1. Могу ли я вернуть свои драгоценные файлы?

Ответ: Конечно, можно. Небольшая деталь. Вы должны заплатить, чтобы вернуть их.

2. Хорошо, как мне их вернуть?

Ответ: Вы должны заплатить 50 евро в биткойнах.

3. Нет другого способа вернуть мои файлы?

Ответ: Неее. Просто наш сервис.

4. Хорошо, что мне тогда делать?

Ответ: Просто вам нужно будет заплатить 50 евро на этот биткойн-адрес: 1yh3eJjuXwqqXgpu8stnojm148b8d6NFQ. Когда придет время отправить мне деньги, обязательно укажите свой адрес email и свой личный ID (вы можете увидеть его ниже) в поле для дополнительной информации (оно может также отображаться как «Дополнительная заметка» или «дополнительное сообщение») в чтобы получить персональный ключ дешифрования. Получение личного ключа дешифрования может занять до 6-8 часов.

5. Что такое биткойн?

Ответ: Биткойн - это криптовалюта и цифровая платежная система. Вы можете увидеть дополнительную информацию здесь: https://en.wikipedia.org/wiki/Bitcoin. Я рекомендую использовать Coinbase или Bitcoin Wallet в качестве биткойн-кошелька, если вы новичок в биткойн-кошельке. Конечно, вы можете заплатить мне из любого биткойн-кошелька, какой захотите, это не имеет особого значения.

6. Есть ли шанс бесплатно разблокировать мои файлы?

Ответ: Не совсем. Через 1-2 или максимум 3 года, вероятно, будет выпущен бесплатный дешифратор. Так что если вы хотите подождать ... все в порядке. Как я уже сказал, я никуда не пойду.

7. Что мне делать после получения ключа дешифрования?

Ответ: просто. Просто нажмите кнопку дешифрования ниже. Введите полученный ключ дешифрования и дождитесь завершения процесса дешифрования.

Ваш личный ID: C4BA3647178BFBFF00050***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoJoker Recovery Information.txt - название файла с требованием выкупа
NoCryDecrypt0r.exe - название вредоносного файла

CryptoJoker.pdb - название оригинального файла проекта

CryptoJoker.exe - название оригинального имполняемого файла

 

 

 

Используемые названия:

CryptoJoker A.E

CryptoJokerDecryptor

CryptoJoker 2017

NoCryCryptor

NoCry

NoCryDecrypt0r

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\aguim\Desktop\CryptoJoker-master\CryptoJoker-master\CryptoJoker\obj\Debug\CryptoJoker.pdb

C:\Users\Revolution\documents\visual studio 2017\Projects\CryptoJoker\CryptoJokerGUI\obj\Debug\CryptoJoker.pdb

Примечательно, что это тот же разработчик, что и в OnyxLocker (2020). 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1yh3eJjuXwqqXgpu8stnojm148b8d6NFQ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020
CryptoJoker 2021 Ransomware - октябрь 2021

CryptoJoker 2022 Ransomware - март 2022

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 ноября 2020:

Сообщение >>

Используемые расширения: .nocry

.partially.nocry

.fully.nocry

.partially@aaathats3as.com.partially.nocry

Email: partially@aaathats3as.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

В некоторых случаях файлы можно расшифровать!
Сообщение Kangxiaopao >>
Нужен 360 Ransomware Decryption Tools или 360 TotalSecurity

 Read to links: 
 Message + Message
 ID Ransomware (ID as CryptoJoker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SifreCikis

SifreCikis Ransomware

TurkSifre-2 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $500 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->


© Генеалогия: SifreCozucu > SifreCikis

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение, шаблон которого можно записать как: 

.<RANDOM_PC_ID{12}>

или 

.<PC_ID{12}>

Пример такого расшиения: .E02F4934FC5A

Этимология названия:

Используемый вымогателями адрес sifrecikx7s62cjv.onion начинается на фразу "sifrecikx", это созвучно sifre cikis (по-турецки: şifre çıkış - шифр + выход). 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г., но могла бы и раньше. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***

Содержание записки о выкупе: 

DOSYALARINIZ SIFRELENDI....

DOSYALARINIZIN SIFRESINI COZMEK ICIN.

nitas811@protonmail.com MAIL ADRESIMIZE

KONU KISMINDA PC ID'NIZ [xxxxxxxxxxxx] OLAN MAIL ATINIZ..

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

PROGRAM UCRETI : 500 $

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

MAIL ADRESIMIZDEN AYNI GUN ICINDE CEVAP ALAMAZSANIZ EGER..!

WEB SITEMIZDEN GUNCEL MAIL ADRESIMIZE ULASABILIRSINIZ..

WEB SITEMIZ : http://www.sifrecikx7s62cjv.onion

WEB SITEMIZ SADECE TOR BROWSER ILE ACILMAKTADIR..

TOR BROWSER INDIRME ADRESI : https://www.torproject.org/tr/download

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

DATA KURTARMA SERVISLERI YADA PROGRAMLARI KULLANMAK ISTERSENIZ

LUTFEN DOSYALARINIZIN YEDEGINI ALIN..

ALDIGINIZ BU YEDEKLER UZERINDEN ISLEM YAPINIZ VEYA YAPTIRINIZ.

DOSYALARINIZI SILMEYINIZ VE ISIMLERINI DEGISTIRMEYINIZ.

ASIL DOSYALARIN BOZULMASI,

VERILERINIZIN GERI DONULEMEZ SEKILDE ZARAR GORMESINE NEDEN OLACAKDIR.

Перевод записки на русский язык: 

Ваши файлы зашифрованы....

Для расшифровки ваших файлов

Пишите на наш email nitas811@protonmail.com

В теме письма укажите email адрес с PC ID[xxxxxxxxxxxx].

- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = 

Стоимость программы: 500 $

- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = 

Если вы не получите ответ с нашего email адреса в тот же день..!

Вы можете связаться с нами по email адресу на нашем веб-сайте.

Наш сайт: http://www.sifrecikx7s62cjv.onion

Наш сайт работает только с браузером Tor.

Адрес загрузки браузера Tor: https://www.torproject.org/tr/download

- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = 

Если вы хотите использовать сервисы или программы восстановления данных

Пожалуйста, сделайте резервную копию ваших файлов..

Примите меры к этим резервным копиям, которые вы сделали или уже сделали.

Не удаляйте файлы и не меняйте их имена.

Повреждение исходных файлов,

приведет к необратимому повреждению ваших данных.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://www.sifrecikx7s62cjv.onion

Email-1: nitas811@protonmail.com

Email-2: niduz59@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлениеот 12 ноября 2020:

Пост на форуме >>

Расширение: .<RANDOM_PC_ID{12}>

Email: niduz59@protonmail.com

Tor-URL: http://www.sifrecikx7s62cjv.onion

➤ Содержание записки:

Dosyalariniz sifrelendi, dosyalarinizin sifresini cozmek icin.

niduz59@protonmail.com mail adresimize

Konu kisminda PC ID'niz [000A5E3E6B8C] olan mail atiniz.

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

             Program Ucreti : 500 $

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Cok fazla sikayet oldugu icin mail adreslerimiz surekli kapatilmaktadir.!

Bu yuzden mailinize 3/4 saat icinde cevap alamazsaniz

Web sitemizden guncel mail adresimize ulasabilirsiniz..

Web sitemiz : http://www.sifrecikx7s62cjv.onion

Web sitemiz sadece Tor Browser ile acilmaktadir..

Tor Browser indirme adresi : https://www.torproject.org/tr/download

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Data kurtarma servisleri yada programlari kullanmak isterseniz

Lutfen dosyalarinizin yedegini aliniz..

Aldiginiz bu yedekler uzerinde islem yapiniz veya yaptiriniz..

Dosyalarinizi silmeyiniz ve isimlerini degistirmeyiniz..

Asil dosyalarinizin bozulmasi..

VERILERINIZIN KURTARILAMAYACAK SEKILDE ZARAR GORMESINE NEDEN OLACAKDIR.

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Not : iLetisim icin lutfen FIRMA MAILINIZI kullaniniz.

Firma maili olmayan BUTUN mailler okunmadan  'SPAM' olarak isaretlenip silinmektedir..

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 quietman7
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Tripoli

Tripoli Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Tripoli ransomware. На файле написано: нет данных.
---
Обнаружения (образец от 31 марта 2021): 
DrWeb -> Trojan.Encoder.33744
BitDefender -> Trojan.GenericKD.36620265

ESET-NOD32 -> A Variant Of Win32/TrojanDownloader.Nymaim.BA

Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Malwarebytes -> Trojan.Nymaim

Microsoft -> Trojan:Win32/Vundo.gen!L

Rising -> Ransom.Encoder!8.FFD4 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R011C0DD421

---

© Генеалогия: ???  >> Tripoli

Изображение — логотип статьи

К зашифрованным файлам добавляется составное расширение, состоящее из сокращенного названия атакованной компании (компьютера) + слово "crypt".

Шаблон: .<company_name>crypt или .<pc_name>crypt

Пример: .bestsoftcrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: HOW_FIX_FILES.htm

Содержание записки о выкупе:

All files including videos, photos and documents on your computer are encrypted by Tripoli ransomware.

File decryption costs money.

In order to decrypt the files, you need to perform the following steps:

1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en

2. After installation, run the browser and enter the address: 7v2fgph2jakawhul.onion

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION

You should enter the personal code on the tor site.

Your Personal CODE:

E4D50***** [total 40 HEX characters]

Перевод записки на русский язык:

Все файлы, включая видео, фото и документы на вашем компьютере, зашифрованы Tripoli ransomware.

Расшифровка файлов стоит денег.

Для расшифровки файлов вам надо сделать следующие шаги:

1. Вам надо загрузить и установить этот браузер http://www.torproject.org/projects/torbrowser.html.en

2. После установки запустите браузер и введите адрес: 7v2fgph2jakawhul.onion

3. Следуйте инструкциям на сайте. Напоминаем, что чем раньше вы это сделаете, тем больше будет шансов восстановить файлы.

Гарантированное восстановление только в течении 10 дней.

ВАЖНАЯ ИНФОРМАЦИЯ

Вам надо ввести личный код на сайте tor.

Ваш личный КОД:

E4D50***** [всего 40 знаков HEX]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_FIX_FILES.htm - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 7v2fgph2jakawhul.onion

 

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов: для раннего варианта не найдены.
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант января 2021:

Пост на форуме >>

Вариант от 31 марта 2021:

Сообщение >>

Сообщение >>

Расширение (пример): .uniwinnicrypt

Расширение (шаблон): .<company_name>crypt

Записка: HOW_FIX_FILES.htm

 

Файл: SearchUI.exe

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33744

BitDefender -> Trojan.GenericKD.36620265

ESET-NOD32 -> A Variant Of Win32/TrojanDownloader.Nymaim.BA

Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Malwarebytes -> Trojan.Nymaim

Microsoft -> Trojan:Win32/Vundo.gen!L

Rising -> Ransom.Encoder!8.FFD4 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R011C0DD421

*** пропущенные варианты ***

Вариант от 7 декабря 2021:

Расширение: .Cat4er

Записка: HOW_FIX_FILES.htm

➤ Содержание записки: 

Hello

All files including videos, photos and documents on your computer are encrypted by Cat4er ransomware.

File decryption costs money.

In order to decrypt the files, you need to perform the following steps:

1. You should download and install this browser: https://www.torproject.org/download/

2. After installation, run the browser and enter the address: b6eiwvxyjjsiesbtimdyaif6dzmnxepq5ye7j4g6tejw3k56fqehrbyd.onion

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION

You should enter the personal code on the tor site.

Your Personal CODE:

CCD001*** [всего 40 знаков HEX]

---

Скриншоты с сайта вымогателей

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myTweet
 ID Ransomware (ID as Tripoli)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, PolarToffee
 Andrew Ivanov (article author)
 quietman7
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Pay2Key

Pay2Key Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA (для некоторых функций еще использует алгоритм RC4), а затем требует выкуп в 7-9 BTC (около 110-140 тысяч долларов), чтобы вернуть файлы. Оригинальное название: Pay2key (написано в заголовке записки). На файле написано: Cobalt.Client.exe. Написан на C++ и скомпилирован с использованием MSVC ++ 2015. Вероятно управляется из Ирана. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33027, Trojan.Encoder.33028, Trojan.Encoder.33029
BitDefender -> Trojan.GenericKD.35120498, Trojan.GenericKD.35120626, Trojan.GenericKD.35120535
Avira (no cloud) -> TR/AD.Pay2keyRansom.xdwes, TR/FileCryptor.gufqt, TR/FileCryptor.kykon
ESET-NOD32 -> A Variant Of Generik.DVXTLZU, A Variant Of Win32/Filecoder.OEU
Malwarebytes -> Ransom.FileCryptor, Ransom.Pay2Key

Microsoft -> Program:Win32/Wacapew.C!ml, Trojan:Win32/Ymacco.AA5B, Trojan:Win32/Wacatac.C!ml
Rising -> Trojan.Generic@ML.94 (RDML:z2R*, Trojan.Generic@ML.89 (RDMK:TFU*
Symantec -> Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.PAY2KEY.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Pay2Key

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pay2key


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые атаки были направлены против организаций в Израиле. Позже пришли сообщения о пострадавших организациях в Бразилии. 

Записка с требованием выкупа называется по шаблону: [ORGANIZATION]_MESSAGE.TXT

Содержание записки о выкупе: 

PAY2KEY

HELLO *** USERS!

Congratulations!

Your entire network and all your informations such as computers/ employees information/ users folders/ servers/ file-servers/

applications/ databases/etc... in your network has been successfully encrypted!

Some of your important information dumped and ready to leak, in case we can't make a good deal!

Don't modify encrypted files or you can damage them and decryption will be impossible!

Don't try unofficial decryptors to recover your files or you can damage them and decryption will be impossible!

There is only ONE possible way to get back your files! Pay and contact to receive your special decryptor!

You should pay 7 BTC to receive official decryptor and easily recover your files. ***special decryptor is now ready and

waiting for your payment, let's do it!

You can send 4 random files from any computers and receive decrypted data, just as a proof that works!

Your UserlD IS: ***

Your Network ID ***

| NOTICE |

Offer available until 11/08/2020. If you do not pay on time, price will be doubled!

Wallet: ***

E-mail: 

pay2key@tuta.io

pay2key@pm.me

Keybase: 

Pay2Key

Перевод записки на русский язык: 

Поздравляем!

Вся ваша сеть и вся ваша информация, такая как компьютеры / информация о сотрудниках / пользовательские папки / серверы / файловые серверы /

приложения / базы данных / и т.д ... в вашей сети были успешно зашифрованы!

Часть вашей важной информации сброшена и готова к утечке на случай, если мы не сможем заключить выгодную сделку!

Не изменяйте зашифрованные файлы, иначе вы можете повредить их и расшифровать будет невозможно!

Не пытайтесь восстановить файлы с помощью неофициальных дешифраторов, иначе вы можете повредить их и расшифровать будет невозможно!

Есть только ОДИН способ вернуть ваши файлы! Оплатите и свяжитесь, чтобы получить специальный дешифратор!

Вы должны заплатить 7 BTC, чтобы получить официальный дешифратор и легко восстановить свои файлы. *** специальный дешифратор готов и

ждем оплаты, давайте!

Вы можете отправить 4 случайных файла с любого компьютера и получить расшифрованные данные, что является доказательством того, что это работает!

Ваш UserlD: ***

Ваш Network ID ***

| УВЕДОМЛЕНИЕ |

Предложение действительно до 8.11.2020. Если вовремя не заплатить, цена удвоится!

Кошелек: ***

E-mail:

pay2key@tuta.io

pay2key@pm.me

Keybase:

Pay2Key

ASCII-арт в записке настраивается для каждой организации. 

Красным цветом выделены ошибки, харатерные для тех, кому английский язык неродной. 

Вместо звездочек *** должно быть то, что было скрыто исследователями. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP. Точнее: группа хакеров-вымогателей, которая получила название Pay2Key, осуществляет целевые атаки на израильские компании. Эта запущенная иранскими хакерами вредоносная кампания является частью продолжающейся киберконфронтации между Израилем и Ираном. Первоначальное атака происходит через RDP-соединение. Далее используется PsExec.exe для запуска программы-вымогателя (файл Cobalt.Client.exe) на разных машинах в организации. 

Хакеры-вымогатели, использующие Pay2Key, проникают в целевые сети быстро, в течение часа, распространяют программу-вымогатель по всей сети. Кроме того они устанавливают устройство, которое будет использоваться в качестве прокси для всех исходящих сообщений между компьютерами, инфицированные Pay2Key Ransomware и C&C. Это помогает им снизить риск обнаружения перед шифрованием всех доступных систем в сети.

Пока нет данных о других способах распространения, но после перенастройки вполне может начать распространяться помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ По данным исследователей, Pay2Key находится в стадии активной разработки и разработчики обновляют его дополнительными функциями. Например, в ранней версии программа-вымогатель не подчищала за собой следы активности и это позволила исследовать её работу, но в последней рассмотреной на момент написании статьи версии исследователи заметили, что злоумышленники добавили механизм самоуничтожения в дополнение к новому аргументу командной строки --noreboot.

На этом скриншоте представлена функция, которая отвечает за удаление программы-вымогателя и его файлов и перезапуск систем. Для выключения ПК используется команда: 

Shutdown /r /f /t 0

Подробности о шифровании:

Используется гибрид симметричной и асимметричной криптографии - с использованием алгоритмов AES и RSA. Сервер C&C генерирует и передает открытый ключ RSA во время выполнения. Это означает, что Pay2Key не выполняет шифрование в автономном режиме и если нет подключения к Интернету или C&C недоступен, то шифрование не произойдет. 

Исследователи заметили, что для некоторых криптографических функций (не для шифрования файлов) используется алгоритм RC4. Авторы Pay2Key использовали стороннюю реализацию (через Windows API).

Network ID из записки (формат GUID) сохраняется как ASCII в начале файла, за ним идут некоторые метаданные как [WORD length][data], включая исходное имя файла.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
[ORGANIZATION]_MESSAGE.TXT - название файла с требованием выкупа

Cobalt.Client.exe - исполняемый файл Pay2Key

Config.ini - файл конфигурации, в котором указаны "Сервер" и "Порт".

Cobalt-Client-log.txt - файл журнала, используется программой-вымогателем во время выполнения

ConnectPC.exe - файл подключения к компьютерам сети, используется для ретрансляции сообщений от жертв внутри организации на внешний сервер управления

Cobalt.Client.pdb - оригинальный файл проекта

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\Temp\[organization-name]tmp\Cobalt.Client.exe

F:\2-Sources\21-FinalCobalt\Source\cobalt\Cobalt\Cobalt\Win32\Release\Client\Cobalt.Client.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pay2key@tuta.io, pay2key@pm.me
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Некоторые другие образцы можно найти на сайте BA:

https://bazaar.abuse.ch/browse/tag/Pay2key/

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myTweet
 ID Ransomware (ID as Pay2Key)
 Write-up, Topic of Support
 Added later: Write-up by BC >> 

 Thanks: 
 CheckPoint, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.