MXX

MXX Ransomware

TucoSalamanca Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов и бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в 0.025 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->


© Генеалогия: ??? >> MXX (TucoSalamanca)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .MXX

Фактически используется составное расширение по шаблону: 

.id-XXXXXXXX[<email>].MXX

Примеры зашифрованных сайтов:

photo001.png.id-8C76543[Tuko.Salamanca@mailfence.com].MXX

photo001.png.id-326C630[Tuko.Salamanca@mailfence.com].MXX

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называются: 

How To Recover Your Files!!!!.txt

How To Recover Your Files.txt

Содержание записки о выкупе:

Hi !!!

All Your Files Have Been Encrypted!

Your system security is very low, worse things could have happened

But do not worry, I am here to help you

You can decrypt all your files for a fair amount of bitcoin, and I will help improve the security of your system.

Just send a message to this email : Tuko.Salamanca@mailfence.com

And write this ID in subject of your message : XXXXXXX

If we do not respond within 24 hours, Contact us with this email : TucoSalamanca@elude.in

If you do not pay, you will never find your system bug and your information will be leaked to others

Before paying you can send us up to 1 file for free decryption. the total size of files 1Mb, and files should not contain valuable information(Databases,Backups,Exel,etc).

Warning!!!!

* Never change the name of your files

* Never try to decrypt files with other tools, you may lose them forever

Перевод записки на русский язык:

Привет !!!

Все ваши файлы зашифрованы!

Безопасность вашей системы очень низкая, могло случиться и похуже

Но не волнуйтесь, я здесь, чтобы помочь вам

Вы можете расшифровать все свои файлы за приличную сумму биткойна, и я помогу повысить безопасность вашей системы.

Просто отправьте сообщение на этот адрес email: Tuko.Salamanca@mailfence.com

И впишите этот ID в тему вашего сообщения: XXXXXXX

Если мы не ответим в течение 24 часов, свяжитесь с нами по email: TucoSalamanca@elude.in

Если вы не заплатите, вы никогда не найдете свою системную ошибку, и ваша информация будет передана другим

Перед оплатой вы можете отправить нам 1 файл для бесплатной расшифровки. общий размер файлов 1Мб, при этом файлы не должны содержать ценной информации (базы данных,бэкапы,Exel и пр.).

Предупреждение!!!!

* Никогда не меняйте названия ваших файлов

* Никогда не пытайтесь расшифровать файлы чем-то другим, вы их потеряете

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Recover Your Files!!!!.txt - название файла с требованием выкупа

How To Recover Your Files.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: Tuko.Salamanca@mailfence.com

Email-2: TucoSalamanca@elude.in
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Один из пострадавших сайтов - xxxx://37.187.173.14/

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая. 
Подробные сведения собираются регулярно. Присылайте образцы. 

---

=== ДЕШИФРОВЩИК === DECRYPTOR ===

 
Оригинальный дешифровщик

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message, Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support, Topic of Support
 * 

 Thanks: 
 AlexSvirid, Emmanuel_ADC-Soft, Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Lola, Blockchain

Lola Ransomware

Blockchain Generator 2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: BLOCKCHAIN GENERATOR 2021.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop15.59723
BitDefender -> Trojan.GenericKD.35089323
ESET-NOD32 -> A Variant Of MSIL/Filecoder.GZ
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Trojan.Crypt.Generic
Microsoft -> Trojan:Win32/Ymacco.AA50
Rising -> Trojan.Pack-RAR!1.BB61 (CLASSIC)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> TROJ_GEN.R002C0GK620


© Генеалогия: ??? >> Lola (Blockchain Generator 2021) 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lola


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Please_Read.txt

Содержание записки о выкупе: 

------------------------ ALL YOUR FILES ARE ENCRYPTED ------------------------

Don't worry, you can return all your files!

All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key. 

The only method of recovering files is to purchase decrypt tool and unique key for you.

This software will decrypt all your encrypted files.

What guarantees do we give to you?

You can send one of your encrypted file from your PC and we decrypt it for free.

But we can decrypt only 1 file for free. File must not contain valuable information

Don't try to use third-party decrypt tools because it will destroy your files.

Discount 50% available if you contact us first 72 hours.

-----------------------------------------------------------------------------------------

To get this software you need write on our e-mail : vjkumaren@protonmail.com

You will receive btc address for payment in the reply letter

Your personal ID : ***

Перевод записки на русский язык: 

------------------------ ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ ------------------------

Не волнуйтесь, вы можете вернуть все свои файлы!

Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.

Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.

Эта программа расшифрует все ваши зашифрованные файлы.

Какие гарантии мы вам даем?

Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.

Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации

Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.

Скидка 50% будет, если вы свяжетесь с нами в первые 72 часа.

-------------------------------------------------- ---------------------------------------

Чтобы получить эту программу, вам надо написать на наш email: vjkumaren@protonmail.com

В ответном письме вы получите адрес btc для оплаты

Ваш личный ID: ***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов с помощью команд:

"cmd.exe" /c vssadmin.exe delete shadows /all /quiet 

vssadmin.exe delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Please_Read.txt - название файла с требованием выкупа
BLOCKCHAIN GENERATOR 2021.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vjkumaren@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
В некоторых случаях файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

 Read to links: 
 Message + Message
 ID Ransomware (ID as Lola)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RedRoman

RedRoman Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: RedROMAN. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33104
BitDefender -> Trojan.GenericKD.44472883
Avira (no cloud) -> TR/Instructions.mgjun
ESET-NOD32 -> A Variant Of Generik.IOECIRZ
Kaspersky -> Trojan-Ransom.Win32.Instructions.th
Malwarebytes -> Ransom.SepSys
Microsoft -> Ransom:Win32/Genasom
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Instructions.Dxwx
TrendMicro -> Ransom_Instructions.R002C0WKG20


© Генеалогия: Silvertor > RedRoman

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .REDROMAN


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 

OPENTHIS.html

RR_README.html

README.html

Примечательно, что содержание кода этих записок отличается: содержит небольшой кружок (ссылка на онлайн файл small_red_dot.png) и приписку <!-- RED ROMAN -->. 

 

 

Содержание записки о выкупе:

Critical Error!

Your files have been corrupted!

Follow these directions to easily restore them:

1. Purchase around $200 in Bitcoin (BTC). To learn more about Bitcoin, visit https://bitcoin.org/en/buy or https://buy.bitcoin.com

2. Send the new Bitcoin to the following address: 14BfVG4vH71NLmhu7vFKi9EMmeZFoiAsYP

3. Contact our Tech Support team at insupport@messagesafe.io and explain your issue.

4. After confirming your Bitcoin transfer, we will send you a file-repair tool to fix your entire system.

5. Run our file-cleaner and wait... Your data will be restored.

To test our services, you may send up to 2 files for repairing before making the Bitcoin transfer.

Estimated repair time after Bitcoin transfer: 24 hours

Перевод записки на русский язык:

Критическая ошибка!

Ваши файлы повреждены!

Следуйте этим инструкциям, чтобы легко восстановить их:

1. Купите около $200 в биткойнах (BTC). Чтобы узнать больше о биткойнах, посетите https://bitcoin.org/en/buy или https://buy.bitcoin.com.

2. Отправьте новый биткойн по следующему адресу: 14BfVG4vH71NLmhu7vFKi9EMmeZFoiAsYP.

3. Свяжитесь с нашей службой технической поддержки по адресу inspport@messagesafe.io и объясните свою проблему.

4. После подтверждения перевода биткойнов мы отправим вам инструмент для восстановления файлов, который исправит всю вашу систему.

5. Запускаем наш очиститель файлов и ждем... Ваши данные будут восстановлены.

Чтобы протестировать наши услуги, вы можете отправить до 2 файлов на исправление перед переводом биткойнов.

Расчетное время исправления после передачи биткойнов: 24 часа

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Добавляет файлы с требованием выкупа в Автозагрузку Windows. 

Удаляет етеневые копии файлов, манипулирует размером хранилища. Использует net.exe для изменения прав пользователя, добавляет RedROMAN. 

powershell -WindowStyle Hidden get-wmiobject win32_computersystem | fl model 

powershell Start-Process C:\ProgramData\amdkey.bat -Verb runas 

C:\Windows\System32\cmd.exe /C C:\ProgramData\amdkey.bat 

vssadmin.exe Delete Shadows /All /Quiet 

vssadmin.exe Resize ShadowStorage /For=C: /On=C: /MaxSize=320MB 

net user /add RedROMAN p4zzaub71h 

C:\Windows\system32\net1 user /add RedROMAN p4zzaub71h 

net localgroup administrators RedROMAN /add 

C:\Windows\system32\net1 localgroup administrators RedROMAN /add

 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:

OPENTHIS.html - название файла с требованием выкупа

RR_README.html - название копии файла с требованием выкупа

README.html - название копии файла с требованием выкупа

NUDIFYv1.0.exe - название вредоносного файла

amdkey.bat - специальный командный файл

BlueGreek-ede1be7933def180.pdb - файл проекта

ENTER-PASSWORD-HERE.txt

dsc.sys

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

\Desktop\OPENTHIS.html

\Desktop\README.txt

\ProgramData\dsc.sys

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OPENTHIS.html

C:\ProgramData\RR_README.html

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.html

C:\Users\User\Desktop\OPENTHIS.html

%USERPROFILE%\Documents\Experiments\virusTests\BlueGreek\target\debug\deps\BlueGreek-ede1be7933def180.pdb

C:\Users\tinop\Documents\Experiments\virusTests\BlueGreek\target\debug\deps\BlueGreek-ede1be7933def180.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: insupport@messagesafe.io
BTC: 14BfVG4vH71NLmhu7vFKi9EMmeZFoiAsYP

Ссылка на красный кружок: xxxxs://2no.co/3uXh54
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞  Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

SepSys Ransomware - февраль 2020

Silvertor Ransomware - июль 2020

RedRoman Ransomware - ноябрь 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

68-Random-HEX

68-Random-HEX Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33082
BitDefender -> Gen:Variant.Doris.6643
ALYac -> Gen:Variant.Doris.6643
Avira (no cloud) -> TR/FileCoder.jjaeb
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEF
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Filecoder!8.68 (TFE*
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Gen.R002C0WKD20


© Генеалогия: ??? >> 68-Random-HEX

Изображение — логотип статьи

К каждому зашифрованному файлу добавляется случаной расширение по шаблону: .<68_Random_HEX>

Примеры таких расширений: 

.069C4FC52D2230F61C4D8B92C5EB6B17F3136B1689CE73D4F0A66F039BA88B0E

.EAA43A4E509ESF1EFBC194C87B60F1D33FFCA0939C485D45F6A3718508228A74

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в первой половине ноября 2020 г. После доработки может быть ориентирован на англоязычных пользователей, что позволит распространять его по всему миру.

Записка с требованием выкупа называется: PUSSY.TXT

Содержание записки о выкупе: 
abcd

Перевод записки на русский язык: 
абцд

Технические детали

Вероятно находится в разработке, поэтому активно не распространеяется. После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
После дорабобтки это наверняка будут самые популярные форматы файлов: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PUSSY.TXT - название файла с требованием выкупа
build.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Сообщение от 0x4143 >>
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 0x4143
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HowAreYou

HowAreYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33072
BitDefender -> Trojan.GenericKD.35166310
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.gohun
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEP
Malwarebytes -> Ransom.FileCryptor
Symantec -> Downloader
TrendMicro -> Ransom_HwruGo.R011C0DKC20


© Генеалогия: ??? >> HowAreYou

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .howareyou

Файлы не переименовываются, но все буквы переводятся в нижний регистр. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __read_me_.txt

Содержание записки о выкупе: 

Your files have been encrypted and copied to our private servers!

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ ПРИВЕДЕТ К БЕЗВОЗВРАТНОМУ ПОВРЕЖДЕНИЮ ФАЙЛОВ.

DO NOT MODIFY ENCRYPTED FILES.

DO NOT RENAME ENCRYPTED FILES.

But keep calm! There is a solution for your problem!

For some money reward we can decrypt all your encrypted files.

Also we will delete all your private data from our servers.

To prove that we are able to decrypt your files we give you the ability to decrypt 2 files for free.

So what is you next step ? Contact us for price and get the decryption software.

Our Mail: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li

Your ClientId: XXXXXXXXXXXXXXXX

We would share your SENSITIVE DATA in case you refuse to pay.

Перевод записки на русский язык: 

Ваши файлы зашифрованы и скопированы на наши частные серверы!

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ НАДО ИСПРАВИТ ЭТО.

НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Но успокойся! Решение вашей проблемы есть!

За небольшое денежное вознаграждение мы можем расшифровать все ваши зашифрованные файлы.

Также мы удалим все ваши личные данные с наших серверов.

Чтобы доказать, что мы можем расшифровать ваши файлы, мы даем вам возможность бесплатно расшифровать 2 файла.

Итак, каков ваш следующий шаг? Свяжитесь с нами, чтобы узнать цену и получить программу для дешифрования.

Наша почта: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li

Ваш ClientId: XXXXXXXXXXXXXXXX

Мы поделимся вашими ДАННЫМИ, если вы откажетесь платить.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
__read_me_.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message 
 ID Ransomware (ID as HowAreYou)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.