Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

среда, 13 января 2021 г.

CNH, CNHelp

CNHelp Ransomware

Aliases: CNH, ChinaHelper

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует написать на email, что узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. Использован язык программирования RUST. Для Windows x64 систем.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33411, Trojan.Encoder.33484
BitDefender -> Trojan.GenericKD.45588801, Trojan.GenericKD.45457808
Avira (no cloud) -> TR/Redcap.ppfuv, TR/FileCoder.pyvoq
ESET-NOD32 -> A Variant Of Generik.JBWWFIT, Win64/Filecoder.DC
Kaspersky -> Trojan.Win32.Bingoml.acxz, Trojan-Ransom.Win32.Crypmod.adps
Malwarebytes -> Ransom.FileCryptor, Ransom.FileLocker
Microsoft -> Trojan:Win32/Ymacco.AA2A, Trojan:Win32/Filecoder!MSR

Qihoo-360 -> Win32/Trojan.ac7, Win32/Ransom.Filecoder.H8oANFsA
Rising -> Trojan.Bingoml!8.1226A (CLOUD), Ransom.Crypmod!8.DA9 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Bingoml.Ehib, Win32.Trojan.Crypmod.Phqd
TrendMicro -> TROJ_GEN.R002C0WAO21, Ransom_Crypmod.R002C0PAG21
---

© Генеалогия: Ransomnix >> CNH

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .cnh

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.

Активность этого крипто-вымогателя пришлась на вторую половину января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

Hello.

If you want back your files write to: helper.china@aol.com

Your ID: n/QJMEGxceL7nGsO2RkkaYL5/pFw9BtuRmu80jN0H7onxgz0aXv4z+3SlUt2mw

+phd/GwWDN4WKyiOztTLGIv+3r25VHw9FV4SHLPykdoFMflCT5mCg+/NtvKzlEWC*** [всего 684 знака]

Перевод записки на русский язык:

Привет.

Если хотите вернуть файлы, пишите: helper.china@aol.com

Ваш ID: n/QJMEGxceL7nGsO2RkkaYL5/pFw9BtuRmu80jN0H7onxgz0aXv4z+3SlUt2mw

+phd/GwWDN4WKyiOztTLGIv+3r25VHw9FV4SHLPykdoFMflCT5mCg+/NtvKzlEWC*** [всего 684 знака]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt

Скриншоты от исследователя:

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helper.china@aol.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 февраля 2021:

Расширение: .cnhelp

Записка: HOW_TO_RETURN_FILES.txt

Стали использовать текст записки от Ransomnix-Charm с расширением .charm

Email: helper.china@aol.com

Результаты анализов: VT + HA + IA + TG

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as CNHelp)
 Write-up, Topic of Support
 *

 Thanks: 
 0x4143, Michael Gillespie, xXToffeeXx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

NAS Data Compromiser

NAS_Data_Compromiser Ransomware

NAS Data Compromiser Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или как-то иначе модифицирует данные на NAS-устройствах и сетевых хранилищах, а затем требует выкуп в 0.01 - 0.02 BTC или более, чтобы вернуть файлы. Оригинальное название: в записке не указано. Вымогатели действуют из Румынии. Регистрируют легальную IT- или Recovery- компанию, службу удаленной помощи или разработку ПО на заказ, и под их вывеской занимаются различным компьютерным вымогательством. Такой "бизнес" распространен в Румынии повсеместно.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> NAS_Data_Compromiser

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aes или любое другое, вполне безобидное.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.

Активность этого крипто-вымогателя пришлась на конец декабря 2020 - начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первый пострадавший, который сообщил об атаке, был из Турции.

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе:

HELLO!

YOUR REMOTE STORAGE WAS COMPROMISED.

ALL YOUR FILES AND FOLDERS WERE ENRCYPTED AND HIDDEN.

IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.02 BITCOIN TO THIS BITCOIN WALLET:

1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY

YOU HAVE UNTIL THE 15th OF JANUARY 2021 TO MAKE THE PAYMENT.

AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.

YOUR UNIQUE ID IS: xxx.xx.xx.xxx

PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO:

filerecovery@mail2save.com

AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.

ATTENTION !!!

DO NOT DELETE ANY FILES ON YOUR DRIVE.

DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.

DO NOT FORMAT, DELETE THE VOLUME OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.

This is NOT a BOT

THANK YOU FOR YOUR COOPERATION.

Data Security

Перевод записки на русский язык:

Привет!

Ваше удаленное хранилище было взломано.

Все ваши файлы и папки зашифрованы и скрыты.

Если вы хотите восстановить свои файлы, вы должны отправить 0,02 биткойна на этот биткойн-кошелек:

1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY

Вы должны произвести оплату до 15 января 2021 года.

После этого восстановить ваши данные будет практически невозможно.

Ваш уникальный ID: xxx.xx.xx.xxx

Отправьте нам свой ID и подтверждение платежа по email на адрес:

filerecovery@mail2save.com

После подтверждения оплаты вы получите инструкции, как восстановить все ваши файлы.

Внимание !!!

Не удаляйте файлы на вашем диске.

Не пытайтесь восстановить ваши данные с помощью какой-то программы. Это навсегда повредит данные.

Не форматируйте, не удаляйте том и не записывайте данные на диск. Это навсегда повредит данные.

Это не бот

Спасибо за сотрудничество.

Безопасность данных

Технические детали

_bca3 - файл, найденный на NAS-устройстве (около 72 Мб);

lopiy4356rs23fh8o745r67ds23a - файл, найденный на NAS-устройстве (около 100 Мб).

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: filerecovery@mail2save.com
BTC: 1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 декабря 2021 или раньше:
Сообщение на форуме >>

Расширение: .aes

Записка: READ ME.txt

Email: secur_it@zohomail.eu
BTC: 1LwTujzoFf9WcVSYUNBzXgruYZxrRT3nz

➤ Содержание записки:

HELLO!

YOUR REMOTE STORAGE WAS COMPROMISED.

ALL YOUR FILES AND FOLDERS HAVE BEEN ENRCYPTED AND HIDDEN.

IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.01 BITCOIN TO THIS BITCOIN WALLET:

1LwTujzoFf9WcVSYUNBzXgruYZxrRT3nz

YOU HAVE UNTIL THE 30th of OCTOBER 2021 TO MAKE THE PAYMENT.

AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.

YOUR UNIQUE ID IS: xxx.xxx.xxx.xx

PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO:

secur_it@zohomail.eu

AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.

ATTENTION !!!

DO NOT DELETE ANY FILES ON YOUR DRIVE.

DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.

DO NOT FORMAT, ADD OR DELETE VOLUMES OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.

This is NOT a BOT

THANK YOU FOR YOUR COOPERATION.

Data Security.

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as NAS Data Compromiser)
 Write-up, Topic of Support
 *

 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie
 ***
 to the victims who sent the samples

воскресенье, 10 января 2021 г.

PulpFictionQuote

PulpFictionQuote Ransomware

Jet100 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: RansomEXX ??? >> PulpFictionQuote

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону:

.<domain_name>

.<company_name>

.<abbreviated_company_name>

.<org_name>

В изученном случае файлы получили расширение: .vkm1297

В конце зашифрованных файлов содержатся обрывки монолога одного из героев фильма "Pulp Fiction" ("Криминальное чтиво"), который цитирует слова из Книги Иезекииля (Ezekiel 25:17). В каждом файле текст меняется полностью или частично. Вот скриншоты из трёх разных зашифрованных файлов, объединённые в одно изображение.

Цитируемая фраза полностью.

The path of the righteous man is beset on all sides by the iniquities of the selfish and the tyranny of evil men. Blessed is he, who in the name of charity and good will, shepherds the weak through the valley of darkness, for he is truly his brother's keeper and the finder of lost children. And I will strike down upon thee with great vengeance and furious anger those who would attempt to poison and destroy my brothers. And you will know my name is the Lord when I lay my vengeance upon thee.

Этимология названия:

Так как вымогатели никак не назвали свою вредоносную программу и не сообщили никаких данных, по которым их можно было назвать, кроме email, то я использовал характерный элемент вымогателя, о котором написал выше и назвал его PulpFictionQuote - "цитата из PulpFiction". Логин из email Jet100, по традиции, поставил как второе название. Расширение в данном примере использовать некорректно, т.к. оно у всех индивидуальное.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.

Активность этого крипто-вымогателя пришлась на первую половину января 2021 г. Ориентирован на русскоязычных пользователей, но вполне может распространяться по всему миру. Первым пострадавшим был сайт из России.

Записка с требованием выкупа называется: read_this.txt

Содержание записки о выкупе:

Здравствуйте.

Ваши документы и базы данных зашифрованы, резервные копии удалены.

Для получения инструкций по расшифровке, обратитесь к оператору по адресу: jet100@safe-mail.net, в теме письма указав "VKM1297".

Перед попытками самостоятельно расшифровать файлы настоятельно рекомендуется сделать резервные копии, в противном случае восстановление не гарантируется.

Перевод записки на русский язык:
*** уже сделан ***

Как оказалось идентификатор VKM1397 получил сайт vkm1297.ru (Вагонно-колёсная мастерская, г. Старый Оскол, Россия).
Когда мы получили запрос от пострадавших, сайт ещё открывался, но потом стал недоступен. На момент написания статьи сайт также не открывается.

Технические детали

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_this.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jet100@safe-mail.net
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 *

 Thanks: 
 Andrew Ivanov (article author), Sandor
 ***
 ***
 to the victims who sent the samples

пятница, 8 января 2021 г.

Bonsoir

Bonsoir Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на NAS-устройствах с помощью AES-256 (режим CFB), а затем требует выкуп в 0.045 BTC (или больше), чтобы вернуть файлы. Оригинальное название: Bonsoir Ransomware. Дешифровщик написан на языке Go.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Bonsoir

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bonsoir

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.

Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW-RECOVER-MY-FILES.txt

Содержание записки о выкупе:

.::: Bonsoir Ransomware :::.

~ We have to notify you that your device has been infected and all of your files are encrypted ~

~ This means you can not access any of your files without purchasing the "Bonsoir Decryptor" from us ~

The decryption solution is easy:

To buy decryptor instantly, you must visit our website using the TOR BROWSER!

1. Download and install the Tor browser on your computer: https://www.torproject.org/download/

2. Visit the our website with Tor browser: 5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/login/*

3. Enter Login-Code:

096573B4F67B03BF6C37381205ED517BE432ECD7DA [всего 512 знаков]

4. Takes the necessary steps by following the instructions provided on the our website.

5. We look forward to seeing you on cold winter nights.

Перевод записки на русский язык:

.::: Bonsoir Ransomware :::.

~ Мы должны сообщить вам, что ваше устройство заражено и все ваши файлы зашифрованы ~

~ Это означает, что вы не можете получить доступ ни к одному из своих файлов, не купив у нас "Bonsoir Decryptor" ~

Решение расшифровки простое:

Чтобы купить дешифратор немедленно, вам надо посетить наш сайт, используя TOR БРАУЗЕР!

1. Загрузите и установите Tor-браузер на ваш компьютер: https://www.torproject.org/download/

2. Посетите наш веб-сайт с Tor-браузером: 5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/login/*

3. Введите Логин-Код:

096573B4F67B03BF6C37381205ED517BE432ECD7DA [всего 512 знаков]

4. Сделайте необходимые шаги, следуя инструкциям на нашем веб-сайте.

5. Мы будем ждем вас холодными зимними ночами.

Скриншот с Tor-сата вымогателей:

Технические детали

Атакует только NAS-устройства, используя их многочисленные уязвимости.

Целевые устройства: QNAP-420 NAS и другие.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-RECOVER-MY-FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

decryptor.exe - Bonsoir Decryptor - оригинальный дешифровщик

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:/Users/Admin/go/src/LinuxDecrypt/Test/main.go

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/***

Email: -
BTC: 1PZsqzRY8mwqs5VtZfCdeUmX33c2WjaV9o
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis (decryptor.exe) >>
🐞 Intezer analysis (decryptor.exe) >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 января 2021:

Топик на форуме >>

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание, оригинальный дешифровщик работает некорректно!
Если вы заплатили выкуп, но не можете расшифровать файлы, 
то обратитесь за помощью на форум по этой ссылке >>
***

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Bonsoir)
 Write-up, Topic of Support
 *

 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

Hello (WickrMe)

Hello (WickrMe) Ransomware

Variants: Hello, Strike, Hemming

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email-адреса вымогателей или связаться с ними с помощью мессенджера WickrMe, чтобы узнать как купить ключ и программу для дешифрования файлов. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Hello (WickrMe)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hello

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
---

Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: Readme!!!.txt

Содержание записки о выкупе:

Oops, some files in your computer are encrypted! If you want to decrypt these files, you need to contact me and pay some fees. Then, I will give the decryption key and software.

File Name Extension:

.hello

Contact Emails:

CandieTodd@tutanota.com

KevinDeloach@protonmail.com

Contact WickrMe Usernames:

candietodd

kevindeloach

Warning, please send mail to all mailboxes at the same time. If the email does not reply within 48 hours, please use WickrMe to contact me.

If you contact a security or data company and cause my account is blocked, you will never be able to decrypt these files.

Encrypted UUID: c4969e38-0fb2-47ab-b3f4-7cfa4ebed***

Перевод записки на русский язык:

Упс, некоторые файлы на вашем компьютере зашифрованы! Если вы хотите расшифровать эти файлы, вам нужно написать мне и заплатить некоторую плату. Затем я дам ключ дешифрования и программу.

Расширение файла:

.hello

Контактные email-адреса:

CandieTodd@tutanota.com

KevinDeloach@protonmail.com

Связь в WickrMe. Имя пользователя:

candietodd

kevindeloach

Внимание, отправьте письма сразу на все почтовые ящики. Если email не ответит за 48 часов, используйте WickrMe для связи со мной.

Если вы напишите в компанию по безопасности или данным и мой аккаунт блокируют, вы никогда не сможете расшифровать эти файлы.

Шифрованный UUID: c4969e38-0fb2-47ab-b3f4-7cfa4ebed***

Кроме того используется спеицальный файл list.hello, в котором есть список зашифрованных файлов.

Технические детали

Это говорит о том, что среди зашифрованных наверняка будут документы MS Office, PDF, текстовые файлы, базы данных, фотографии, файлы проектов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme!!!.txt - название файла с требованием выкупа;

list.hello - файл со списком зашифрованных файлов;
<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: CandieTodd@tutanota.com, KevinDeloach@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 января 2021:

Сообщение >>

Расширение: .strike
Записка: Readme!!!.txt

Email: KellyReiff@tutanota.com, AsaUribe@tutanota.com

Вариант от 7 февраля 2021:

Сообщение >>

Расширение: .strike
Записка: Readme!!!.txt

Email: SheilaBeasley@tutanota.com, CarolynDixon@tutanota.com

Вариант от 16 марта 2021 (предположительное родство):

Расширение: .hemming

Записка: HOW_TO_RESTORE_FILES.TXT

Email: SeanHemming@tutanota.com

JeremyCampbel@protonmail.com

➤ Содержание записки:

Now your files are crypted with RSA and AES.

No one can help you to restore files without our special decryptor.

Repair tools are useless and can destroy your files irreversibly.

If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files (Less than 5 Mb each and your files should not contain valuable information (Databases, backups, large excel sheets, etc.)).

You will receive decrypted samples and our conditions how to get the decryptor.

Please don't forget to write the encrypted UUID of your company in the subject of your e-mail.

The final price depends on how fast you write to us.

Every day of delay will cost you additional $10,000.

UUID:

fb7f1846058-00b2-4e4b-af6c-93c57032154f

extension:

.hemming

contact emails:

SeanHemming@tutanota.com

JeremyCampbel@protonmail.com

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as Hello (WickrMe))
 Write-up, Topic of Support
 *

 Thanks: 
 Andrew Ivanov (article author)
 quietman7, Michael Gillespie
 Samario
 to the victims who sent the samples

Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

среда, 13 января 2021 г.

CNH, CNHelp

CNHelp Ransomware

Aliases: CNH, ChinaHelper

(шифровальщик-вымогатель) (первоисточник)
Translation into English

NAS Data Compromiser

NAS_Data_Compromiser Ransomware

NAS Data Compromiser Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

воскресенье, 10 января 2021 г.

PulpFictionQuote

PulpFictionQuote Ransomware

Jet100 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

пятница, 8 января 2021 г.

Bonsoir

Bonsoir Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Hello (WickrMe)

Hello (WickrMe) Ransomware

Variants: Hello, Strike, Hemming

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

среда, 13 января 2021 г.

CNH, CNHelp

CNHelp Ransomware

Aliases: CNH, ChinaHelper

(шифровальщик-вымогатель) (первоисточник) Translation into English

NAS Data Compromiser

NAS_Data_Compromiser Ransomware

NAS Data Compromiser Ransomware

(шифровальщик-вымогатель) (первоисточник) Translation into English

воскресенье, 10 января 2021 г.

PulpFictionQuote

PulpFictionQuote Ransomware

Jet100 Ransomware

(шифровальщик-вымогатель) (первоисточник) Translation into English

пятница, 8 января 2021 г.

Bonsoir

Bonsoir Ransomware

(шифровальщик-вымогатель) (первоисточник) Translation into English

Hello (WickrMe)

Hello (WickrMe) Ransomware

Variants: Hello, Strike, Hemming

(шифровальщик-вымогатель) (первоисточник) Translation into English

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

среда, 13 января 2021 г.

(шифровальщик-вымогатель) (первоисточник)
Translation into English

(шифровальщик-вымогатель) (первоисточник)
Translation into English

воскресенье, 10 января 2021 г.

(шифровальщик-вымогатель) (первоисточник)
Translation into English

пятница, 8 января 2021 г.

(шифровальщик-вымогатель) (первоисточник)
Translation into English

(шифровальщик-вымогатель) (первоисточник)
Translation into English