Lucy

Lucy Ransomware

Lucy Mobile Ransomware

(шифровальщик-вымогатель для Android) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на мобильных устройствах с помощью AES, а затем требует выкуп выкуп в $200 через карту OneVanilla, чтобы расшифровать файлы. Предназначен только для Android-устройств. 
---
Обнаружения:

Avast-Mobile -> APK:Locker [Trj]

BitDefenderFalx -> Android.Trojan.Botnet.F

DrWeb -> Android.BankBot.787.origin

ESET-NOD32 -> A Variant Of Android/Spy.Banker.AKI

Fortinet -> Android/Banker.AKI!tr

MaxSecure -> Android.fakeinst.a

Qihoo-360 -> Trojan.Android.Gen

Sophos -> Andr/SLocker-CZ

Symantec -> Trojan.Gen.2

Tencent -> Dos.Backdoor.Lucbot.Hsiy

ZoneAlarm by Check Point -> HEUR:Backdoor.AndroidOS.Lucbot.e

---

© Генеалогия: Удобная ниша (CNAM) >> Lucy 2017 > Lucy 2021

CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств. 

Я придумал этот термин, чтобы в культурной форме назвать это злачное место. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Lucy
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Скриншоты: экран блокировки, ввод данных, зашифрованные файлы. 

  

Содержание записки о выкупе: 

DEPARTMENT OF JUSTICE

FEDERAL BUREAU OF INVESTIGATION

FBI HEADQUARTERS

WASHINGTON DC DEPARTMENT, USA

AS A RESULT OF FULL SCANNING OF YOUR DEVICE, SOME SUSPICIOUS FILES HAVE BEEN FOUND AND YOUR ATTENDANCE OF THE FORBIDDEN PORNOGRAPHIC SITES HAS BEEN FIXED. FOR THIS REASON YOUR DEVICE HAS BEEN LOCKED AND DATA ENCRYPTED. INFORMATION ON YOUR LOCATION AND SNAPSHOTS CONTAINING YOUR FACE HAVE BEEN UPLOADED ON THE FBI CYBER CRIME DEPARTMENTS DATACENTER.

FIRST OF ALL, FAMILIARISE WITH THE POSI-

---

WHERE BUY PAY FINE INFO

Перевод записки на русский язык: 
ДЕПАРТАМЕНТ ПРАВОСУДИЯ 

ФЕДЕРАЛЬНОЕ БЮРО РАССЛЕДОВАНИЙ 

ШТАБ-КВАРТИРА ФБР ВАШИНГТОН, 

ОКРУГ КОЛУМБИЯ, США 

В РЕЗУЛЬТАТЕ ПОЛНОГО СКАНИРОВАНИЯ ВАШЕГО УСТРОЙСТВА БЫЛИ НАЙДЕНЫ НЕКОТОРЫЕ ПОДОЗРИТЕЛЬНЫЕ ФАЙЛЫ И ЗАФИКСИРОВАНО ВАШЕ ПРИСУТСТВИЕ НА ЗАПРЕЩЕННЫХ ПОРНОСАЙТАХ. ПО ЭТОЙ ПРИЧИНЕ ВАШ УСТРОЙСТВО БЛОКИРОВАНО, ДАННЫЕ ЗАШИФРОВАНЫ. ИНФОРМАЦИЯ О ВАШЕМ МЕСТОНАХОЖДЕНИИ И СНИМКИ С ВАШИМ ЛИЦОМ БЫЛИ ЗАГРУЖЕНЫ В ЦЕНТР ДАННЫХ ОТДЕЛА КИБЕРПРЕСТУПНОСТИ, ФБР. 

СНАЧАЛА ОЗНАКОМЬТЕСЬ С ПОЛОЖЕНИЕМ -

--- 

ГДЕ КУПИТЬ ОПЛАТИТЬ ШТРАФ ИНФО

Еще одно сообщение: 

ATTENTION! 

To view this video, please turn on "18+ AGE PHONE CHILDREN GUARD" in phone settings. * Because video contains adult content 

OK

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
все популярные форматы файлов. 

Это документы могут быть файлы документов, PDF, текстовые файлы, фотографии, музыка, видео и пр. 

Главной целью являются не файлы на мобильных устройствах, а данные карт пользователей, которые вымогатели просто украдут. 

Проверяет страну пользователя по списку:

ru - Россия

az - Азербайджан

by - Беларусь

kz - Казахстан

kg - Киргизия

md - Молдова

tj - Таджикистан

tm - Туркменистан

uz - Узбекистан

ua - Украина

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
app-release.apk - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Lucy Mobile Ransomware - 2017

Lucy Mobile Ransomware - 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lukas Stefanko, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CNH, CNHelp

CNHelp Ransomware

Aliases: CNH, ChinaHelper

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует написать на email, что узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. Использован язык программирования RUST. Для Windows x64 систем. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33411, Trojan.Encoder.33484
BitDefender -> Trojan.GenericKD.45588801, Trojan.GenericKD.45457808
Avira (no cloud) -> TR/Redcap.ppfuv, TR/FileCoder.pyvoq
ESET-NOD32 -> A Variant Of Generik.JBWWFIT, Win64/Filecoder.DC
Kaspersky -> Trojan.Win32.Bingoml.acxz, Trojan-Ransom.Win32.Crypmod.adps
Malwarebytes -> Ransom.FileCryptor, Ransom.FileLocker
Microsoft -> Trojan:Win32/Ymacco.AA2A, Trojan:Win32/Filecoder!MSR

Qihoo-360 -> Win32/Trojan.ac7, Win32/Ransom.Filecoder.H8oANFsA
Rising -> Trojan.Bingoml!8.1226A (CLOUD), Ransom.Crypmod!8.DA9 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Bingoml.Ehib, Win32.Trojan.Crypmod.Phqd
TrendMicro -> TROJ_GEN.R002C0WAO21, Ransom_Crypmod.R002C0PAG21
---

© Генеалогия: Ransomnix >> CNH

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .cnh
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

Hello.

If you want back your files write to: helper.china@aol.com

Your ID: n/QJMEGxceL7nGsO2RkkaYL5/pFw9BtuRmu80jN0H7onxgz0aXv4z+3SlUt2mw

+phd/GwWDN4WKyiOztTLGIv+3r25VHw9FV4SHLPykdoFMflCT5mCg+/NtvKzlEWC*** [всего 684 знака]

Перевод записки на русский язык:

Привет.

Если хотите вернуть файлы, пишите: helper.china@aol.com

Ваш ID: n/QJMEGxceL7nGsO2RkkaYL5/pFw9BtuRmu80jN0H7onxgz0aXv4z+3SlUt2mw

+phd/GwWDN4WKyiOztTLGIv+3r25VHw9FV4SHLPykdoFMflCT5mCg+/NtvKzlEWC*** [всего 684 знака]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt

Скриншоты от исследователя:

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helper.china@aol.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 февраля 2021: 

Расширение: .cnhelp

Записка: HOW_TO_RETURN_FILES.txt

Стали использовать текст записки от Ransomnix-Charm с расширением .charm

Email: helper.china@aol.com

Результаты анализов: VT + HA + IA + TG

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as CNHelp)
 Write-up, Topic of Support
 * 

 Thanks: 
 0x4143, Michael Gillespie, xXToffeeXx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

NAS Data Compromiser

NAS_Data_Compromiser Ransomware

NAS Data Compromiser Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или как-то иначе модифицирует данные на NAS-устройствах и сетевых хранилищах, а затем требует выкуп в 0.01 - 0.02 BTC или более, чтобы вернуть файлы. Оригинальное название: в записке не указано. Вымогатели действуют из Румынии. Регистрируют легальную IT- или Recovery- компанию, службу удаленной помощи или разработку ПО на заказ, и под их вывеской занимаются различным компьютерным вымогательством. Такой "бизнес" распространен в Румынии повсеместно. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> NAS_Data_Compromiser

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aes или любое другое, вполне безобидное. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2020 - начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первый пострадавший, который сообщил об атаке, был из Турции. 

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе: 

HELLO!

YOUR REMOTE STORAGE WAS COMPROMISED. 

ALL YOUR FILES AND FOLDERS WERE ENRCYPTED AND HIDDEN.

IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.02 BITCOIN TO THIS BITCOIN WALLET:

1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY

YOU HAVE UNTIL THE 15th OF JANUARY 2021 TO MAKE THE PAYMENT.

AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.

YOUR UNIQUE ID IS: xxx.xx.xx.xxx

PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO: 

filerecovery@mail2save.com

AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.

ATTENTION !!!

DO NOT DELETE ANY FILES ON YOUR DRIVE.

DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.

DO NOT FORMAT, DELETE THE VOLUME OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.

This is NOT a BOT

THANK YOU FOR YOUR COOPERATION.

Data Security

Перевод записки на русский язык: 

Привет!

Ваше удаленное хранилище было взломано.

Все ваши файлы и папки зашифрованы и скрыты.

Если вы хотите восстановить свои файлы, вы должны отправить 0,02 биткойна на этот биткойн-кошелек:

1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY

Вы должны произвести оплату до 15 января 2021 года.

После этого восстановить ваши данные будет практически невозможно.

Ваш уникальный ID: xxx.xx.xx.xxx

Отправьте нам свой ID и подтверждение платежа по email на адрес:

filerecovery@mail2save.com

После подтверждения оплаты вы получите инструкции, как восстановить все ваши файлы.

Внимание !!!

Не удаляйте файлы на вашем диске.

Не пытайтесь восстановить ваши данные с помощью какой-то программы. Это навсегда повредит данные.

Не форматируйте, не удаляйте том и не записывайте данные на диск. Это навсегда повредит данные.

Это не бот

Спасибо за сотрудничество.

Безопасность данных

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ ME.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;

_bca3 - файл, найденный на NAS-устройстве (около 72 Мб);

lopiy4356rs23fh8o745r67ds23a - файл, найденный на NAS-устройстве (около 100 Мб).

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: filerecovery@mail2save.com
BTC: 1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 декабря 2021 или раньше:
Сообщение на форуме >>

Расширение: .aes

Записка: READ ME.txt

Email: secur_it@zohomail.eu
BTC: 1LwTujzoFf9WcVSYUNBzXgruYZxrRT3nz

➤ Содержание записки: 

HELLO!

YOUR REMOTE STORAGE WAS COMPROMISED. 

ALL YOUR FILES AND FOLDERS HAVE BEEN ENRCYPTED AND HIDDEN.

IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.01 BITCOIN TO THIS BITCOIN WALLET:

1LwTujzoFf9WcVSYUNBzXgruYZxrRT3nz

YOU HAVE UNTIL THE 30th of OCTOBER 2021 TO MAKE THE PAYMENT.

AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.

YOUR UNIQUE ID IS: xxx.xxx.xxx.xx

PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO: 

secur_it@zohomail.eu

AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.

ATTENTION !!!

DO NOT DELETE ANY FILES ON YOUR DRIVE.

DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.

DO NOT FORMAT, ADD OR DELETE VOLUMES OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.

This is NOT a BOT

THANK YOU FOR YOUR COOPERATION.

Data Security.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as NAS Data Compromiser)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PulpFictionQuote

PulpFictionQuote Ransomware

Jet100 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: RansomEXX ??? >> PulpFictionQuote

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: 

.<domain_name>

.<company_name>

.<abbreviated_company_name>

.<org_name> 

В изученном случае файлы получили расширение: .vkm1297

В конце зашифрованных файлов содержатся обрывки монолога одного из героев фильма "Pulp Fiction" ("Криминальное чтиво"), который цитирует слова из Книги Иезекииля (Ezekiel 25:17). В каждом файле текст меняется полностью или частично. Вот скриншоты из трёх разных зашифрованных файлов, объединённые в одно изображение. 

Цитируемая фраза полностью.  

The path of the righteous man is beset on all sides by the iniquities of the selfish and the tyranny of evil men. Blessed is he, who in the name of charity and good will, shepherds the weak through the valley of darkness, for he is truly his brother's keeper and the finder of lost children. And I will strike down upon thee with great vengeance and furious anger those who would attempt to poison and destroy my brothers. And you will know my name is the Lord when I lay my vengeance upon thee.

Этимология названия:

Так как вымогатели никак не назвали свою вредоносную программу и не сообщили никаких данных, по которым их можно было назвать, кроме email, то я использовал характерный элемент вымогателя, о котором написал выше и назвал его PulpFictionQuote - "цитата из PulpFiction". Логин из email Jet100, по традиции, поставил как второе название. Расширение в данном примере использовать некорректно, т.к. оно у всех индивидуальное. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину января 2021 г. Ориентирован на русскоязычных пользователей, но вполне может распространяться по всему миру. Первым пострадавшим был сайт из России. 

Записка с требованием выкупа называется: read_this.txt

Содержание записки о выкупе:

Здравствуйте.

Ваши документы и базы данных зашифрованы, резервные копии удалены.

Для получения инструкций по расшифровке, обратитесь к оператору по адресу: jet100@safe-mail.net, в теме письма указав "VKM1297".

Перед попытками самостоятельно расшифровать файлы настоятельно рекомендуется сделать резервные копии, в противном случае восстановление не гарантируется.

Перевод записки на русский язык:
*** уже сделан ***


Как оказалось идентификатор VKM1397 получил сайт vkm1297.ru (Вагонно-колёсная мастерская, г. Старый Оскол, Россия). 
Когда мы получили запрос от пострадавших, сайт ещё открывался, но потом стал недоступен. На момент написания статьи сайт также не открывается. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_this.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jet100@safe-mail.net
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author), Sandor
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Bonsoir

Bonsoir Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на NAS-устройствах с помощью AES-256 (режим CFB), а затем требует выкуп в 0.045 BTC (или больше), чтобы вернуть файлы. Оригинальное название: Bonsoir Ransomware. Дешифровщик написан на языке Go.  
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Bonsoir

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bonsoir


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW-RECOVER-MY-FILES.txt

Содержание записки о выкупе:

  .::: Bonsoir Ransomware :::.

~ We have to notify you that your device has been infected and all of your files are encrypted ~

~ This means you can not access any of your files without purchasing the "Bonsoir Decryptor" from us ~

The decryption solution is easy:

To buy decryptor instantly, you must visit our website using the TOR BROWSER!

1. Download and install the Tor browser on your computer: https://www.torproject.org/download/

2. Visit the our website with Tor browser: 5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/login/*

3. Enter Login-Code: 

096573B4F67B03BF6C37381205ED517BE432ECD7DA [всего 512 знаков]

4. Takes the necessary steps by following the instructions provided on the our website.

5. We look forward to seeing you on cold winter nights.

Перевод записки на русский язык:

  .::: Bonsoir Ransomware :::.

~ Мы должны сообщить вам, что ваше устройство заражено и все ваши файлы зашифрованы ~

~ Это означает, что вы не можете получить доступ ни к одному из своих файлов, не купив у нас "Bonsoir Decryptor" ~

Решение расшифровки простое:

Чтобы купить дешифратор немедленно, вам надо посетить наш сайт, используя TOR БРАУЗЕР!

1. Загрузите и установите Tor-браузер на ваш компьютер: https://www.torproject.org/download/

2. Посетите наш веб-сайт с Tor-браузером: 5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/login/*

3. Введите Логин-Код:

096573B4F67B03BF6C37381205ED517BE432ECD7DA [всего 512 знаков]

4. Сделайте необходимые шаги, следуя инструкциям на нашем веб-сайте.

5. Мы будем ждем вас холодными зимними ночами.

Скриншот с Tor-сата вымогателей:

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 
---

Атакует только NAS-устройства, используя их многочисленные уязвимости.  

Целевые устройства: QNAP-420 NAS и другие. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-RECOVER-MY-FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

decryptor.exe - Bonsoir Decryptor - оригинальный дешифровщик

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:/Users/Admin/go/src/LinuxDecrypt/Test/main.go

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/***

Email: - 
BTC: 1PZsqzRY8mwqs5VtZfCdeUmX33c2WjaV9o
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis (decryptor.exe) >>
🐞 Intezer analysis (decryptor.exe) >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 января 2021:

Топик на форуме >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание, оригинальный дешифровщик работает некорректно!
Если вы заплатили выкуп, но не можете расшифровать файлы, 
то обратитесь за помощью на форум по этой ссылке >>
***

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Bonsoir)
 Write-up, Topic of Support
 * 

 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.