Если вы не видите здесь изображений, то используйте VPN.

вторник, 5 января 2021 г.

Judge

Judge Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Classico.exe
---
Обнаружения:
DrWeb -> Trojan.Siggen11.57428
BitDefender -> Gen:Variant.MSILHeracles.9049
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1136145
ESET-NOD32 -> A Variant Of MSIL/Injector.PKW
Kaspersky -> HEUR:Trojan-Ransom.MSIL.GenericCryptor.gen
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Ymacco.AA73
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_GenericCryptor.R002C0PAD21
---

© Генеалогия: SYSDOWN + Stupid >> Judge

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .judge

Фактически используется составное расширение по шаблону: .[judgemebackup@tutanota.com].judge 

Пример такого файла: 1.jpg.[judgemebackup@tutanota.com].judge

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: info.txt


Содержание записки о выкупе: 
If you access this page so your device has been encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted, Maybe you are busy looking for a way to recover your files, but do not waste your time. NOBODY can recover your files without our decryption service.
How Recover My Files?
Sure, We guarantee that you can recover all your files safely and easily, But you have not so enough time,
After the end of the specified time, which is listed below, the price will be raised to double the specified amount
Speed is required, We will close all our accounts after a certain period, so you will never be able to retrieve your files if u late.
How To Pay?
Only one payment is accepted (Bitcoin)
Please check the current price of Bitcoin and buy some bitcoins
And send the correct amount to the address
After payment
After you send the specified amount to the Bitcoin wallet immediately,
click on Contact Us and send us an email with the ID of your device and the transfer number for the bitcoins
---------------------------------------------
YOUR DEVICE ID: admin_703E6FEDDC9B
BTC Address: 1M3EDJdQtPNY5t2nHAeRTgQRFDu2U6QNCG
BTC Price: 100$
E-Mail: judgemebackup@tutanota.com
Telegram: @judgebackup
---------------------------------------------
What happened to my device?
If you access this page so your device has been encrypted.
Many of your documents, photos, videos, databases and other files are no longer
accessible because they have been encrypted, Maybe you are busy looking for a way to recover
your files, but do not waste your time. NOBODY can recover your files without our decryption service.
How Recover My Files?
Sure, We guarantee that you can recover all your files safely and easily, But you have not so enough time,
After the end of the specified time, which is listed below, the price will be raised to double the specified amount
Speed is required, We will close all our accounts after a certain period, so you will never be able to retrieve your files if u late.
How To Pay?
Only one payment is accepted (Bitcoin)
Please check the current price of Bitcoin and buy some bitcoins
And send the correct amount to the address
After payment
After you send the specified amount to the Bitcoin wallet immediately,
click on Contact Us and send us an email with the ID of your device and the transfer number for the bitcoins

Перевод записки на русский язык: 
Если вам доступна эта страница, значит, ваше устройство зашифровано.
Многие из ваших документов, фото, видео, базы данных и другие файлы недоступны, потому что они зашифрованы. Возможно, вы ищете способ восстановить свои файлы, но не тратьте зря время. НИКТО не может восстановить ваши файлы без нашей службы дешифрования.
Как восстановить мои файлы?
Конечно, мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы, но у вас мало времени,
По истечении указанного времени, указанного ниже, цена увеличится в два раза выше указанной суммы.
Торопитесь. Мы закроем все наши учетные записи через определенный период, поэтому вы никогда не сможете восстановить свои файлы, если опоздаете.
Как платить?
Принимается только один платеж (биткойн)
Проверьте текущую цену биткойнов и купите биткойны
И отправьте правильную сумму на адрес
После оплаты
После того, как вы немедленно отправите указанную сумму на биткойн-кошелек,
нажмите "Contact Us" и отправьте нам email с ID вашего устройства и номером перевода биткойнов.
---------------------------------------------
ID ВАШЕГО УСТРОЙСТВА: admin_703E6FEDDC9B
Адрес BTC: 1M3EDJdQtPNY5t2nHAeRTgQRFDu2U6QNCG
Цена BTC: 100 $
Email: judmebackup@tutanota.com
Телеграмма: @judgebackup
---------------------------------------------
Что случилось с моим устройством?
Если вам доступна эта страница, значит, ваше устройство зашифровано.
Многие из ваших документов, фото, видео, базы данных и другие файлы недоступны, потому что они зашифрованы. Возможно, вы ищете способ восстановить ваши файлы, но не тратьте время зря. НИКТО не может восстановить ваши файлы без нашей службы дешифрования.
Как восстановить мои файлы?
Конечно, мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы, но у вас мало времени,
По истечении указанного времени, указанного ниже, цена увеличится в два раза выше указанной суммы.
Торопитесь. Мы закроем все наши учетные записи через определенный период, поэтому вы никогда не сможете восстановить свои файлы, если опоздаете.
Как платить?
Принимается только один платеж (биткойн)
Проверьте текущую цену биткойнов и купите биткойны
И отправьте правильную сумму на адрес
После оплаты
После того, как вы немедленно отправите указанную сумму на биткойн-кошелек,
нажмите "Contact Us" и отправьте нам email с ID вашего устройства и номером перевода биткойнов.z


Другим информатором жертвы выступает экран блокировки:


Часть текста совпадает с тем, что есть в текстовой записке. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует, к позору Microsoft, технологии PowerShell, WScript, CMD для выполнения вредоносных команд и запуска шифрования: 
%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe -ExecutionPolicy Bypass -command Copy-Item <Full path to file>

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
info.txt - название файла с требованием выкупа
Classico.exe - название вредоносного файла
Использует IntelliLock Packer для защита файла от исследования. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\%Namee%
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: judgemebackup@tutanota.com
Telegram: @judgebackup
BTC: 1M3EDJdQtPNY5t2nHAeRTgQRFDu2U6QNCG
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 4 января 2021 г.

Parasite

Parasite Ransomware

Aliases: SharpCrypter, Paralock

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 + RSA, а затем требует выкуп в 0.005-0.006 BTC, чтобы вернуть файлы. Оригинальное название: Parasite. На файле написано: Adobe Reader.exe. Язык программирования: C Sharp (C#). В течение первого месяца распространения несколько раз модифицировался. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.11, Trojan.EncoderNET.31371, Trojan.InjectNET.17
BitDefender -> Trojan.GenericKD.36013647, Generic.Ransom.HydraCrypt.93B1B43A
Avira (no cloud) -> TR/Ransom.Agent.nvgea, TR/Ransom.uuodh
ESET-NOD32 -> A Variant Of Generik.GITSGJW, A Variant Of MSIL/Filecoder.AFI
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.FileCryptor, Trojan.Crypt.Generic
Microsoft -> Ransom:MSIL/SharpCrypter.PA!MTB
Rising -> Ransom.Parasite!8.12369 (CLOUD)
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Wqmo, Msil.Trojan.Encoder.Eex
TrendMicro -> Ransom.MSIL.SHARPCRYPTER.A, Ransom.MSIL.FILELOCK.SM
---

© Генеалогия: безымянные варианты из 2020 г. >> Parasite (
SharpCrypter) > более новые варианты

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .parasite


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ранние варианты работали с ошибками и не шифровали файлы, потом это было исправлено. Ориентирован на англоязычных и французских пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: @READ_ME_FILE_ENCRYPTED@.html


Содержание записки о выкупе:
Your ID is: 42krc1sbp/vz0AZib35A!A***
All your files are encrypted !
Hello! All your files have been encrypted using RSA-2048 and RC4 encryption algorithm. You can learn about cryptography and encryption algorithm here RSA-2048 (Wikipedia) and RC4 (Wikipedia)
That's why your files are no longer readable.
It means that the contents of your files have been changed and you can't use them as before. It is like loosing your files forever.
How can I recover my files ?
If you understand the importance of the situation, Then you can ask for the decryption of your files.
To decrypt your files, you need to purchase your private key.
The price can change every day so don't waste your time ! You can ask for the payement (in bitcoin) by email: parasiteCIPH@tutanota.com
Please specify your ID in the subject of your message.
Once you paid, you will receive your key and the decryption tool.
How can I buy bitcoins ?
To buy bitcoins, you can follow these links:
https://localbitcoins.com
https://bitcoin.org
https://www.bitcoin.com
https://www.coinbase.com
You can learn more about the bitcoins here
Should I trust you ?
Yes, you can trust us.
Our mission is to decrypt your files. You pay, we help.
Remember that if you don't want to pay you will not be able to get you files back.
Attention !
Only communication through our email can guarantee file recover for you. We are not responsible for the actions of third parties who promise to help you most often they are scammers.
Please, do not try to rename encrypted files.
If you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
Our goal is to return your data, but if you don't contact us, we will not succeed.

Перевод записки на русский язык:
Ваш ID: 42krc1sbp / vz0AZib35A! A ***
Все ваши файлы зашифрованы!
Привет! Все ваши файлы зашифрованы с алгоритмами шифрования RSA-2048 и RC4. Вы можете узнать о криптографии и алгоритме шифрования здесь RSA-2048 (Википедия) и RC4 (Википедия)
Вот почему ваши файлы больше не читаются.
Это значит, что содержимое ваших файлов было изменено, и вы не сможете использовать их, как раньше. Это похоже на потерю файлов навсегда.
Как я могу восстановить свои файлы?
Если вы понимаете важность ситуации, то можете попросить расшифровать ваши файлы.
Чтобы расшифровать файлы, вам надо приобрести закрытый ключ.
Цена может меняться каждый день, не тратьте время зря! Вы можете запросить платеж (в биткойнах) по email: parasiteCIPH@tutanota.com
Пожалуйста, укажите свой ID в теме сообщения.
После оплаты вы получите ключ и инструмент для расшифровки.
Как я могу купить биткойны?
Чтобы купить биткойны, вы можете перейти по этим ссылкам:
https://localbitcoins.com
https://bitcoin.org
https://www.bitcoin.com
https://www.coinbase.com
Вы можете узнать больше о биткойнах здесь
Должен ли я вам доверять?
Да, вы можете нам доверять.
Наша миссия - расшифровать ваши файлы. Вы платите, мы помогаем.
Помните, что если вы не хотите платить, вы не сможете вернуть свои файлы.
Внимание!
Только общение по email может гарантировать вам восстановление файла. Мы не несем ответственности за действия третьих лиц, которые обещают вам помочь, но чаще всего являются мошенниками.
Пожалуйста, не переименовывайте зашифрованные файлы.
Если хотите убедиться, что невозможно восстановить файлы с помощью сторонних программ, делайте это не для всех файлов, иначе вы можете потерять все данные.
Наша цель - вернуть ваши данные, но если вы не свяжетесь с нами, мы не сможем помочь.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Схема запуска и поведения (см. целиком в отчёте AnyRun)


➤ Удаляет теневые окпии файлов
, используя команду:
vssadmin.exe  delete shadows /all /quiet

➤ После выполнения своих задач самоудаляется, используя команду:
choice  /C Y /N /D Y /T 1 & Del 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
x65454.pdb - оригинальное название проекта
@READ_ME_FILE_ENCRYPTED@.html - название файла с требованием выкупа
<random>.exe - временные файлы с разным названием
Adobe Reader.exe - название вредоносного файла
Adobe Reader.pdb - название файла проекта
Использует файлы с названием легитимных файлов Windows и различных приложений: TaskHost.exe, Adobe Reader.exe и другие. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
E:\@56\x65454\x65454\x65454\obj\Debug\x65454.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: parasiteCIPH@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 января 2021:
Видимо тот же вариант. 
Email: parasiteCIPH@tutanota.com
Файл: 98561.exe
Результаты анализов: VT + IA + HA


Вариант от 1 февраля 2021: 
Самоназвание в заголовке экрана: CryptoLocker
Расширение: .betarasite
Email: в тексте не указан. 
Файл: X.exe
Результаты анализов: VT + AR + JSB / VT + ARIA + JSB + HA
➤ Обнаружения: 
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tztsb
BitDefender -> Gen:Variant.Razy.559943
DrWeb -> Trojan.MulDrop11.26182, TR/Ransom.qzqjq
ESET-NOD32 -> A Variant Of MSIL/Agent.TET
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/FileCoder!MTB
Qihoo-360 -> Win32/Ransom.Filecoder.HwM*
Rising -> Ransom.Agent!1.D220 (CLOUD)
Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Egnw, Msil.Trojan.Encoder.Aosw
TrendMicro -> Ransom_FileCoder.R002C0DB121
---
 





Вариант от 9 февраля 2021:
Расширение: .paras1te
Записка: info.hta
Email: parasite@cock.li, para5ite@tutanota.com
Файл: speedo.exe
Результаты анализов: VT + AR + IA + TG / VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.InjectNET.17
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tkpny
BitDefender -> Gen:Variant.Razy.685068
ESET-NOD32 -> A Variant Of MSIL/Kryptik.YDU
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Paradise
Microsoft -> Trojan:Win32/Ymacco.AA1B
Qihoo-360 -> Win32/Ransom.Encoder.HwMAKqAA
Rising -> Exploit.Uacbypass!1.C9A2 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Aihr
TrendMicro -> Ransom_Encoder.R002C0PB921
---

 

➤ Содержание записки: 
🔒 ALL YOUR DATA TURNED TO USELESS BINARY CODE 🔒
Your computer is infected with a virus.
Send an email parasite@cock.li, specify in the subject your unique identifier 13W95 and you will definitly be helped to recover.
NOTE:
You can send 2 files as proof that we can return all your data.
If the provided email doesn't work, please contact us at para5ite@tutanota.com
Algorithms used are AES and RSA. 
IMPORTANT:
1. The infection was due to vulnerabilities in your software.
2. If you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
3. Only communication through our email can guarantee file recover for you. We are not responsible for the actions of third parties who promise to help you - most often they are scammers.
4. Please, do not try to rename encrypted files.
5. Our goal is to return your data, but if you don't contact us, we will not succeed.


Вариант от 12 февраля 2021: 
Расширение: .paralock
Email: paracrypt@cock.li, p4r4l0ck@tutanota.com
Записка: info.hta
Файл: 有和人这中大为上个国.exe
Результаты анализов: VT + AR + TG + IA
➤ Обнаружения: 
Avira (no cloud) -> TR/Dropper.MSIL.Gen
BitDefender -> Gen:Variant.Razy.559943
DrWeb -> Trojan.MulDrop11.26182
ESET-NOD32 -> A Variant Of MSIL/Agent.TET
Malwarebytes -> Generic.Malware/Suspicious
Qihoo-360 -> Trojan.Generic
Rising -> Exploit.Uacbypass!1.C9A2 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Hnbj
TrendMicro -> Ransom_FileCoder.R002C0DBC21
---

 

 Содержание записки: 
🔒 ALL YOUR DATA TURNED TO USELESS BINARY CODE 🔒
Your computer is infected with a virus.
Send an email paracrypt@cock.li, specify in the subject your unique identifier J1ZED1AM and you will definitly be helped to recover.
NOTE:
You can send 2 files as proof that we can return all your data.
If the provided email doesn't work, please contact us at p4r4l0ck@tutanota.com
Algorithms used are AES and RSA. 
IMPORTANT:
1. The infection was due to vulnerabilities in your software.
2. If you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
3. Only communication through our email can guarantee file recover for you. We are not responsible for the actions of third parties who promise to help you - most often they are scammers.
4. Please, do not try to rename encrypted files.
5. Our goal is to return your data, but if you don't contact us, we will not succeed.


Вариант от 13 февраля 2021: 
Расширение: .arazite
Записка: info.hta
Email: parazite@tutanota.com, alcmalcolm@cock.li 
Файл: $.exe
Результаты анализов: VT + AR + TG + IA / VT + AR
➤ Обнаружения: 
Avira (no cloud)TR/Dropper.MSIL.Gen
BitDefenderGen:Variant.Razy.685068
DrWebTrojan.InjectNET.17
ESET-NOD32A Variant Of MSIL/Kryptik.YDU
MicrosoftTrojan:Win32/Wacatac.B!ml
Qihoo-360HEUR/QVM03.0.426B.Malware.Gen
RisingExploit.Uacbypass!1.C9A2 (CLASSIC)
---
 

🔒 ALL YOUR DATA TURNED TO USELESS BINARY CODE 🔒
Your computer is infected with a virus.
Send an email parazite@tutanota.com, specify in the subject your unique identifier ZKGQFGVW and 
you will definitly be helped to recover.
NOTE:
You can send 2 files as proof that we can return all your data.
If the provided email doesn't work, please contact us at alcmalcolm@cock.li
Algorithms used are AES and RSA. 
IMPORTANT:
1. The infection was due to vulnerabilities in your software.
2. If you want to make sure that it is impossible to recover files using third-party software, do this 
not on all files, otherwise you may lose all data.
3. Only communication through our email can guarantee file recover for you. We are not responsible 
for the actions of third parties who promise to help you - most often they are scammers.
4. Please, do not try to rename encrypted files.
5. Our goal is to return your data, but if you don't contact us, we will not succeed.


Вариант от 1 марта 2021 / Возможно относится к Crypt3r Ransomware
Расширение-1: .vjiszy1lo
Расширение-2: .vjiszy1lo.1lo_decryptkey.vjiszy1lo
Расширение с повтором: .vjiszy1lo.1lo_decryptkey.vjiszy1lo.1lo_decryptkey.vjiszy1lo 
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: shadowghosts@tutanota.com, fortihooks@protonmail.com



➤ Содержание записки: 
==================================================
YOUR ID : {2e8d8b9a-affa-4b20-ad9d-25302f64cb55}
++++++++++++++++++++++++++++++++++++++++++++++++++
OOPS! YOUR IMPORTANT F1LES HAS BEEN ENC:(RYPTED !!!
DO NOT WORRY! FILES ARE SAFE! JUST MODIFIED ONLY. (RSA + AES)
++++++++++++++++++++++++++++++++++++++++++++++++++
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY
SOFTWARE WILL PERMENANTLY DESTORY YOUR FILE !!!
NO SOFTWARE AVALIABLE ON INTERNET CAN HELP YOU!
ONLY WE HAVE SOLUTION TO YOUR PROBLEM.
WE ONLY SEEK MONEY AND DO NOT WANT TO DAMAGE YOUR REPUTATION.
----------------------------------------------------------------
YOU NEED TO PAY 2.0 BITCOINS TO OUT ACCOUNT, AFTER THE PAYMENT
IS CONFIRMED, WE WILL IMMEDIATELY DELETE ALL OF YOUR FILES ON
OUR SERVER AND SEND THE DECRYPTION PROGRAM AND PRIVATE KEY TO YOU.
IF YOU DECIDE TO NOT PAY OR THERE IS NO PAYMENT WITHIN 7-DAYS,
WE WILL DELETE THE DECRYPTION KEY FROM OUT DATABASE, AND SOME 
OF YOUR IMPORTANT DATA WILL BE RELEASE TO PUBLIC OR RE-SELL!
DO NOT KNOW HOW TO BUY BITCOIN ? JUST GOOGLE IT:)
----------------------------------------------------------------
CONTACT US FOR PAYMENT CONFIRMTION AND GET DECRYPTION SOFTWARE :
shadowghosts@tutanota.com
fortihooks@protonmail.com (IF NO ANSWER WITHIN 24-HOURS)
==================================================
---
Файл: SchoolPrject1.exe
Результаты анализов: VT + IA
 Обнаружения: 
DrWeb -> Trojan.EncoderNET.31371
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.vbfqb
BitDefender -> Generic.Ransom.HydraCrypt.9A3E2D9A
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFI
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.KillFiles
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Anql
TrendMicro -> Ransom_RAMSIL.SM


Вариант от 3 марта 2021:
Расширение: .RansomTrojanLock
Записка: ___RECOVER__FILES__.RansomTrojanLock.txt
Результаты анализов: VT + IA
 Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Disabler.BX
Microsoft -> Ransom:MSIL/LockCrypt.PA!MTB
Rising -> Ransom.DaddyCrypt!1.D2A1 (CLOUD)
Tencent -> Msil.Trojan.Diztakun.Dzao


Вариант от 14 марта 2021 / Возможно относится к Crypt3r Ransomware
Расширение: .jpghosts
Записки: HOW_CAN_GET_FILES_BACK.rtf, HOW_CAN_GET_FILES_BACK.txt
Файл: Ghost.exe
Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33817, Trojan.Encoder.33818
BitDefenderTrojan.GenericKD.45914521, Trojan.GenericKD.45940669
ESET-NOD32MSIL/Filecoder.AGT
MalwarebytesRansom.Parasite
MicrosoftTrojanDownloader:O97M/Obfuse.TB!MTB
RisingRansom.Agentb!8.1139A (CLOUD)
SymantecTrojan Horse
TencentMsil.Trojan.Agentb.Lned
TrendMicroRansom.Win32.GHOST.ZTIC


Вариант от 17 марта 2020 / Возможно относится к Crypt3r Ransomware
Кроме того используется название: Ghost. 
Расширение: .phantom
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: rsaecho@tutanota.com, shadowghosts@tutanota.com

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Parasite)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Petrovic, 0x4143, Michael Gillespie
 Andrew Ivanov (article author)
 Fabian Wosar
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Knot

Knot Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 350$ в BTC, чтобы вернуть файлы. Оригинальное название: в записке указано Knot. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33364
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Downloader.Gen
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/KnotedCrypt.SN!MTB
Rising -> Ransom.Knot!1.D03C (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Szmb
TrendMicro -> Mal_DLDER
---

© Генеалогия: ✂️ Rhino (Marvel) >> Knot

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 
2020 - начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Создает записку для каждого зашифрованного файла по шаблону: <filename>-HELP.txt
Например, Chrysanthemum.jpg-HELP.txt


Содержание записки о выкупе: 
!!! ALL YOUR FILES ARE ENCRYPTED !!!
To decrypt all your files you have to buy our software: KnotDecryptor, it will automatically scan and decrypt all encrypted files.
1. Register your Bitcoin (BTC) wallet here: https://login.blockchain.com/#/signup
2. Buy Bitcoin (BTC) here: http://exbase.io, https://paxful.om/buy-bitcoin, or find another exchanger on google.
3. Send 350$ in Bitcoin (BTC) to our Bitcoin (BTC) wallet: 1JPXx7iDdW6oSXA6sf2t2gGm21HyqLe2Bp
4. Send email to: knotdecryptor@secmail.pro, with the transaction link, you will receive it automatically after payment and we will send you our software: KnotDecryptor.
You also can send one encrypted file with filesize not bigger than 1MB, to our email: knotdecryptor@secmail.pro, we will decrypt and sent it back to you, this is for proof that we can decrypt all files.
!!! DO NOT TRY TO DECRYPT YOUR FILES WITH ANY OTHER SOFTWARE, IT CAN DAMAGE THEM AND YOU WILL LOSE THEM FOREVER !!!

Перевод записки на русский язык: 
!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!
Чтобы расшифровать все ваши файлы, вам нужно купить нашу программу: KnotDecryptor, она автоматически сканирует и расшифрует все зашифрованные файлы.
1. Зарегистрируйте свой биткойн-кошелек (BTC) здесь: https://login.blockchain.com/#/signup
2. Купите биткойны (BTC) здесь: http://exbase.io, https://paxful.om/buy-bitcoin или найдите другой обменник в Google.
3. Отправьте 350$ в биткойнах (BTC) на наш биткойн-кошелек (BTC): 1JPXx7iDdW6oSXA6sf2t2gGm21HyqLe2Bp.
4. Отправьте email на адрес: knotdecryptor@secmail.pro, со ссылкой на транзакцию, вы получите ее автоматически после оплаты, и мы отправим вам нашу программу: KnotDecryptor.
Вы также можете отправить один зашифрованный файл с размером не более 1 МБ на наш email: knotdecryptor@secmail.pro, мы расшифруем и отправим его вам, это для доказательства того, что мы можем расшифровать все файлы.
!!! НЕ ПЫТАЙТЕСЬ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ ДРУГИМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ, ЭТО МОЖЕТ ИХ ПОВРЕДИТЬ, И ВЫ ПОТЕРЯЕТЕ ИХ НАВСЕГДА !!!


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки с помощью команды:
vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures

➤ Распространяется в составе с Phorpiex Malware

➤ Загружает ключевые данные из xxxx://45.182.189.251/a в "number" + ".jpg" в %Temp%.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KnotDecryptor
<ransom_note>.txt - название файла с требованием выкупа
killswitch - специальный файл
mymonero.exe - название вредоносного файла
exodus.exe - название вредоносного файла
mysqld_opt.exe
mysqld_nt.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Скриншоты от исследователя:

 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
killswitch
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: knotdecryptor@secmail.pro
BTC: 1JPXx7iDdW6oSXA6sf2t2gGm21HyqLe2Bp
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Knot)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *