Steel

Steel Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Язык программирвоания: Delphi. Использует OpenSSL. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33544

Avira (no cloud) -> TR/FileCoder.itptc, TR/FileCoder.kwezc

BitDefender -> Trojan.GenericKD.45770090

ESET-NOD32 -> Win32/Filecoder.OFS

Malwarebytes -> Malware.AI.4275350409

Microsoft -> Trojan:Win32/Ymacco.AA55

Qihoo-360 -> Win32/Ransom.Encoder.HgIASQAA, Win32/Heur.Generic.HwYDSicA

Rising -> Downloader.Banload!8.15B (CLOUD), Trojan.Filecoder!8.68 (CLOUD)

Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT

Tencent -> Win32.Trojan.Filecoder.Htci, Win32.Trojan.Encoder.Afhu

TrendMicro -> Ransom_Encoder.R002C0PBI21

---

© Генеалогия: ??? >> Steel

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random{4}>

Примеры таких расширений:

.A1WJ

.SO0i

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW_TO_RESTORE_FILES.txt 

Содержание записки о выкупе:

******************************ATTENTION!******************************

All your important files have been encrypted by STEEL Ransomware!

For encryption we use reliable algorithms! You can read more here:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Many of your documents, photos, videos, images and other files are no longer

accessible because they have been encrypted. It means that your files are not

damaged, but modified. The reverse process is called decryption.

We use strong algorithms so it impossible to crack key. You can easily restore all your files.

We guarantee that all your files will be successfully decrypted after paying.

We can decrypt 2 files for free (size <2mb) as proof that we can decrypt your files.

Warning! After 7 days price will be doubled!

How to decrypt files ?

1) Contact us via email x_coded@protonmail.com

2) Pay $350 on our monero wallet (we will send you wallet address)

3) Send your personal key to our email (It's located at the end of this document)

4) Get decryption key and program

5) Decrypt all your files

******************************????????!******************************

??? ???? ????? ??????????? STEEL Ransomware!

??? ?????????? ???????????? ???????? ????????? ??????????.

?? ?????? ???????????? ????????? ?????:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

???? ?????????, ?????, ????, ???????? ? ?????? ????? ?????? ??????????,

?????? ??? ??? ???????????. ??? ??????, ??? ???? ????? ?? ??????????, ??

??????????????. ???????? ??????? ?????????? ????????????.

???????? ??? ????????? ????? ???????????? ??????????! ?? ?????? ?????

???????????? ??? ?????. ?? ???????????, ??? ??? ???? ????? ????? ???????

???????????? ????? ??????. ? ???????? ?????????????? ??????????? ?????-

??????? ?? ????? ????????? ???????????? 2 ????? ???????? ?? ????? 2 ??.

????????! ????? 7 ???? ???? ????? ???????!

??? ???????????? ??????

1)????????? ? ???? ????? e-mail X_coded@protonmail.com

2)???????? 350 USD ?? monero ???????, ??????? ?? ?????? ???

3)????????? ??? ????, ????????????? ? ????? ????? ?????????.

4)???????? ?????????-?????????? ? ????

5)??????????? ???? ?????

YOUR PERSONAL KEY HERE:

----------BEGIN STEEL KEY----------

m7uF2wMnEjZPWZk77en5lFKHnG8KBKeyUEWu {всего 344 знака}

----------END STEEL KEY----------

Реконструкция текста, который оказался неопознанным.

Идентифицирован как русский:

******************************ВНИМАНИЕ!******************************

Все ваши файлы зашифрованы STEEL Ransomware!

Для шифрования использованы надежные алгоритмы шифрования! 

Вы можете ознакомиться подробнее здесь:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Ваши документы, видео, фото, картинки и другие файлы теперь не

доступны, потому что они зашифрованы. Это значит, что ваши файлы не 

повреждены, но модифицированы. Обратный процесс называется расшифровкой.

???????? ??? ????????? файлы расшифровать невозможно. 

Вы можете легко восстановить все файлы. Мы гарантируем, что все ваши файлы будут успешно расшифрованы после оплаты.

 В качестве доказательства возможности ?????-??????? мы можем бесплатно расшифровать 2 файла размером не более 2 МБ

Внимание! Через 7 дней цена будет удвоена!

Как расшифровать файлы?

1) Свяжитесь с нами по почте e-mail x_coded@protonmail.com

2) Оплатите 350 USD на monero кошелек, который мы вышлем вам

3) Отправьте ваш ключ, располагается в конце этого документа.

4) Получите программу-дешифратор и ключ

5) Расшифруйте свои файлы

Перевод записки на русский язык:

******************************ВНИМАНИЕ!****************** ************

Все ваши важные файлы зашифрованы STEEL Ransomware!

Для шифрования мы используем надежные алгоритмы! Вы можете прочитать больше здесь:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Многие из ваших документов, фото, видео, изображений и других файлов теперь недоступны, потому что они зашифрованы. Это значит, что ваши файлы не повреждены, но модифицированы. Обратный процесс называется расшифровкой.

Мы используем сильные алгоритмы, поэтому ключ невозможно взломать. Вы сможете легко восстановить все свои файлы.

Мы гарантируем, что все ваши файлы будут успешно расшифрованы после оплаты.

Мы можем бесплатно расшифровать 2 файла (размером <2 МБ) как  доказательство того, что мы можем расшифровать ваши файлы.

Предупреждение! Через 7 дней цена удвоится!

Как расшифровать файлы?

1) Свяжитесь с нами по email x_coded@protonmail.com

2) Заплатите 350 долларов на наш кошелек monero (мы отправим вам адрес кошелька)

3) Отправьте свой личный ключ на наш email (он находится в конце этого документа)

4) Получите ключ дешифрования и программу

5) Расшифруйте все свои файлы

****************************** ????????! *********** *******************

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Добавляет 8 уникальных байтов к файлам и использует разные ключи для разных файлов. 

Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE_FILES.txt - название файла с требованием выкупа; 

KMSAuto Net.exe - название вредоносного файла; 

SWEfghd678hfjbbhbGFrca.exe - случайное название вредоносного файла.

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\loader.exe

C:\Users\Admin\AppData\Local\Temp\selfdstr.bat

C:\Users\Admin\AppData\Local\Temp\libeay32.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: x_coded@protonmail.com

BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Hog

Hog Ransomware

Hog-Discord Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует присоединиться Discord-серверу вымогателей, чтобы автоматически расшифровать файлы. Оригинальное название: Hog Ransomware. На файле написано: HogRansomware.exe версия 1.0.0.0.

---
Обнаружения:
DrWeb -> Trojan.Encoder.33567
BitDefender -> Gen:Heur.Ransom.MSIL.1
Avira (no cloud) -> TR/Ransom.knzit
ESET-NOD32 -> MSIL/Filecoder.AFW
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Hog
Microsoft -> Ransom:MSIL/Hog.DA!MTB

Qihoo-360 -> Win32/Ransom.Generic.HgIASO8A
Rising -> Ransom.Hog!1.D38D (CLOUD)
Symantec -> ***
Tencent -> Msil.Trojan.Agent.Phzs
TrendMicro -> Ransom_Hog.R011C0DBG21
---

© Генеалогия: ??? >> Hog

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hog


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - конец февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает файл DECRYPT-MY-FILES.exe, представлющий собой информационный экран со следующим текстом и модулем расшифровки файлов: 

Содержание текста со скриншота:

Attention!

Your personal files have been encrypted by the Hog Ransomware.

They have been encrypted using unbreakable AES-256 encryption.

A ".hog" file extension has been appended to the encrypted files.

Please do not remove it, as it is needed to locate and decrypt them.

Attempting to modify the encrypted files can result in irreversible data loss.

In order to decrypt your files, you will need to join our Discord server.

Once you have joined, enter your Discord account token in the box below.

Press "Decrypt My Files!" and if you have joined, your files will be decrypted.

Have a nice day!

Перевод текста на русский язык:

Внимание!

Ваши личные файлы зашифрованы Hog Ransomware.

Они зашифрованы с помощью неуязвимого шифрования AES-256.

К зашифрованным файлам добавлено расширение ".hog".

Не удаляйте его, т.к. оно нужно для их обнаружения и расшифровки.

Попытка изменить зашифрованные файлы может привести к потере данных.

Для расшифровки файлов нужно присоединиться к нашему Discord-серверу.

После присоединения введите токен своего аккаунта Discord в поле ниже.

Нажмите "Decrypt My Files!" и если вы присоединились, ваши файлы расшифруются.

Хорошего дня!

Таким образом, пострадавшему сообщается, что случилось, что нужно сделать и предлагается ввести свой токен пользователя Discord. 

Токен Discord позволяет программе-вымогателю пройти аутентификацию в API Discord в качестве пользователя и проверить, присоединились ли они к их серверу, как показано в исходном коде ниже.

Если пострадавший присоединился к серверу или сервер уже не существует, Hog Ransomware расшифрует файлы, используя встроенный статический ключ. 

Хотя эта программа-вымогатель еще находится в разработке, она в очередной раз подтверждает, что злоумышленники все чаще используют Discord для злонамеренных действий. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
HogRansomware.exe - название вредоносного файла; 

DECRYPT-MY-FILES.exe - название файла с информацией и модулем расшифровки файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Ссылка на Discord: hxxxs://discord.com/invite/9ac282CEqh

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Файлы можно расшифровать, выполнив простое требование. 
Кроме того, статический ключ вшит в саму программу. 

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Random30

Random30 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Random30

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Random

Фактически используется составное расширение по шаблону: __[ID <30>][Mail datas_back_help112@tutanota.com].Random

Пример такого расширения: __[ID tF471uBu07Te7FuJo1V$6It1JmHoFm][Mail datas_back_help112@tutanota.com].Random

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: Read__Me.txt

Содержание записки о выкупе:

All Your Files Encryped!!!

don't try to Recover or change file names ... because it should damage files

contact us for decrypting your files Your ID : tF471uBu07Te7FuJo1V$6It1J*****

Our Email :datas_back_help112@tutanota.com

Перевод записки на русский язык:

Все ваши файлы зашифрованы!!!

не пытайтесь Вернуть или менять имена файлов ... т.к. это повредит файлы

напишите нам для расшифровки ваших файлов Ваш ID: tF471uBu07Te7FuJo1V$6It1J *****

Наш Email: datas_back_help112@tutanota.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read__Me.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: datas_back_help112@tutanota.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EPICALLY

Epically Ransomware

Epically Hand-Ransomware

Epically Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: HelloKitty >> Epically

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: read_me_unlock.txt

Содержание записки о выкупе:

@

!!!!!!!!!!!!!!!!!! Hello CD PROJEKT !!!!!!!!!!!!!!!!!!

Your have been EPICALLY pwned!!

We have dumped FULL copies of the source codes from your Perforce server for Cyberpunk 2077, Witcher 3, Gwent and the unreleased version of Witcher 3!!!

We have also dumped all of your documents relating to accounting, administration, legal, HR, investor relations and more!

Also, we have encrypted all of your servers, but we understand that you can most likely recover from backups.

If we will not come to an agreement, then your source codes will be sold or leaked online and your documents will be sent to our contacts in gaming journalism. Your public image will go down the shitter even more and people will see how you shitty your company functions. Investors will lose trust in your company and the stock will dive even lower!

You have 48 hours to contact us. 

Перевод записки на русский язык:

@

!!!!!!!!!!!!!!!!!! Привет CD PROJEKT !!!!!!!!!!!!!!!!!!

Вас СКАЗОЧНО хакнули!!

Мы взяли ПОЛНЫЕ копии исходных кодов с вашего Perforce-сервера для Cyberpunk 2077, Witcher 3, Gwent и неизданной версии Witcher 3!!!

Мы также взяли все ваши документы, касающиеся бухгалтерии, администрации, права, кадров, инвестиций и прочего!

Ещё мы зашифровали все ваши серверы, но понимаем, что вы сможете восстановить данные из бэкапов.

Если мы не договоримся, ваши исходники будут проданы или выложены в сеть, а ваши документы отправлены нашим контактам в игровой журналистике. Ваш публичный имидж пострадает ещё больше, а люди увидят, как дерьмово работает ваша компания. Инвесторы потеряют доверие к вашей компании, а акции упадут ещё ниже!

У вас 48 часов для связи с нами.

---

К чести сказать, представители пострадавшей компании CD Projekt Red (Польша), известного разработчика игр, сами сообщили об атаке и заявили, что не намерены платить вымогателям и будут восстаналиваться из резерных копий, которые не были зашифрованы. 

Вот их официальное заявление, размещенное в Твиттере и Фейсбуке.  

Содержание заявления:

Yesterday we discovered that we have become a victim of a targeted cyber attack, due to which some of our internal systems have been compromised.

An unidentified actor gained unauthorized access to our internal network, collected certain data belonging to CD PROJEKT capital group, and left a ransom note the content of which we release to the public. Although some devices in our network have been encrypted, our backups remain intact. We have already secured our IT infrastructure and begun restoring the data.

We will not give in to the demands nor negotiate with the actor, being aware that this may eventually lead to the release of the compromised data. We are taking necessary steps to mitigate the consequences of such a release, in particular by approaching any parties that may be affected due to the breach.

We are still investigating the incident, however at this time we can confirm that — to our best knowledge — the compromised systems did not contain any personal data of our players or users of our services.

We have already approached the relevant authorities, including law enforcement and the President of the Personal Data Protection Office, as well as IT forensic specialists, and we will closely cooperate with them in order to fully investigate this incident.

Перевод на русский язык:

Вчера мы обнаружили, что стали жертвой целевой кибератаки, в результате были взломаны некоторые наши внутренние системы.
Неизвестные получили неправомочный доступ к нашей внутренней сети, собрали некоторые данные, принадлежащие основной группе CD PROJEKT, и оставили записку о выкупе, содержание мы публикуем. Хотя некоторые устройства в нашей сети зашифрованы, наши резервные копии нетронуты. Мы уже защитили нашу ИТ-инфраструктуру и начали восстановление данных.
Мы не уступим требованиям и не пойдем на переговоры с субъектом, зная, что это в итоге может привести к раскрытию скомпрометированных данных. Мы делаем всё для смягчения последствий, в частности, обращаясь к любым сторонам, которые могут пострадать из-за атаки.
Мы пока еще расследуем инцидент, но уже сейчас можем подтвердить, насколько нам известно, в скомпрометированных системах не было никаких личных данных наших игроков или пользователей наших сервисов.
Мы уже обратились в правоохранительные органы и к руководству Управления защиты персональных данных, а также к экспертам в области ИТ, чтобы тесно сотрудничать с ними в расследовании этого инцидента.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me_unlock.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + Message
 ID Ransomware (ID as HelloKitty)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 CD Projekt Red, Jirehlov Solace 
 Andrew Ivanov (article author)
 Fabian Wosar
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Tortoise

Tortoise Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Tortoise Ransomware. На файле написано: Ransomware Tortoise.exe, tort2.exe. Язык программирования: Python.
---
Обнаружения:
DrWeb -> Python.Encoder.22
BitDefender -> Trojan.Agent.FDCC
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.gxzly
ESET-NOD32 -> Python/Filecoder.GC
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Malware.AI.4095169426
Microsoft -> Program:Win32/Wacapew.C!ml

Qihoo-360 -> Trojan.Generic
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Swun
TrendMicro -> TROJ_FRS.VSNTB921
---

© Генеалогия: предыдущие Python ransomware >> Tortoise

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .TORTOISE

В рассматриваемом примеры файлы не были зашифрованы. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

 

Содержание записки о выкупе:

Oops look like you hit tortoise ransomware

Your files has been encrypted with (AES)-256 algorithm (MILITARY GRADE)

all files like, photos, excels, documents, databases, and almost everything..

Don't worry you can get your files back

There is no other way to recover your files

If you think this is a scam then check your files

Encrypted files are name as .TORTOISE

Don't try to rename or delete the encrypted files

Don't try to Scan with Antivirus programmes this will corrupt the decrypter tool.

if your using office or company PC/Laptop your at great risk

take the screenshot of this window and send to tortoisesupport@protonmail.com

you will get instructions to decrypt at there

if you accidently close this windows go to where you get this file

else you may not get your files back

As allways don't try to put in quarantine this may corrupt your files....

14687

Enter the key got from support team

Перевод записки на русский язык:

Ой, похоже, вас ударила tortoise ransomware

Ваши файлы зашифрованы с алгоритмом (AES)-256 (ВОЕННЫЙ УРОВЕНЬ)

все файлы, например, фото, Excel, документы, базы данных и почти все ...

Не волнуйтесь, вы можете вернуть свои файлы

Другого способа восстановить ваши файлы нет

Если вы думаете, что это афера, проверьте свои файлы

Зашифрованные файлы называются .TORTOISE

Не пытайтесь переименовать или удалить зашифрованные файлы

Не пытайтесь сканировать антивирусными программами, это повредит инструмент дешифрования.

если вы используете офисный или корпоративный ПК / ноутбук, вы подвергаетесь большому риску

сделайте снимок экрана этого окна и отправьте на tortoisesupport@protonmail.com

там вы получите инструкции по расшифровке

если вы случайно закроете это окно, перейдите туда, где вы получили этот файл

иначе вы не сможете вернуть свои файлы

Также не пытайтесь поместить в карантин, это повредит ваши файлы....

14687

Введите ключ, полученный от службы поддержки

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Ransomware Tortoise.exe (tort2.exe) - название вредоносного файла

crash.txt - файл с ключом

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%TEMP%\crash.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tortoisesupport@protonmail.com

bsbasim2017@gmail.com

programmingmyst@gmail.com

BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 13 февраля 2021:
Сообщение >>
Файлы можно расшифровать, если не выключать и не перезагружать компьютер. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Danus, JAMESWT
 Andrew Ivanov (article author)
 c3rb3ru5d3d53c
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.