Random30

Random30 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Random30

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Random

Фактически используется составное расширение по шаблону: __[ID <30>][Mail datas_back_help112@tutanota.com].Random

Пример такого расширения: __[ID tF471uBu07Te7FuJo1V$6It1JmHoFm][Mail datas_back_help112@tutanota.com].Random

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: Read__Me.txt

Содержание записки о выкупе:

All Your Files Encryped!!!

don't try to Recover or change file names ... because it should damage files

contact us for decrypting your files Your ID : tF471uBu07Te7FuJo1V$6It1J*****

Our Email :datas_back_help112@tutanota.com

Перевод записки на русский язык:

Все ваши файлы зашифрованы!!!

не пытайтесь Вернуть или менять имена файлов ... т.к. это повредит файлы

напишите нам для расшифровки ваших файлов Ваш ID: tF471uBu07Te7FuJo1V$6It1J *****

Наш Email: datas_back_help112@tutanota.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read__Me.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: datas_back_help112@tutanota.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EPICALLY

Epically Ransomware

Epically Hand-Ransomware

Epically Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: HelloKitty >> Epically

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: read_me_unlock.txt

Содержание записки о выкупе:

@

!!!!!!!!!!!!!!!!!! Hello CD PROJEKT !!!!!!!!!!!!!!!!!!

Your have been EPICALLY pwned!!

We have dumped FULL copies of the source codes from your Perforce server for Cyberpunk 2077, Witcher 3, Gwent and the unreleased version of Witcher 3!!!

We have also dumped all of your documents relating to accounting, administration, legal, HR, investor relations and more!

Also, we have encrypted all of your servers, but we understand that you can most likely recover from backups.

If we will not come to an agreement, then your source codes will be sold or leaked online and your documents will be sent to our contacts in gaming journalism. Your public image will go down the shitter even more and people will see how you shitty your company functions. Investors will lose trust in your company and the stock will dive even lower!

You have 48 hours to contact us. 

Перевод записки на русский язык:

@

!!!!!!!!!!!!!!!!!! Привет CD PROJEKT !!!!!!!!!!!!!!!!!!

Вас СКАЗОЧНО хакнули!!

Мы взяли ПОЛНЫЕ копии исходных кодов с вашего Perforce-сервера для Cyberpunk 2077, Witcher 3, Gwent и неизданной версии Witcher 3!!!

Мы также взяли все ваши документы, касающиеся бухгалтерии, администрации, права, кадров, инвестиций и прочего!

Ещё мы зашифровали все ваши серверы, но понимаем, что вы сможете восстановить данные из бэкапов.

Если мы не договоримся, ваши исходники будут проданы или выложены в сеть, а ваши документы отправлены нашим контактам в игровой журналистике. Ваш публичный имидж пострадает ещё больше, а люди увидят, как дерьмово работает ваша компания. Инвесторы потеряют доверие к вашей компании, а акции упадут ещё ниже!

У вас 48 часов для связи с нами.

---

К чести сказать, представители пострадавшей компании CD Projekt Red (Польша), известного разработчика игр, сами сообщили об атаке и заявили, что не намерены платить вымогателям и будут восстаналиваться из резерных копий, которые не были зашифрованы. 

Вот их официальное заявление, размещенное в Твиттере и Фейсбуке.  

Содержание заявления:

Yesterday we discovered that we have become a victim of a targeted cyber attack, due to which some of our internal systems have been compromised.

An unidentified actor gained unauthorized access to our internal network, collected certain data belonging to CD PROJEKT capital group, and left a ransom note the content of which we release to the public. Although some devices in our network have been encrypted, our backups remain intact. We have already secured our IT infrastructure and begun restoring the data.

We will not give in to the demands nor negotiate with the actor, being aware that this may eventually lead to the release of the compromised data. We are taking necessary steps to mitigate the consequences of such a release, in particular by approaching any parties that may be affected due to the breach.

We are still investigating the incident, however at this time we can confirm that — to our best knowledge — the compromised systems did not contain any personal data of our players or users of our services.

We have already approached the relevant authorities, including law enforcement and the President of the Personal Data Protection Office, as well as IT forensic specialists, and we will closely cooperate with them in order to fully investigate this incident.

Перевод на русский язык:

Вчера мы обнаружили, что стали жертвой целевой кибератаки, в результате были взломаны некоторые наши внутренние системы.
Неизвестные получили неправомочный доступ к нашей внутренней сети, собрали некоторые данные, принадлежащие основной группе CD PROJEKT, и оставили записку о выкупе, содержание мы публикуем. Хотя некоторые устройства в нашей сети зашифрованы, наши резервные копии нетронуты. Мы уже защитили нашу ИТ-инфраструктуру и начали восстановление данных.
Мы не уступим требованиям и не пойдем на переговоры с субъектом, зная, что это в итоге может привести к раскрытию скомпрометированных данных. Мы делаем всё для смягчения последствий, в частности, обращаясь к любым сторонам, которые могут пострадать из-за атаки.
Мы пока еще расследуем инцидент, но уже сейчас можем подтвердить, насколько нам известно, в скомпрометированных системах не было никаких личных данных наших игроков или пользователей наших сервисов.
Мы уже обратились в правоохранительные органы и к руководству Управления защиты персональных данных, а также к экспертам в области ИТ, чтобы тесно сотрудничать с ними в расследовании этого инцидента.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me_unlock.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + Message
 ID Ransomware (ID as HelloKitty)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 CD Projekt Red, Jirehlov Solace 
 Andrew Ivanov (article author)
 Fabian Wosar
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Tortoise

Tortoise Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Tortoise Ransomware. На файле написано: Ransomware Tortoise.exe, tort2.exe. Язык программирования: Python.
---
Обнаружения:
DrWeb -> Python.Encoder.22
BitDefender -> Trojan.Agent.FDCC
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.gxzly
ESET-NOD32 -> Python/Filecoder.GC
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Malware.AI.4095169426
Microsoft -> Program:Win32/Wacapew.C!ml

Qihoo-360 -> Trojan.Generic
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Swun
TrendMicro -> TROJ_FRS.VSNTB921
---

© Генеалогия: предыдущие Python ransomware >> Tortoise

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .TORTOISE

В рассматриваемом примеры файлы не были зашифрованы. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

 

Содержание записки о выкупе:

Oops look like you hit tortoise ransomware

Your files has been encrypted with (AES)-256 algorithm (MILITARY GRADE)

all files like, photos, excels, documents, databases, and almost everything..

Don't worry you can get your files back

There is no other way to recover your files

If you think this is a scam then check your files

Encrypted files are name as .TORTOISE

Don't try to rename or delete the encrypted files

Don't try to Scan with Antivirus programmes this will corrupt the decrypter tool.

if your using office or company PC/Laptop your at great risk

take the screenshot of this window and send to tortoisesupport@protonmail.com

you will get instructions to decrypt at there

if you accidently close this windows go to where you get this file

else you may not get your files back

As allways don't try to put in quarantine this may corrupt your files....

14687

Enter the key got from support team

Перевод записки на русский язык:

Ой, похоже, вас ударила tortoise ransomware

Ваши файлы зашифрованы с алгоритмом (AES)-256 (ВОЕННЫЙ УРОВЕНЬ)

все файлы, например, фото, Excel, документы, базы данных и почти все ...

Не волнуйтесь, вы можете вернуть свои файлы

Другого способа восстановить ваши файлы нет

Если вы думаете, что это афера, проверьте свои файлы

Зашифрованные файлы называются .TORTOISE

Не пытайтесь переименовать или удалить зашифрованные файлы

Не пытайтесь сканировать антивирусными программами, это повредит инструмент дешифрования.

если вы используете офисный или корпоративный ПК / ноутбук, вы подвергаетесь большому риску

сделайте снимок экрана этого окна и отправьте на tortoisesupport@protonmail.com

там вы получите инструкции по расшифровке

если вы случайно закроете это окно, перейдите туда, где вы получили этот файл

иначе вы не сможете вернуть свои файлы

Также не пытайтесь поместить в карантин, это повредит ваши файлы....

14687

Введите ключ, полученный от службы поддержки

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Ransomware Tortoise.exe (tort2.exe) - название вредоносного файла

crash.txt - файл с ключом

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%TEMP%\crash.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tortoisesupport@protonmail.com

bsbasim2017@gmail.com

programmingmyst@gmail.com

BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 13 февраля 2021:
Сообщение >>
Файлы можно расшифровать, если не выключать и не перезагружать компьютер. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Danus, JAMESWT
 Andrew Ivanov (article author)
 c3rb3ru5d3d53c
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CashCat

CashCat Ransomware Simulator

CryptoLocker Ransomware Simulator

(шифровальщик-симулятор) (первоисточник)
Translation into English

Этот крипто-симулятор шифрует файлы только в папке с текстовыми файлами, куда он должен быть предварительно помещен. Чтобы разблокировать и расшифровать файлы нужно ввести код 123456789. Оригинальное название: в записке не указано. На файле написано: CashCat.exe. Разработчик: Lee Berg. 
---
Обнаружения:
DrWeb -> Joke.Encoder.1006
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Hoax.FakeFilecoder.FV
Kaspersky -> ***
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cashcat.SA!MTB
Rising -> Trojan.Generic/MSIL@AI.96 (RDM.MSIL:vr*

Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ransom.Agup
TrendMicro -> Ransom_Cashcat.R002C0DC521
---

© Генеалогия: ✂ WannaCry >> CashCat Ransomware Simulator

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Первичная информация была опубликована в конце февраля 2021 г. Разработчик представил свой крипто-симулятор в хранилище на сайте GitHub. Предназначение: имитировать поведение программы-вымогателя для демонстрации и тестирования различных инструментов мониторинга файлов и систем реагирования.

К зашифрованным файлам добавляются расширения из заготовленного списка известных расширений из других Ransomware:

.AngryDuck

.BitCryptor

.BOMBO

.CommonRansom

.CoronaLock

.Crypt0L0cker

.D00mEd

.Dablio

.DIABLO6

.FrozrLock

.GoldenEye

.Horriblemorning

.Lazarus

.locky

.nuclear

.PayDay

.pedro

.petra

.PrOtOnIs

.satan

.SHARK

.TROLL

.weapologize

.write_us_on_email

.zeppelin

Записка с требованием выкупа написана на экране блокировки. 

Текст является условным вымогательством. Это только имитирует вымогательство, на самом деле тут же предлагается ввести код разблокировки и расшифровать демонстрационные текстовые файлы.  

По замыслу разработчика, симулятор использует разные расширения, собранные из проектов вымогателей. В зависимости от этого в заголовке программы будет меняться название. В примерах ниже видно два таких названия: CryptoLocker Simulator и CashCat Ransomware Simulator. Еще могут быть названия WannaCry Simulator и BTCWare Simulator. 

Содержание записки о выкупе:

Ooops, your files have been encrypted!

Your important files are now encrypted!

To decrypt files you need to obtain the private key. The Single copy of the private key which allow you to decrypt the files is on a secret server on the internet dark web. The server will destroy the key after a time specified in this window.

To obtain the private key for this computer, you need dot pay 300 USD / 300 EUR similar amount in other ***

---

Your files are being locked using a unique public RSA-4096 generated for this computer. Once the encryption operations are completed you will be unable to access your files without obtaining a special key from our internet dark web cyber server.

---

Denied, incorrect passkey! (HINT: try: 123456789)

---

Unlocked! Thanks! Your files will now be decrypted

---

Decrypted... have a nice day!

---

Congratulations! Your files are being unlocked using the unique public RSA-4096 generated for this computer

---

Welcome to your CashCat Key Backup Log File!

Скриншоты процесса расшифровки файлов

Проводится демонстрация шифрования txt-файлов.  

Предлагается ввести корректный код разблокировки.  

Подсказывается, что нужно ввести код: 123456789

Сообщается, что введенный код правильный.

Файлы расшифровываются. 

Белый замок на фоне программы открывается. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
CashCat.pdb - файл проекта симулятора; 

CashCat.exe - название файла симулятора; 

CashCat.log - файл журнала. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\lee\git\CashCatRansomwareSimulator\CashCat\obj\Debug\CashCat.pdb

C:\Users\User\AppData\Local\Temp\CashCat.exe

C:\Users\User\AppData\Local\Temp\CashCat.log

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
BTC: 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e22f15441e597430b069dad9f72889fc

SHA-1: 6310f4db3726fdb52514718a402ede2db38c71bd

SHA-256: fa6855733a1cca500f3088b535808fc8093d67cadc9b34ad4ca7ec0170b25e03

Vhash: 255036651512208d18d502a

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Lee Berg
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.