DearCry

DearCry Ransomware

DEARCRY! Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (для файлов) + RSA-2048 (для ключей), а затем требует выкуп в 3000 - , чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: s1.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33592
BitDefender -> Gen:Variant.Zusy.370753
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGE
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/DoejoCrypt.A

Qihoo-360 -> Win32/Ransom.Encoder.HgIASQoA
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11baf414
TrendMicro -> Ransom.Win32.DEARCRY.THCABBA
---

© Генеалогия: ??? >> DearCry

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .CRYPT

В начало кода зашифрвоанных файлов добавлется маркер DEARCRY!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые сообщения поступили от пострадавших из США, Канады, Австралии, Индонезии, Индии. 

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:

Your file has been encrypted!

If you want to decrypt, please contact us.

konedieyp@airmail.cc or uenwonken@memail.com

And please send me the following hash!

638428e5021d4ae247b21acf9c0bf***

Перевод записки на русский язык:

Ваш файл зашифрован!

Если вы хотите расшифровать, напишите нам.

konedieyp@airmail.cc или uenwonken@memail.com

И пришлите мне следующий хэш!

638428e5021d4ae247b21acf9c0bf***

Технические детали

Ранее в этом месяце Microsoft сообщила, что злоумышленники скомпрометировали почтовые серверы Microsoft Exchange с помощью новых уязвимостей нулевого дня, получивших название ProxyLogon. После этого злоумышленники стали развертывать новый DearCry Ransomware.

Инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065). Эксплуатация этих уязвимостей позволит злоумышленникам пройти аутентификацию на сервере Exchange, получить права администратора, установить вредоносные программы и похитить данные.

К атакам на уязвимые серверы, администраторы которых не установили выпущенный патч или не смогут в ближайшее время установить его, присодинились по меньшей мере 10 группировок, и их число будет только расти. 

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Подробности шифрования: 
Использует OpenSSL's RAND_bytes() для генерации криптографически уникального ключа и IV (вектора инициализации) для каждого файла для AES-256. Ключи защищены с помощью RSA-2048.

Список файловых расширений, подвергающихся шифрованию:
.7Z, .APK, .APP, .ASPX, .BAK, .BAT, .BIN, .C, .CAD, .CER, .CFM, .CGI, .CONFIG, .CPP, .CSS, .CSV, .DAT, .DB, .DBF, .DOC, .DOCX, .EDB, .EML, .GO, .HTM, .HTML , .INI, .ISO, .JS, .JSP, .KEYCHAIN, .LOG, .MDB, .MDF, .MSG, .ORA, .PDB, .PDF, .PEM, .PGD , .PHP, .PPS, .PPT, .PPTX, .PS, .PST, .RAR, .RTF, .SQL, .STM, .TAR, .TEX, .TIF, .TIFF, .TXT, .WPS, .XHTML, .XLS, .XLSX, .XLTM, .ZIP, .ZIPX (64 расширения). 

Это документы MS Office, PDF, текстовые файлы, файлы веб-страниц, веб-серверов, базы данных, файлы образов, сценарии, журналы, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;

s1.exe, s2.exe, s3.exe - названия вредоносных файлов;
<random>.exe - случайное название вредоносного файла;

EncryptFile.exe.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: konedieyp@airmail.cc, uenwonken@memail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>  IA> IA> 
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>  JSB>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as DearCry)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Lawrence Abrams, MalwareHunterTeam
 Andrew Ivanov (article author)
 Palo Alto Networks, Intezer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

KhalsaCrypt, Sarbloh

KhalsaCrypt Ransomware

Sarbloh Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем выдвигает требования в поддержку фермеров в Индии. Оригинальное название: KhalsaCrypt. На файле написано: profile16146815778005vw0qb.exe или что-то другое. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33546
BitDefender -> Gen:Variant.Razy.849331
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGB
Kaspersky -> Trojan-Ransom.Win32.Agent.azsx
Malwarebytes -> Ransom.Sarbloh
Microsoft -> Trojan:Win32/Ymacco.AAAC
Rising -> Ransom.Agent!1.D360 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Dzjp
TrendMicro -> TrojanSpy.Win32.POSSIBLETHREAT.USMANC321
---

© Генеалогия: безымянный OSR >> KhalsaCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sarbloh


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных и индийских пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README_SARBLOH.txt

Содержание записки о выкупе:

YOUR FILES ARE GONE!!!

THEY WILL NOT BE RECOVERABLE UNTIL THE DEMANDS OF THE FARMERS HAVE BEEN MET

WHAT HAPPENED TO THEM?

Using military grade EnCryPtiOn all the files on your system have been made useless.

India, Sikhs have long been the face against the oppression placed upon them.

Each time we have resisted.

Today you come for the very throats of Hindu, Sikh, and Muslim farmers by trying to take their livelihood.

You will not succeed in your sinister ways.

The two-sided sword of the Khalsa is at any moments notice. Tyaar bar tyaar.

Wherever our blood is spilled, the tree of Sikhi uproots from there.

If your intentions for the farmer's are pure and

you wish to help them, this is not the way.

Halemi Raj, Sikh Raj, was not this way.

If the laws are not repealed. Your fate is no

different to what the Khalsa did to Sirhind.

Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh

Khalsa Cyber Fauj

Перевод записки на русский язык:

ВАШИ ФАЙЛЫ ПРОПАЛИ !!!

ИХ НЕЛЬЗЯ ВОССТАНОВИТЬ, ПОКА НЕ ВЫПОЛНЕНЫ ТРЕБОВАНИЯ ФЕРМЕРОВ.

ЧТО С НИМИ СЛУЧИЛОСЬ?

При использовании ШиФроВанИя военного уровня все файлы в вашей системе стали бесполезными.

В Индии сикхи долгое время были лицом к лицу с наложенным на них угнетением.

Каждый раз мы сопротивлялись.

Сегодня вы попадаете в самое горло индуистских, сикхских и мусульманских фермеров, пытаясь лишить их средств к существованию.

Вы не добьетесь успеха на своем зловещем пути.

Двусторонний меч Хальсы заметен в любой момент. Всегда наготове.

Где бы ни пролилась наша кровь, дерево Сикхи вырывается с корнем.

Если ваши намерения относительно фермера чисты и

вы хотите им помочь, это не выход.

Халеми Радж, сикхский Радж, не был таким.

Если законы не отменят. Твоя судьба нет отличается от того, что Хальса сделала с Сирхиндом.

Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh

Khalsa Cyber Fauj

Другим информатором жертвы выступает экран с текстом.

Текст почти аналогичен тому, что есть в текстовой записке. 

Нет никаких контактов и адресов для уплаты выкупа. 

По всей видимости это сообщение направлено в поддержку протестов индийских фермеров. В 2020 году правительство Индии приняло новые "Законы о сельском хозяйстве Индии 2020 года", которые, по мнению правительства, нужны для модернизации сельскохозяйственной отрасли. Фермеры считают, что эти новые законы нанесут ущерб их средствам к существованию и затруднят получение доходов от продажи товаров. С ноября 2020 года тысячи индийских фермеров протестуют против этих законопроектов. 

Но данные действия не оправдывают вымогателей, которые из активистов стали хактивистами. Вымогатели, даже требующие принятия каких-то мер, вместо выплаты выкупа, всё равно являются преступниками, т.к. причиняют вред файлам пользователей. Политическая позиция не оправдывает их действий, а только увеличивает вину. 

Технические детали

Распространяется с помощью email-спама и вредоносных вложений в виде документов Word с вредоносными макросами. 

Кроме того, может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Схема запуска вредоносного файла:

Если разрешить содержимое, то, макросы загружают файл с именем putty.exe с помощью bitsadmin.exe в папку "Документы" и запускают.

Список файловых расширений, подвергающихся шифрованию:

.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .dat, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (179 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_SARBLOH.txt - название файла с требованием выкупа;
profile16146815778005vw0qb.exe (profile16146815778005vw0qb.png) - название вредоносного файла, который загружается как файл изображения;

putty.exe - исполняемый вредоносный файл; 

bitsadmin.exe - программа администрирования BITS в составе Windows, используемая для загрузки обновлений безопасности; это свойство службы использует киберпреступники.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

\Documents\putty.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs3.ap-south-1.amazonaws.com/ans.video.input/***

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>

𝚺  VirusTotal analysis (Doc1.docm) >>

🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>

⟲ JOE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 Added later: Write-up by BC 
 Added later: Write-up, Write-up, 

 Thanks: 
 MBThreatIntel, Petrovic, Michael Gillespie
 Andrew Ivanov (article author)
 Lawrence Abrams, 
Tejaswini Sandapolla (QuickHeal), cybleinc (Cyble)
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

IQ, HelpYou

IQ Ransomware

HelpYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: enc_IQ_IQ.exe. Разработка: Visual C++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33543 
BitDefender -> Trojan.GenericKD.45827119 
ALYac -> Trojan.Ransom.Filecoder 
Avira (no cloud) -> TR/Crypt.XPACK.Gen2 

ESET-NOD32 -> A Variant Of Win32/Filecoder.OFO 
Kaspersky -> HEUR:Trojan.Win32.Generic 
Malwarebytes -> Malware.Heuristic.1004 
Microsoft -> Trojan:Win32/Glupteba!ml 
Rising -> Ransom.HelpYou!1.D28C (CLOUD) 
Symantec -> ML.Attribute.HighConfidence 
Tencent -> Win32.Trojan.Raas.Auto 
TrendMicro -> Trojan.Win32.GLUPTEBA.THCODBA 
---

© Генеалогия: ✂️ Balaclava + другой код >> IQ (HelpYou)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: 

.IQ_IQ

.IQ1, .IQ2, 

.IQ0001 ...

Фактически используется составное расширение:
К зашифрованным файлам добавляется составное расширение по шаблону: .

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW_TO_RECOVERY_FILES.txt

Содержание записки о выкупе:

It's your IDENTIFER:

C3C47BF13D675BB03BE76A5***

HELLO

All YOU FILES ENCRYPTED

If you need recover your files:

1) send message with your personal IDENTIFER to

helpyouhelpyou@cock.li or helpyou2helpyou@cock.li

and add 1 infected files from your server!

2) speak only by ENGLISH!

3) doesn't use free decryption tools, you can damage your files!

ONLY helpyouhelpyou@cock.li or helpyou2helpyou@cock.li can HELP YOU!

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li 

Перевод записки на русский язык:

Это ваш ИДЕНТИФИКАТОР:

C3C47BF13D675BB03BE76A5***

ПРИВЕТ

Все ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ

Если вам нужно восстановить ваши файлы:

1) отправьте сообщение со своим личным ИДЕНТИФИКАТОРОМ на адрес

helpyouhelpyou@cock.li или helpyou2helpyou@cock.li

и добавьте 1 зараженный файл со своего сервера!

2) говорите только на АНГЛИЙСКОМ!

3) не использует бесплатные инструменты дешифрования, вы можете повредить свои файлы!

ТОЛЬКО helpyouhelpyou@cock.li или helpyou2helpyou@cock.li могут помочь ВАМ!

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVERY_FILES.txt - название файла с требованием выкупа
enc_IQ_IQ.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as IQ)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

TheWarehouse

TheWarehouse Ransomware

(шифровальщик-вымогатель, стиратель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: TheWarehouse (github.com) >> TheWarehouse Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется настраиваемое расширение.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в конце февраля - начале марта 2021 г. Исходники опубликованы на GitHub два года назад. Кто-то воспользовался ими для создания программы-вымогателя. На момент написания статьи ничего не было известно о распространении. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе:

Your important files have been encrypted!

Most of your files are no longer accessible or usable due to them being encrypted. You are probably searching for a way to recover them, but do not waste your time. You can only recover your files with our decryption service.

To decrypt all of your files, you will have to pay for a password. Take note that every hour, a random amount of your files will be deleted, from random directories on your computer. If you value these files, pay the needed amount and decrypt these files.

Payments are accepted only in BTC to the address below (BTC Price: 300$). Beware, you only have some time left before all your files get deleted.

After the time goes out, this tool will proceed to destroy and corrupt all of the necessary files needed for the computer to run, hence bricking your computer and making it useless.

BTC Address: 

1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ

[Encrypt] [Decrypt]

Перевод записки на русский язык:

Ваши важные файлы зашифрованы!

Многие ваши файлы теперь недоступны или непригодны, т.к. они зашифрованы. Вы, вероятно, хотите восстановить их, но не тратьте зря время. Вы можете вернуть свои файлы только с помощью нашей службы дешифрования.

Для расшифровки всех файлов вам придется заплатить за пароль. Заметьте, что каждый час случайное количество ваших файлов будет удаляться из случайных папок на вашем компьютере. Если ваши файлы важны, заплатите нужную сумму и расшифруйте эти файлы.

Платежи принимаются только в BTC на адрес, указанный ниже (BTC цена: 300$). Осторожно, у вас мало времени, прежде чем все ваши файлы будут удалены.

По истечении времени этот инструмент продолжит уничтожение и повреждение всех файлов, нужных для работы компьютера, тем самым блокируя ваш компьютер и делая его бесполезным.

Адрес BTC:

1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ

[Encrypt] [Decrypt]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
TheWarehouse.exe - название вредоносного файла; 

TheWarehouse.pdb - оригинальное название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\gigaz\Downloads\TheWarehouse-master\TheWarehouse-master\TheWarehouse2\obj\Debug\TheWarehouse.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: github.com/TheSynt4x/TheWarehouse

Email: - 
BTC: 1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis: 3729FEA74EC3A3081A1EE7E92BA2BB64
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

JesusCrypt-2021

Jesus Ransomware

JesusCrypt-2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Jesus Ransomware и JesusCrypt. На файле написано: Jesus Ransom.exe. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.21
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/Ransom.yecpv
BitDefender -> Trojan.GenericKD.45838451
ESET-NOD32 -> MSIL/Filecoder.AGC
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.PDO!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.JESUSCRYPT.A
---

© Генеалогия: ✂ HiddenTear >> JesusCrypt-2021

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Содержит ошибки в работе, из-за этого исследование затруднено. 

Записка с требованием выкупа называется: *нет данных*.

Содержание записки о выкупе:

All Your Files Encrypted By Jesus Ransomware :) .

Your Unique_ID : [SYSID]

Write Email To [EMAIL1] Or [EMAIL2] If You Want To Decrypt Your Files .

Перевод записки на русский язык:

Все ваши файлы зашифрованы Jesus Ransomware :).

Ваш уникальный_ID: [SYSID]

Пишите email на [EMAIL1] или [EMAIL2], если хотите расшифровать файлы.

Содержание записки о выкупе:

All your files have been encrypted by JesusCrypt!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the E-mail : ***

Write this ID in the title of your message : ***

In case of no answer in 24 hours write us to this E-mail : ***

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee

Before paying you can send us up to 5 fifes for free decryption. The total size of fifes must be less than 4Mb (non archived), and files should not contain valuable info ***

How to obtain Bitcoins

The easiest way to buy bitcoins s LocalBitcoins site. You have to register, clck 'Buy bitcoins', and select the seller by payment method and price.

http://www.localbitcoins.com/buy_bitcoins

Also you can find other places to buy Bitcoins and beginners guide here: 

http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!

• Do not rename encrypted fies.

• Do not try to decrypt your data using third party software, it may cause permanent data loss.

• Decryption of your fifes with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

Все ваши файлы зашифрованы JesusCrypt!

Все ваши файлы были зашифрованы из-за проблем безопасности вашего ПК. Если вы хотите их вернуть, напишите нам на E-mail: ***

Напишите этот ID в теме сообщения: ***

В случае без ответа за 24 часа напишите нам на этот E-mail: ***

Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.

Бесплатная расшифровка как гарантия

Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 4 МБ (без архива), а файлы не должны содержать ценной информации ***

Как получить биткойны

Самый простой способ купить биткойны на сайте LocalBitcoins. Вам надо зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.

http://www.localbitcoins.com/buy_bitcoins

Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:

http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Внимание!

• Не переименовывайте зашифрованные файлы.

• Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может повредить данные.

• Расшифровка ваших фишек с помощью третьих лиц может привести к удорожанию (они прибавят свой гонорар к нашему) или вы можете стать жертвой мошенничества.

Технические детали

Пока находится в разработке и не распрсотраняется. После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
Jesus Ransom.exe - случайное название вредоносного файла; 

Jesus Ransom.pdb  - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Soheil\Desktop\Jesus Ransom\Jesus Ransom\obj\Debug\Jesus Ransom.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: eiklot@hi2.in, SendServerInfo@hitler.rocks
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.