Gopher

Gopher Ransomware

Bad-Gopher Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Bad-Gopher. На файле написано: restore your files.exe. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33593, Trojan.Encoder.33610
BitDefender -> Trojan.GenericKD.45868804, Trojan.GenericKD.45882308
Avira (no cloud) -> TR/AD.RansomHeur.yqazp
ESET-NOD32 -> WinGo/Filecoder.H, A Variant Of Win64/Filecoder.BA
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor

Qihoo-360 -> Win32/Ransom.Generic.HgIASQcA
Rising -> Ransom.Agent!1.D392 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Delshad.Eerv
TrendMicro -> Ransom.Win32.BADGOPHER.THCAOBA
---

© Генеалогия: Bad-Gopher >> Gopher

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .gopher


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: BAD_GOPHER.txt

В распространяемом варианте запиской с требованием выкупа также выступает изображение BAD_GOPHER.jpg с текстом, заменяющее обои Рабочего стола: 

Содержание записки о выкупе:

Your important files have been encrypted!

Most of your files are no longer accessible or usable due to them being encrypted

You can only recover your files with our decryption service.

To decrypt Your files send $ 400 usd in BITCOIN to

Address: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye

Visit hxxxs://buy.bitcoin.com/ Register Buy Bitcoins Send $400

After payment contact manager@outlookpro.net

for the decryption KEY before YOUR DATA IS LEAKED ONLINE,

FBI YOU WILL END UP IN JAIL

THE EALIER THE BETTER

YOU KNOW YOUR ACTIVITIES ARE PUNISHABLE BY LAW

Перевод записки на русский язык:

Ваши важные файлы зашифрованы!

Многие ваши файлы теперь недоступны или непригодны, т.к. зашифрованы.

Вы можете вернуть файлы только с нашей службой дешифрования.

Для расшифровки Ваших файлов пошлите $400 в биткойнах на 

Адрес: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye

Посетите hxxxs://buy.bitcoin.com/ Register Buy Bitcoins Отправить $400

После оплаты пишите на manager@outlookpro.net

для КЛЮЧА дешифрования перед УТЕЧКОЙ ВАШИХ ДАННЫХ ОНЛАЙН,

ФБР, ВЫ ПОПАДЕТЕ В ТЮРЬМУ

ЧЕМ РАНЬШЕ, ТЕМ ЛУЧШЕ

ЗНАЙТЕ, ВАША ДЕЯТЕЛЬНОСТЬ НАКАЗУЕМА ПО ЗАКОНУ

Еще одно изображение, из кода исходника. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
restore your files.exe - название вредоносного файла; 

bad_gopher.txt - название файла с требованием выкупа; 

BAD_GOPHER.jpg, bad_gopher.jpg - изображение, заменяющее обои. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

/home/onebuoy/Desktop/RANSOMEme/Bad-Gopher-master/main.go

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Исходники: hxxxs://github.com/andyjsmith/Bad-Gopher

Email: manager@outlookpro.net
BTC: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 марта 2021:

Сообщение >>

Сообщение >>

Расширение: .NASAcry

Записка: READ_TO_DECRYPT.html

Список зашифрованных файлов: FILES ENCRYPTED.html

 

Файл: ransomw.exe

Расположение файла: C:\Users\Admin\AppData\Local\Temp\ransomw.exe

Файл проекта: /home/onebuoy/Desktop/RANSOMEme/ransomware-master/ransomw.go

Результаты анализов: VT + TG + VMR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33610

Avira (no cloud) -> TR/FileCoder.pudeg

BitDefender -> Trojan.GenericKD.45882308

ESET-NOD32 -> A Variant Of Win64/Filecoder.BA

Kingsoft -> Win32.Troj.Undef.(kcloud)

Malwarebytes -> Generic.Malware/Suspicious

Microsoft -> Ransom:Win32/Vigorf.A

Qihoo-360 -> Win32/Ransom.Generic.HgIASQkA

Rising -> Ransom.Agent!1.D392 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Generic.Dxwd

TrendMicro -> CallTROJ_GEN.R002H0DCB21

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Gopher)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DearCry

DearCry Ransomware

DEARCRY! Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (для файлов) + RSA-2048 (для ключей), а затем требует выкуп в 3000 - , чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: s1.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33592
BitDefender -> Gen:Variant.Zusy.370753
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGE
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/DoejoCrypt.A

Qihoo-360 -> Win32/Ransom.Encoder.HgIASQoA
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11baf414
TrendMicro -> Ransom.Win32.DEARCRY.THCABBA
---

© Генеалогия: ??? >> DearCry

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .CRYPT

В начало кода зашифрвоанных файлов добавлется маркер DEARCRY!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые сообщения поступили от пострадавших из США, Канады, Австралии, Индонезии, Индии. 

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:

Your file has been encrypted!

If you want to decrypt, please contact us.

konedieyp@airmail.cc or uenwonken@memail.com

And please send me the following hash!

638428e5021d4ae247b21acf9c0bf***

Перевод записки на русский язык:

Ваш файл зашифрован!

Если вы хотите расшифровать, напишите нам.

konedieyp@airmail.cc или uenwonken@memail.com

И пришлите мне следующий хэш!

638428e5021d4ae247b21acf9c0bf***

Технические детали

Ранее в этом месяце Microsoft сообщила, что злоумышленники скомпрометировали почтовые серверы Microsoft Exchange с помощью новых уязвимостей нулевого дня, получивших название ProxyLogon. После этого злоумышленники стали развертывать новый DearCry Ransomware.

Инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065). Эксплуатация этих уязвимостей позволит злоумышленникам пройти аутентификацию на сервере Exchange, получить права администратора, установить вредоносные программы и похитить данные.

К атакам на уязвимые серверы, администраторы которых не установили выпущенный патч или не смогут в ближайшее время установить его, присодинились по меньшей мере 10 группировок, и их число будет только расти. 

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Подробности шифрования: 
Использует OpenSSL's RAND_bytes() для генерации криптографически уникального ключа и IV (вектора инициализации) для каждого файла для AES-256. Ключи защищены с помощью RSA-2048.

Список файловых расширений, подвергающихся шифрованию:
.7Z, .APK, .APP, .ASPX, .BAK, .BAT, .BIN, .C, .CAD, .CER, .CFM, .CGI, .CONFIG, .CPP, .CSS, .CSV, .DAT, .DB, .DBF, .DOC, .DOCX, .EDB, .EML, .GO, .HTM, .HTML , .INI, .ISO, .JS, .JSP, .KEYCHAIN, .LOG, .MDB, .MDF, .MSG, .ORA, .PDB, .PDF, .PEM, .PGD , .PHP, .PPS, .PPT, .PPTX, .PS, .PST, .RAR, .RTF, .SQL, .STM, .TAR, .TEX, .TIF, .TIFF, .TXT, .WPS, .XHTML, .XLS, .XLSX, .XLTM, .ZIP, .ZIPX (64 расширения). 

Это документы MS Office, PDF, текстовые файлы, файлы веб-страниц, веб-серверов, базы данных, файлы образов, сценарии, журналы, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;

s1.exe, s2.exe, s3.exe - названия вредоносных файлов;
<random>.exe - случайное название вредоносного файла;

EncryptFile.exe.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: konedieyp@airmail.cc, uenwonken@memail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>  IA> IA> 
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>  JSB>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as DearCry)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Lawrence Abrams, MalwareHunterTeam
 Andrew Ivanov (article author)
 Palo Alto Networks, Intezer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

KhalsaCrypt, Sarbloh

KhalsaCrypt Ransomware

Sarbloh Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем выдвигает требования в поддержку фермеров в Индии. Оригинальное название: KhalsaCrypt. На файле написано: profile16146815778005vw0qb.exe или что-то другое. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33546
BitDefender -> Gen:Variant.Razy.849331
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGB
Kaspersky -> Trojan-Ransom.Win32.Agent.azsx
Malwarebytes -> Ransom.Sarbloh
Microsoft -> Trojan:Win32/Ymacco.AAAC
Rising -> Ransom.Agent!1.D360 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Dzjp
TrendMicro -> TrojanSpy.Win32.POSSIBLETHREAT.USMANC321
---

© Генеалогия: безымянный OSR >> KhalsaCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sarbloh


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных и индийских пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README_SARBLOH.txt

Содержание записки о выкупе:

YOUR FILES ARE GONE!!!

THEY WILL NOT BE RECOVERABLE UNTIL THE DEMANDS OF THE FARMERS HAVE BEEN MET

WHAT HAPPENED TO THEM?

Using military grade EnCryPtiOn all the files on your system have been made useless.

India, Sikhs have long been the face against the oppression placed upon them.

Each time we have resisted.

Today you come for the very throats of Hindu, Sikh, and Muslim farmers by trying to take their livelihood.

You will not succeed in your sinister ways.

The two-sided sword of the Khalsa is at any moments notice. Tyaar bar tyaar.

Wherever our blood is spilled, the tree of Sikhi uproots from there.

If your intentions for the farmer's are pure and

you wish to help them, this is not the way.

Halemi Raj, Sikh Raj, was not this way.

If the laws are not repealed. Your fate is no

different to what the Khalsa did to Sirhind.

Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh

Khalsa Cyber Fauj

Перевод записки на русский язык:

ВАШИ ФАЙЛЫ ПРОПАЛИ !!!

ИХ НЕЛЬЗЯ ВОССТАНОВИТЬ, ПОКА НЕ ВЫПОЛНЕНЫ ТРЕБОВАНИЯ ФЕРМЕРОВ.

ЧТО С НИМИ СЛУЧИЛОСЬ?

При использовании ШиФроВанИя военного уровня все файлы в вашей системе стали бесполезными.

В Индии сикхи долгое время были лицом к лицу с наложенным на них угнетением.

Каждый раз мы сопротивлялись.

Сегодня вы попадаете в самое горло индуистских, сикхских и мусульманских фермеров, пытаясь лишить их средств к существованию.

Вы не добьетесь успеха на своем зловещем пути.

Двусторонний меч Хальсы заметен в любой момент. Всегда наготове.

Где бы ни пролилась наша кровь, дерево Сикхи вырывается с корнем.

Если ваши намерения относительно фермера чисты и

вы хотите им помочь, это не выход.

Халеми Радж, сикхский Радж, не был таким.

Если законы не отменят. Твоя судьба нет отличается от того, что Хальса сделала с Сирхиндом.

Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh

Khalsa Cyber Fauj

Другим информатором жертвы выступает экран с текстом.

Текст почти аналогичен тому, что есть в текстовой записке. 

Нет никаких контактов и адресов для уплаты выкупа. 

По всей видимости это сообщение направлено в поддержку протестов индийских фермеров. В 2020 году правительство Индии приняло новые "Законы о сельском хозяйстве Индии 2020 года", которые, по мнению правительства, нужны для модернизации сельскохозяйственной отрасли. Фермеры считают, что эти новые законы нанесут ущерб их средствам к существованию и затруднят получение доходов от продажи товаров. С ноября 2020 года тысячи индийских фермеров протестуют против этих законопроектов. 

Но данные действия не оправдывают вымогателей, которые из активистов стали хактивистами. Вымогатели, даже требующие принятия каких-то мер, вместо выплаты выкупа, всё равно являются преступниками, т.к. причиняют вред файлам пользователей. Политическая позиция не оправдывает их действий, а только увеличивает вину. 

Технические детали

Распространяется с помощью email-спама и вредоносных вложений в виде документов Word с вредоносными макросами. 

Кроме того, может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Схема запуска вредоносного файла:

Если разрешить содержимое, то, макросы загружают файл с именем putty.exe с помощью bitsadmin.exe в папку "Документы" и запускают.

Список файловых расширений, подвергающихся шифрованию:

.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .dat, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (179 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_SARBLOH.txt - название файла с требованием выкупа;
profile16146815778005vw0qb.exe (profile16146815778005vw0qb.png) - название вредоносного файла, который загружается как файл изображения;

putty.exe - исполняемый вредоносный файл; 

bitsadmin.exe - программа администрирования BITS в составе Windows, используемая для загрузки обновлений безопасности; это свойство службы использует киберпреступники.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

\Documents\putty.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs3.ap-south-1.amazonaws.com/ans.video.input/***

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>

𝚺  VirusTotal analysis (Doc1.docm) >>

🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>

⟲ JOE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 Added later: Write-up by BC 
 Added later: Write-up, Write-up, 

 Thanks: 
 MBThreatIntel, Petrovic, Michael Gillespie
 Andrew Ivanov (article author)
 Lawrence Abrams, 
Tejaswini Sandapolla (QuickHeal), cybleinc (Cyble)
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

IQ, HelpYou

IQ Ransomware

HelpYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: enc_IQ_IQ.exe. Разработка: Visual C++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33543 
BitDefender -> Trojan.GenericKD.45827119 
ALYac -> Trojan.Ransom.Filecoder 
Avira (no cloud) -> TR/Crypt.XPACK.Gen2 

ESET-NOD32 -> A Variant Of Win32/Filecoder.OFO 
Kaspersky -> HEUR:Trojan.Win32.Generic 
Malwarebytes -> Malware.Heuristic.1004 
Microsoft -> Trojan:Win32/Glupteba!ml 
Rising -> Ransom.HelpYou!1.D28C (CLOUD) 
Symantec -> ML.Attribute.HighConfidence 
Tencent -> Win32.Trojan.Raas.Auto 
TrendMicro -> Trojan.Win32.GLUPTEBA.THCODBA 
---

© Генеалогия: ✂️ Balaclava + другой код >> IQ (HelpYou)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: 

.IQ_IQ

.IQ1, .IQ2, 

.IQ0001 ...

Фактически используется составное расширение:
К зашифрованным файлам добавляется составное расширение по шаблону: .

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW_TO_RECOVERY_FILES.txt

Содержание записки о выкупе:

It's your IDENTIFER:

C3C47BF13D675BB03BE76A5***

HELLO

All YOU FILES ENCRYPTED

If you need recover your files:

1) send message with your personal IDENTIFER to

helpyouhelpyou@cock.li or helpyou2helpyou@cock.li

and add 1 infected files from your server!

2) speak only by ENGLISH!

3) doesn't use free decryption tools, you can damage your files!

ONLY helpyouhelpyou@cock.li or helpyou2helpyou@cock.li can HELP YOU!

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li 

Перевод записки на русский язык:

Это ваш ИДЕНТИФИКАТОР:

C3C47BF13D675BB03BE76A5***

ПРИВЕТ

Все ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ

Если вам нужно восстановить ваши файлы:

1) отправьте сообщение со своим личным ИДЕНТИФИКАТОРОМ на адрес

helpyouhelpyou@cock.li или helpyou2helpyou@cock.li

и добавьте 1 зараженный файл со своего сервера!

2) говорите только на АНГЛИЙСКОМ!

3) не использует бесплатные инструменты дешифрования, вы можете повредить свои файлы!

ТОЛЬКО helpyouhelpyou@cock.li или helpyou2helpyou@cock.li могут помочь ВАМ!

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVERY_FILES.txt - название файла с требованием выкупа
enc_IQ_IQ.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: helpyouhelpyou@cock.li

helpyou2helpyou@cock.li

BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as IQ)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.