HANTA

Hanta Ransomware

HantaVirus Ransomware

Hanta 2.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HANTA Virus и Hanta Ransomware. На файле написано: hanta.exe, build.exe.
---
Обнаружения: 
DrWeb -> Trojan.Encoder.10598, Trojan.EncoderNET.13
BitDefender -> Gen:Heur.Ransom.RTH.1, Gen:Variant.Ransom.HiddenTear.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:MSIL/Ryzerlo.B, TrojanDownloader:MSIL/Genmaldow.A
Rising -> Ransom.Generic!8.E315 (CLOUD), Downloader.Genmaldow!8.1207 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Ssqw
TrendMicro -> Ransom_RAMSIL.SM, TROJ_GEN.R002C0DCP21
---

© Генеалогия: HiddenTear > HiddenTear modified >> Hanta > Hanta-2

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .HANTA


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину марта 2021 г. (образцы от 15 и 25 марта). Ранний вариант был на основе HiddenTear, а следующий был модифицирован. Шифровальщик-вымогатель ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: how_to_recover.txt

Содержание записки о выкупе:

- WHAT HAPPENED TO MY COMPUTER?

All Files on your system has been encrypted with HANTA Virus.

Nobody will be able to decrypt ANY of your files without our decryption service. Dont waste your time.

- CAN I RECOVER MY FILES?

You will be able to recover your files only after you send 50 to this BTC wallet: 

1HYpnNyAERfmC5bnueGs7E3qDgMAxRiLGC

or contact with us by email: hanta@420blaze.it

Your system indetification: c8808c55-1e3e-4426-8897-4e8648b89e5e***

Any antivirus sortware can corrupt files, if you want save back your files, turn off antivirus, it can delete our application

Перевод записки на русский язык:

- ЧТО С МОИМ КОМПЬЮТЕРОМ?

Все файлы в вашей системе зашифрованы HANTA Virus.

Никто не расшифрует ЛЮБОЙ из ваших файлов без нашей службы дешифрования. Не тратьте время зря.

- МОГУ Я ВОССТАНОВИТЬ ФАЙЛЫ?

Вы сможете восстановить свои файлы только после отправки 50 на этот кошелек BTC:

1HYpnNyAERfmC5bnueGs7E3qDgMAxRiLGC

или свяжитесь с нами по email: hanta@420blaze.it

Идентификация вашей системы: c8808c55-1e3e-4426-8897-4e8648b89e5e ***

Любая антивирусная программа может повредить файлы, если вы хотите сохранить свои файлы, выключите антивирус, он может удалить наше приложение

Другим информатором жертвы выступает изображение на экране. 

Содержание текста на изображении:

you got pwned by hanta ransomware

to back your files read how_to_decrypt.txt

on your desktop folder

Перевод на русский язык:

ты был атакован hanta ransomware

для возврата файлов читай how_to_decrypt.txt 

на твоем рабочем столе

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
how_to_recover.txt - название файла с требованием выкупа
hanta.exe, build.exe - название вредоносного файла

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ransomware\hidden-tear orig\hidden-tear-master\hidden-tear\hidden-tear\obj\Release\hanta.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hanta@420blaze.it
BTC: 1HYpnNyAERfmC5bnueGs7E3qDgMAxRiLGC
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 1 апреля 2021:

Сообщение >>

Записка: how_to_recover.html

Email: hanta@420blaze.it

BTC: 1HYpnNyAERfmC5bnueGs7E3qDgMAxRiLGC

Результаты анализов: VT

Вариант от 3 апреля 2021:

Сообщение >>

Записка: how_to_recover.html

Email: hanta@420blaze.it

Файл: hanta_2_0.exe

Результаты анализов: VT + IA 

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33771

BitDefender -> Gen:Variant.Bulz.417780

Microsoft -> Program:Win32/Wacapew.C!ml

Вариант от 25 апреля 2021:

Сообщение >>

Сообщение >>

Сообщение >>

Расширение: .HANTA

Записка: how_to_recover.html

Email: hanta@420blaze.it 

Файл изображения: wall.jpg (15.9 Mb)

Файл: HANTA.exe, hanta_2_0.exe 

Результаты анализов: VT + AR + HA

Вариант от 29 апреля 2021:

Сообщение >>

Результаты анализов: AR + AR / VT + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, S!Ri, GrujaRS
 Andrew Ivanov (article author)
 Petrovic
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RunExeMemory

RunExeMemory Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в от 100 до ~1000 BTC за восстановление всех файлов в сети, угрожая начать DDoS-атаку. Оригинальное название: в записке не указано. На файле написано: RunExeMemory.exe.

---
Обнаружения:
DrWeb -> Trojan.Encoder.33617, Trojan.Encoder.33618
BitDefender -> Gen:Trojan.Heur.Dropper.gm0@ay5u4Goi
Avira (no cloud) -> TR/Dropper.Gen
ESET-NOD32 -> A Variant Of Win32/Kryptik.UVH
Kaspersky -> Trojan.Win32.Vebzenpak.aedz, Trojan-Ransom.Win32.Encoder.lsk

Kingsoft -> Win32.Troj.Vebzenpak.ae.(kcloud)
Malwarebytes -> Malware.AI.1295064603, Malware.Heuristic.1003
Microsoft -> VirTool:Win32/VBInject.HH, Program:Win32/Ymacco.AA0D

Qihoo-360 -> Win32/Trojan.VBInject.HykC4J8A, Win32/TrojanDropper.Generic.HxMB4rsA
Rising -> Dropper.Generic!8.35E (CLOUD)
Tencent -> Win32.Trojan.Vebzenpak.Akfi, Win32.Trojan.Encoder.Frv
TrendMicro -> Trojan.Win32.MALREP.THCACBA, TROJ_GEN.R002H09CD21
---

© Генеалогия: более ранний вариант >> RunExeMemory

Изображение — логотип статьи

К зашифрованным файлам добавляется случайное расширение с 6-знаками: 

.<random{6}>

Примеры таких расширений: 

.ft5p7u

.g1yfw9

.rb8tco

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2021 г.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: Read me, if you want to recover your files.txt

Содержание записки о выкупе:

Restoring all files on your network -> 986 BTC

It's your identifier: 

28828378515309952921

23179835766942351018

38430402818695651204

43781968060238050390

48032535212971359486

We will contact you ourselves

*If you don't pay us, then expect a wave of DDoS attacks

Перевод записки на русский язык:

Восстановление всех файлов в сети -> 986 BTC

Это ваш идентификатор: 

28828378515309952921

23179835766942351018

38430402818695651204

43781968060238050390

48032535212971359486

Мы свяжемся с вами сами

* Если вы нам не заплатите, то ждите волны DDoS-атак

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read me, if you want to recover your files.txt - название файла с требованием выкупа; 

RunExeMemory.exe - название вредоносного файла; 

trash.exe, dump.exe - названия вредоносных файлов; 

<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.ft5p7u

C:\Users\seyret\Desktop\ms_visual_basic6\VB98\VB6.OLB

C:\Users\Admin\AppData\Local\Temp\trash.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 апреля 2021:

Сообщение >>
Сообщение >>
Пример расширения: .ilegx6
Результаты анализов: VT / VT + AR

Вариант от 26 августа 2021:

Файл: Lgts.exe

Результаты анализов: VT + IA

Обнаружения: 

ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/FileCoder.uuodj

BitDefender -> Trojan.Agent.FMCT

DrWeb -> Trojan.Encoder.34290

ESET-NOD32 -> A Variant Of Win32/Filecoder.OIG

Kaspersky -> Trojan.Win32.Agent.xaipar

Malwarebytes -> Malware.AI.1904552035

Microsoft -> Trojan:Win32/Wacatac.B!ml

Rising -> Ransom.Erica!1.D8FB (CLASSIC)

Symantec -> Downloader

Tencent -> Malware.Win32.Gencirc.11cb0ed2

Вариант от 2 сентября 2021:

Сообщение >>

Расширение: .481246

Файл: 3.exe, e_KJpx.exe

Результаты анализов: VT + AR + IA

Обнаружения: 

ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/FileCoder.eozfw

BitDefender -> Trojan.Agent.FMCT

DrWeb -> Trojan.Encoder.34290

ESET-NOD32 -> A Variant Of Win32/Filecoder.OIG

Kaspersky -> Trojan.Win32.Bingoml.cgvl

Malwarebytes -> Malware.AI.3707345050

Microsoft -> Ransom:Win32/Cryptolocker.PAF!MTB

Rising -> Ransom.Erica!1.D8FB (CLASSIC)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Malware.Win32.Gencirc.10cef088

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + myMessage
 ID Ransomware (ID as RunExeMemory)
 Write-up, Topic of Support
 * 

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по ссылке к Michael Gillespie >>

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

JoJoCrypter

JoJoCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-192 + RSA-2048 для ключей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Написан на языке AutoIt. 
---
Обнаружения:

Avira (no cloud) -> TR/AD.RansomHeur.xehvt

BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.7E661E78

DrWeb -> Trojan.MulDrop16.17162

Kaspersky -> HEUR:Trojan.Script.DelShad.gen

Malwarebytes -> Malware.Heuristic.1003

Microsoft -> Ransom:BAT/Clop.D!hoa

Qihoo-360 -> Win32/Ransom.Clop.HwsBxpsA

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> Ransom_Clop.R002C0DC821

---

© Генеалогия: NodeJS >> JoJoCrypter

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .jojocrypt 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: how to recover your files.txt

Содержание записки о выкупе:

your personal id is : e70*** (всего 32 знака) 

 all your files has been crypted to recover your files contact us send your persoanl id to our email: jojocrypter@mail.ru

Перевод записки на русский язык:

ваш личный id : e70*** (всего 32 знака)

все ваши файлы зашифрованы, чтобы вернуть файлы, напишите нам, пришлите ваш личный id на наш email: jojocrypter@mail.ru

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, очищает журналы командами:
%WINDIR%\syswow64\cmd.exe' /c bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures & vssadmin delete shadows /all /quiet & wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest & wbadmin DELETE SYSTEMSTATEBACKUP & wbadmin delete catalog -quiet & wevtutil cl system & wevtutil cl security & wevtutil cl application & wmic SHADOWCOPY /nointeractive & wmic shadowcopy delete' (with hidden window)

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
how to recover your files.txt - название файла с требованием выкупа

clean.exe - название вредоносного файла

<random>.js - случайное название вредоносного файла
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи: 
Email: jojocrypter@mail.ru
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as JoJoCrypter)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Gopher

Gopher Ransomware

Bad-Gopher Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Bad-Gopher. На файле написано: restore your files.exe. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33593, Trojan.Encoder.33610
BitDefender -> Trojan.GenericKD.45868804, Trojan.GenericKD.45882308
Avira (no cloud) -> TR/AD.RansomHeur.yqazp
ESET-NOD32 -> WinGo/Filecoder.H, A Variant Of Win64/Filecoder.BA
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor

Qihoo-360 -> Win32/Ransom.Generic.HgIASQcA
Rising -> Ransom.Agent!1.D392 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Delshad.Eerv
TrendMicro -> Ransom.Win32.BADGOPHER.THCAOBA
---

© Генеалогия: Bad-Gopher >> Gopher

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .gopher


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: BAD_GOPHER.txt

В распространяемом варианте запиской с требованием выкупа также выступает изображение BAD_GOPHER.jpg с текстом, заменяющее обои Рабочего стола: 

Содержание записки о выкупе:

Your important files have been encrypted!

Most of your files are no longer accessible or usable due to them being encrypted

You can only recover your files with our decryption service.

To decrypt Your files send $ 400 usd in BITCOIN to

Address: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye

Visit hxxxs://buy.bitcoin.com/ Register Buy Bitcoins Send $400

After payment contact manager@outlookpro.net

for the decryption KEY before YOUR DATA IS LEAKED ONLINE,

FBI YOU WILL END UP IN JAIL

THE EALIER THE BETTER

YOU KNOW YOUR ACTIVITIES ARE PUNISHABLE BY LAW

Перевод записки на русский язык:

Ваши важные файлы зашифрованы!

Многие ваши файлы теперь недоступны или непригодны, т.к. зашифрованы.

Вы можете вернуть файлы только с нашей службой дешифрования.

Для расшифровки Ваших файлов пошлите $400 в биткойнах на 

Адрес: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye

Посетите hxxxs://buy.bitcoin.com/ Register Buy Bitcoins Отправить $400

После оплаты пишите на manager@outlookpro.net

для КЛЮЧА дешифрования перед УТЕЧКОЙ ВАШИХ ДАННЫХ ОНЛАЙН,

ФБР, ВЫ ПОПАДЕТЕ В ТЮРЬМУ

ЧЕМ РАНЬШЕ, ТЕМ ЛУЧШЕ

ЗНАЙТЕ, ВАША ДЕЯТЕЛЬНОСТЬ НАКАЗУЕМА ПО ЗАКОНУ

Еще одно изображение, из кода исходника. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
restore your files.exe - название вредоносного файла; 

bad_gopher.txt - название файла с требованием выкупа; 

BAD_GOPHER.jpg, bad_gopher.jpg - изображение, заменяющее обои. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

/home/onebuoy/Desktop/RANSOMEme/Bad-Gopher-master/main.go

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Исходники: hxxxs://github.com/andyjsmith/Bad-Gopher

Email: manager@outlookpro.net
BTC: 3MwjrWZaDyPY1eybS8dZrweEhQVwVCv1ye
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 марта 2021:

Сообщение >>

Сообщение >>

Расширение: .NASAcry

Записка: READ_TO_DECRYPT.html

Список зашифрованных файлов: FILES ENCRYPTED.html

 

Файл: ransomw.exe

Расположение файла: C:\Users\Admin\AppData\Local\Temp\ransomw.exe

Файл проекта: /home/onebuoy/Desktop/RANSOMEme/ransomware-master/ransomw.go

Результаты анализов: VT + TG + VMR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33610

Avira (no cloud) -> TR/FileCoder.pudeg

BitDefender -> Trojan.GenericKD.45882308

ESET-NOD32 -> A Variant Of Win64/Filecoder.BA

Kingsoft -> Win32.Troj.Undef.(kcloud)

Malwarebytes -> Generic.Malware/Suspicious

Microsoft -> Ransom:Win32/Vigorf.A

Qihoo-360 -> Win32/Ransom.Generic.HgIASQkA

Rising -> Ransom.Agent!1.D392 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Generic.Dxwd

TrendMicro -> CallTROJ_GEN.R002H0DCB21

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Gopher)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DearCry

DearCry Ransomware

DEARCRY! Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (для файлов) + RSA-2048 (для ключей), а затем требует выкуп в 3000 - , чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: s1.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33592
BitDefender -> Gen:Variant.Zusy.370753
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGE
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/DoejoCrypt.A

Qihoo-360 -> Win32/Ransom.Encoder.HgIASQoA
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11baf414
TrendMicro -> Ransom.Win32.DEARCRY.THCABBA
---

© Генеалогия: ??? >> DearCry

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .CRYPT

В начало кода зашифрвоанных файлов добавлется маркер DEARCRY!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые сообщения поступили от пострадавших из США, Канады, Австралии, Индонезии, Индии. 

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:

Your file has been encrypted!

If you want to decrypt, please contact us.

konedieyp@airmail.cc or uenwonken@memail.com

And please send me the following hash!

638428e5021d4ae247b21acf9c0bf***

Перевод записки на русский язык:

Ваш файл зашифрован!

Если вы хотите расшифровать, напишите нам.

konedieyp@airmail.cc или uenwonken@memail.com

И пришлите мне следующий хэш!

638428e5021d4ae247b21acf9c0bf***

Технические детали

Ранее в этом месяце Microsoft сообщила, что злоумышленники скомпрометировали почтовые серверы Microsoft Exchange с помощью новых уязвимостей нулевого дня, получивших название ProxyLogon. После этого злоумышленники стали развертывать новый DearCry Ransomware.

Инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065). Эксплуатация этих уязвимостей позволит злоумышленникам пройти аутентификацию на сервере Exchange, получить права администратора, установить вредоносные программы и похитить данные.

К атакам на уязвимые серверы, администраторы которых не установили выпущенный патч или не смогут в ближайшее время установить его, присодинились по меньшей мере 10 группировок, и их число будет только расти. 

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Подробности шифрования: 
Использует OpenSSL's RAND_bytes() для генерации криптографически уникального ключа и IV (вектора инициализации) для каждого файла для AES-256. Ключи защищены с помощью RSA-2048.

Список файловых расширений, подвергающихся шифрованию:
.7Z, .APK, .APP, .ASPX, .BAK, .BAT, .BIN, .C, .CAD, .CER, .CFM, .CGI, .CONFIG, .CPP, .CSS, .CSV, .DAT, .DB, .DBF, .DOC, .DOCX, .EDB, .EML, .GO, .HTM, .HTML , .INI, .ISO, .JS, .JSP, .KEYCHAIN, .LOG, .MDB, .MDF, .MSG, .ORA, .PDB, .PDF, .PEM, .PGD , .PHP, .PPS, .PPT, .PPTX, .PS, .PST, .RAR, .RTF, .SQL, .STM, .TAR, .TEX, .TIF, .TIFF, .TXT, .WPS, .XHTML, .XLS, .XLSX, .XLTM, .ZIP, .ZIPX (64 расширения). 

Это документы MS Office, PDF, текстовые файлы, файлы веб-страниц, веб-серверов, базы данных, файлы образов, сценарии, журналы, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;

s1.exe, s2.exe, s3.exe - названия вредоносных файлов;
<random>.exe - случайное название вредоносного файла;

EncryptFile.exe.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: konedieyp@airmail.cc, uenwonken@memail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>  IA> IA> 
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>  JSB>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as DearCry)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Lawrence Abrams, MalwareHunterTeam
 Andrew Ivanov (article author)
 Palo Alto Networks, Intezer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.