NoCry

NoCry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: NoCry. На файле написано: sketchpro.exe или NoCry.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop16.31173, Trojan.Encoder.34098
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dropper.Gen
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Generic.Ransom.Hiddentear.A.756CC101
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFL
Malwarebytes -> Malware.AI.4154580173
Microsoft -> Ransom:MSIL/NoCry.AS!MTB
Rising -> Trojan.AntiVM/MSIL!1.D7C2 (CLASSIC), Ransom.NoCry!1.D7BF (CLASSIC)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Generic.Dzaa
TrendMicro ->Ransom.MSIL.NOCRY.A
--- 

© Генеалогия: Stupid >> NoCry

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Cry


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Образец этого крипто-вымогателя был найден во второй половине апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки.  

Содержание записки о выкупе:

Ooooops All Your Files Are Encrypted ,NoCry

Can I Recover My Files ?

Yes, You Can Recover All Your Files Easily And Quickly

But How ?

Send The Required Amount And

I Will Send The Key To You For Decryption

See You Soon (0_0)

Send $300 worth of bitcoin to this address:

be1qtje3mdvmwsp64k20srtj65m23qjjc42f2cd3pc

Перевод записки на русский язык:

Упс, все ваши файлы зашифрованы, NoCry

Могу ли я восстановить свои файлы?

Да, вы можете легко и быстро восстановить все свои файлы

Но как ?

Отправьте требуемую сумму и

Я пришлю вам ключ для расшифровки

Увидимся скоро (0_0)

Отправьте биткойны на сумму 300 долларов на этот адрес:

be1qtje3mdvmwsp64k20srtj65m23qjjc42f2cd3pc

Дополнительным информатором выступает изображение короткий красный текст на чёрном фоне, заменяющее обои Рабочего стола. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
sketchpro.exe - название вредоносного файла;

NoCry.exe - название вредоносного файла;

rGoB8VnbP6W42hW5.exe - случайное название вредоносного файла;

NoCry Decryptor - в составе программы-вымогателя. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\ku5h2\OneDrive\Desktop\NoCry Discord\ransomeware\obj\Debug\NoCry.pdb

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rGoB8VnbP6W42hW5.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: be1qtje3mdvmwsp64k20srtj65m23qjjc42f2cd3pc

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: 881ce2f3cd743dd8d2da8dd8167ceaf2

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 29 июня 2021:

Сообщение >>

Расширение: .Cry

Записка: How To Decrypt My Files.html

BTC: 3PirF4RjK5RyRpfgU3NY2MzNwDwUcsxFN4

Файл: NoCry.exe

Файл в Автозагрузке: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qRERbdKw22juwi2Y.exe

Результаты анализов: IOS: VT, HA, IA, TG, AR

MD5: a2263b0ab9ee242a2e9e6e29fa788bcf

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34098

BitDefender -> Generic.Ransom.Hiddentear.A.756CC101

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFL

Microsoft -> Ransom:MSIL/NoCry.AS!MTB

Rising -> Ransom.NoCry!1.D7BF (CLASSIC)

---

Файлы изображений из анализа: 

Cry.img > Cry.jpg

admin-screenshot.jpg

Вариант от 27 октября 2021: 

Сообщение >>

Расширение: .IHA

URL: hxxx://luffysec.000webhostapp.com/

Файл: NoCry.exe, IHAransom.exe

IOS: VT, TG

MD5: 5f775c9a9d49013ef37aa7d332327af4

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Petrovic, Michael Gillespie,
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Qlocker

Qlocker Ransomware

QNAP 7z-locker Ransomware

(7zip-шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные на QNAP NAS устройствах пользователей, а затем требует выкуп в 0.01 BTC (~$500) за пароль, чтобы вернуть файлы. На самом деле файлы помещаются в 7z-архив с паролем, известным только вымогателям. Оригинальное название: Qlocker (написано на сайте вымогателей в сети Tor). На файле написано: нет данных.

Файлы можно восстановить, если есть желание. 

Руководство по восстановлению >>

---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro -> 
---

© Генеалогия: QNAP Ransomware + 7-Zip архиватор >> Qlocker

Изображение — логотип статьи

Файлы заблокированы в архивах с расширениями .7z
Это обычное расширение для архиватора 7-Zip. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди пострадавших пользователи из США, Канады, Франции, Италии, Германии, Польши, Израиля и других стран. 

Записка с требованием выкупа называется: !!!READ_ME.txt

Содержание записки о выкупе:

!!! All your files have been encrypted !!!

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

To purchase your key and decrypt your files, please follow these steps:

1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".

2. Visit the following pages with the Tor Browser:

gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

3. Enter your Client Key:

KU1o8mGG4p8moefySdZSI85HX6*** [всего 344 знака]

Перевод записки на русский язык:

!!! Все ваши файлы зашифрованы !!!

Все ваши файлы зашифрованы с использованием приватного и уникального ключа, созданного для компьютера. Этот ключ хранится на нашем сервере, и только один способ получить ваш ключ и расшифровать файлы - это биткойн-оплата.

Чтобы приобрести ключ и расшифровать файлы, выполните следующие действия:

1. Загрузите браузер Tor с https://www.torproject.org/. Если вам нужна помощь, пожалуйста, Google для "доступа к луковой странице".

2. Посетите следующие страницы с Tor-браузером:

 gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

3. Введите свой клиентский ключ:

KU1o8mGG4p8moefySdZSI85HX6 *** [всего 344 знака]

---

Скриншоты с Tor-сайта вымогателей

 

Содержание текста на сайте:

Qlocker

You have to send 0.01 BTC to below address and specify the transaction ID in the field below, which will be verifyed and confirmed.

Once we receive your payment, you'll get a password to decrypt your data.

Send 0.01 BTC to this address

Transaction ID (txid)

Txid must be length 64, it looks like 21aaaf3cfefe7171b8f5835838067b0ab6947aef263a6f812bf0112e4efefe6f

Waiting for payment.

Перевод текста на русский язык:

Qlocker

Вам надо отправить 0.01 BTC на адрес ниже и указать ID транзакции в поле ниже, который будет проверен и подтвержден.

Как мы получим ваш платеж, вы получите пароль для расшифровки данных.

Отправьте 0.01 BTC на этот адрес

ID транзакции (txid)

Txid должен быть длиной 64, это как 21aaaf3cfefe7171b8f5835838067b0ab6947aef263a6f812bf0112e4efefe6f

Ожидается платеж.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это могут быть популярные форматы файлов: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
!!!READ_ME.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

Email: - 
BTC: 34vbPQLgGZwKG2FikitGU6QR7K25aB6Shh

37m57HiP5rPceopgEWF9sM58CkzaDFYtaU

3Ekwztte7oWR1odC1eKeL2Va4cpBuGXPgU

3EPBKN3bcax81U3MdKYUhMC1fzFEFGPC6E

3EvCKQ38y8ePUwM4w49XWVtAK7KhYbmeMH

3FvLioiqF2TrQgZ9zRMdd7QUfc2hTjKZfL

3FXVLv8TmcHNmnfwLfc5g7f2a32xp3XugW

3G6fbWX6At9uRzKf6kwS6R6pn5EQ8UsxKY

3GfAJxhUen3oqb4sDDnPmXyhs5mDboHbyG

3JRdPjB8U3nfDqQHzTqw9yYra49Gsd8Rar

3KmK5z4CAvn3aL4Q8F2gWbhuPRy9ZmEurN

3Kywg92E877KUWmyaeeLNSXFc5bqBvFbAm

3LLzycFNFh7mDsqRhfknfGBa6TKq6HcfwS

3Lp1NkJHYsmFRBfM3ggoWsS1PF5hXxrwrD

3PDfzkTnD1E7gB7peZ2prRyDxjQ1BhqcV1

3PunvFGpVWLX7PNAoT3bMDbPQU2QQW4kxN

3Q8WmjQyFs1EKCdu415t2P9cxY7AbqorPd

3EWRngsRDhCxMHtKxeK6k9kX3pyWZSA2YB

3Gwz3yVmrGr5AqmUrAS8H2QQaPz2v9Rhpx

3JtUAz4aKUrjcBK47ocdv52tTJkriat1nx

3NtgDQCu7xck4UEpyTf8HNSSvrMCnKZRjt

3DhE1iZ5Ui6HALVKuuYXW52ArZPVJjUgJA

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ALTERNATIVE DECRYPTOR ===

Скриншот альтернативного дешифровщика. 

Работает с паролем, полученным от вымогателей после уплаты выкупа. 

Сообщение разработчика >>

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 19 мая 2021: 

Вымогатели Qlocker, заработав более 350 тысяч долларов, решили закрыть свой сайт и остановить вымогательство. 

Статья на сайте BleepingComputer об этом событии >>

Вместо того, чтобы требовать миллионы долларов на восстановление файлов, Qlocker-вымогатели изначально оценили сумму выкупа всего в $500, что привело к тому, что многие компании заплатили выкуп за восстановление своих файлов. 

Поскольку в Qlocker Ransomware использовался фиксированный набор биткойн-адресов, на которые жертвами перечислялись суммы выкупа, можно отследить, сколько биткойнов они получили в качестве выкупа.

На 22 биткойн-адреса Qlocker, известных BleepingComputer, жертвы заплатили в общей сложности 8.93258497 BTC. Сегодня это стоит 353708 долларов, но до краха биткойнов на этой неделе те же самые биткойны стоили почти 450000 долларов.

Если разделить все биткоины, полученные вымогателями по 0.01 BTC с каждого, то получится около 893 пострадавших пользователей, которые заплатили выкуп. Их могло бы быть больше, если бы Qlocker использовал другие биткойн-адреса. 

=== 2022 ===

Вариант от 6 января 2022: 

Статья на сайте BleepingComputer >>

Записка: !!!READ_ME.txt

Tor-URL: gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Qlocker)
 Write-up, Topic of Support
 Added later: Write-up, Write-up

Файлы можно восстановить, если есть желание. 
Руководство по восстановлению в теме >>
Руководство по восстановлению на сайте разработчика >>
Отдельная тема на форуме >>

 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Nitro

Nitro Ransomware

GiveMeNitro Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в денежной сумме с подарочных карт Discord Nitro. Оригинальное название: Nitro Ransomware. Использует Discord для вымогательства. На файле написано: NitroRansomware.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33865
BitDefender -> Gen:Heur.Ransom.MSIL.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.jwrcw
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AHT
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DL!MTB
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom.MSIL.NITRO.A
---

© Генеалогия: ??? >> Nitro

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .givemenitro


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в середине апреля 2021 г.  Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает следующий экран блокировки: 

Содержание записки о выкупе:

Oh no! Your files have been encrypted.

Info

All of your important documents have been locked and have

been AES encrypted. There is no other way to open it unless you have the decryption key. You have under 3 hours to give us Discord nitro. If you fail to do so, all files will be lost forever.

How do I get the decryption key?

Buy a Discord nitro gift subscription and paste the gift link in the text box. After submitting a valid gift link, you should be able to see the decryption key. Copy the decryption key and click on decrypt files. When decrypting, make sure Windows defender/ any antivirus is off. If you don't turn it off, not all files will be able to decrypt correctly.

Do not rename the files or try guessing the decryption key. If you do so, your files may get corrupted.

Перевод записки на русский язык:

О нет! Ваши файлы зашифрованы.

Инфо

Все ваши важные документы блокированы и зашифрованы AES. Нет другого способа открыть его, если у вас нет ключа дешифрования. У вас меньше 3 часов, чтобы передать нам Discord nitro. Если вы этого не сделаете, все файлы будут потеряны навсегда.

Как получить ключ дешифрования?

Купите подарочную подписку Discord nitro и введите подарочную ссылку в текстовое поле. После отправки валидной подарочной ссылки вы должны увидеть ключ дешифрования. Скопируйте ключ дешифрования и нажмите "Расшифровать файлы". При расшифровке убедитесь, что защитник Windows / любой антивирус выключен. Если вы не отключите его, не все файлы смогут правильно расшифроваться.

Не переименовывайте файлы и не пытайтесь угадать ключ дешифрования. Иначе ваши файлы могут повредиться. 

---

Кроме того, вымогатели заменяют на ПК обои Рабочего стола следующим изображением: 

Кроме того, как аватар используется онлайн-изображение с чёрным  логотипом Discord на красном фоне. 

Таймер, который стоит на экране программы-вымогателя, видимо стоит для того, чтобы запугать жертву и заставить скорее заплатить выкуп. По истечении времени файлы не удаляются. Подтверждено опутным путем. 

Когда пользователь вводит URL-адрес подарочного кода discord.com/***, программа-вымогатель проверяет его, используя URL-адрес Discord API. Если введена валидная ссылка на подарочный код, программа-вымогатель расшифрует файлы с помощью встроенного статического ключа дешифрования. 

Поскольку ключи дешифрования статичны и содержатся в исполняемом файле программы-вымогателя, можно расшифровать файлы, не платя выкуп в виде подарочного кода Discord Nitro.

Что такое Discord Nitro? 

Чтобы не делать бесплатную рекламу платным функциям, просто посмотрите на скриншот. Рекламодатели читайте здесь >>

С помощью этой программы злоумышленники пытаются украсть информацию из браузеров и токены Discord. Токены Discord - это ключи аутентификации, привязанные к конкретному пользователю, которые в случае кражи позволяют злоумышленнику войти в систему как сам скомпрометированный пользователь. 

Когда Nitro Ransomware запускается, оно будет искать путь установки Discord жертвы, а затем извлекать токены пользователей из файлов *.ldb, расположенных в папке Local Storage \ leveldb. Затем эти токены переправляются злоумышленнику через веб-перехватчик Discord. 

Nitro Ransomware также содержит возможности бэкдора, которые позволяют злоумышленнику удаленно выполнять команды, а затем отправлять выходные данные через свой веб-перехватчик на канал Discord злоумышленника.

Пострадавшим рекомендуется проверить ПК на наличие другого вредоносного ПК и сменить пароль от учетной записи Discord на более сложный. 

Технические детали

Распространяется как поддельный инструмент, заявляющий, что может генерировать бесплатные подарочные коды Nitro. 

После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
NitroRansomware.pdb - название файла проекта; 

NitroRansomware.exe - название вредоносного файла; 

<random>.exe - случайное название вредоносного файла; 
NR_decrypt.txt - файл с кодом для расшифровки. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\coazy\Desktop\Source Codes\Nitro-Ransomware-master\NitroRansomware\obj\Debug\NitroRansomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL Discord Nitro: hxxxs://discord.com/nitro

URL изображения: hxxxs://i.ibb.co/0frTD92/discord-avatar-512.png

URL для определения IP-адреса: hxxxs://api.ipify.org/

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 августа 2021:

Сообщение >>

Ключ дешифрования: forzanapolisemprenelcuore
Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + Message
 ID Ransomware (ID as Nitro)
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam, Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (article author)
 Petrovic
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Combo13

Combo13 Ransomware

Combo13 Wiper Ransomware

(шифровальщик-вымогатель, деструктор, стиратель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. На самом деле файлы перезаписываются случайными символами. Оригинальное название: в записке не указано. На файле написано: IS_room_start.exe. Уплата выкупа бесполезна! 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33875
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> MSIL/Filecoder.AHV
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:Win32/Higuniel.A
Rising -> Malware.Undefined!8.C (CLOUD)

Qihoo-360 -> Win32/Trojan.Generic.HgIASS4A
Symantec -> Trojan.Gen.MBT
Tencent -> Msil.Trojan.Agent.Efbo
TrendMicro -> TROJ_GEN.R002H09DG21
---

© Генеалогия: ✂️ HiddenTear >> Combo13

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .combo13

Фактически используется составное расширение: .id-1E192D2A.[xmmh@tutanota.com].combo13

Используется формат расширения из Dharma Ransomware, вероятно для прикрытия, чтобы обмануть пострадавших. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: FILES ENCRYPTED.TXT

Содержание записки о выкупе:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supportdata@cock.li

Write this ID in the title of your message 1E192***

In case of no answer in 24 hours write us to theese e-mails:xmmh@tutanota.com

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

Free decryption as guarantee

Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 

How to obtain Bitcoins

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 

https://localbitcoins.com/buy_bitcoins 

Also you can find other places to buy Bitcoins and beginners guide here: 

How Can I Buy Bitcoin?

Attention!

Do not rename encrypted files. 

Do not try to decrypt your data using third party software, it may cause permanent data loss. 

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

Все ваши файлы зашифрованы! 

Все ваши файлы зашифрованы из-за проблемы с безопасностью вашего ПК. Если вы хотите их вернуть, пишите нам на почту supportdata@cock.li 

Напишите этот ID в теме сообщения 1E192***

В случае отсутствия ответа за 24 часа пишите нам на эти email-адреса:xmmh@tutanota.com 

Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы напишите нам. После оплаты мы вышлем вам расшифровщик, который расшифрует все ваши файлы. 

Бесплатная расшифровка как гарантия 

Перед оплатой вы можете прислать нам 1 файл для бесплатной  расшифровки. Общий размер файлов не более 1 Мб (без архива), и в файлах не должно быть ценной информации. (базы данных, бэкапы, большие таблицы excel и т.д.) 

Как получить биткойны 

Самый простой способ купить биткойны - это сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Купить биткойны' и выбрать продавца по способу оплаты и цене. 

https://localbitcoins.com/buy_bitcoins 

Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь: 

Как я могу купить биткойн? 

Внимание! 

Не переименовывайте зашифрованные файлы. 

Не пробуйте расшифровать ваши данные сторонними программами, это может повредить данные. 

Расшифровка ваших файлов с помощью третьих лиц выйдет дороже (они прибавят свой гонорар к нашему) или вы станете жертвой мошенников. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FILES ENCRYPTED.TXT - название файла с требованием выкупа; 

FILES ENCRYPTED.bat - командный файл для запуска вредоноса; 
IS_room_start.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xmmh@tutanota.com, supportdata@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Combo13 Wiper)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie  
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.