Trinage Complex

Trinage Ransomware

Trinage Complex Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: Trinage Complex

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Сообщение о публикации этого крипто-вымогателя пришлось на начало мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа не предоставлена. 

Технические детали

Распространяется на форумах киберандеграунда (xss, exploit) как новая программа-вымогатель. Заперщена работа на территории СНГ, включая Грузию и Украину. 

Скришоты с форума. 

После покупки партнерами может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Jabber: amba@thesecure.biz, amba@exploit.im

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 3xp0rt, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

GoNNaCry

GoNNaCry Ransomware

GoNNaCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GoNNaCrypt, GoNNaCry. На файле написано: Compil by raminhk.exe, Compile.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33919
BitDefender -> Trojan.GenericKD.46257532, Generic.Ransom.MBRLocker.2.4422FE5B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1140704, TR/Redcap.cgzjs
ESET-NOD32 -> A Variant Of Win64/Packed.VMProtect.LE, A Variant Of WinGo/Filecoder.L
Malwarebytes -> Ransom.GoNNaCry
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Trojan.DelShad!8.107D7 (CLOUD), Ransom.GoNNaCry!8.10DB7 (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002C0WEA21, Ransom_GoNNaCry.R002C0DEA21
---

© Генеалогия: ??? >> GoNNaCry

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .GoNNaCry


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: GoNNaCry.html

Содержание записки о выкупе:

Ooops ! All your important files are encrypted.

What happened to my computer ?

Many of your documents, photos, videos, database and all other files are no longer accessible

because they have been encrypted by strong encryption algorithm.

Maybe you're busy looking for a way to recover your files but, do not waste your time, no one can't recover your files without our decryption service.

Can i recover my files ?

Sure! we guarantee you can recover all your files safe and easily but, your time is running out.

Payment is accepted in bitcoin only for more information please visit https://en.wikipedia.org/wiki/Bitcoin

If you don't know where to buy bitcoin please visit https://en.wikipedia.org/wiki/Bitcoin

Even if you need more help feel free to contact us.

Before and after the payment ?

First, Make sure to buy $400 amount of bitcoin and then you have to send it to following Wallet Address:

bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q

After payment you have to contact us by following email address: GoNNaCrypt@protonmail.com

Your Public key: 47f057e3e88a928d1df06c44066ed996

Public key is required to identify your computer details.

Send a message contain your transaction link and the public key and wait for our response.

Notice:

After 48 hours of displaying this message, the price will be raised (doubled).

The next 48 hours you will lost all your files !

Do not shutdown or restart your system, until you didn't make the payment.

For proof of work you can send 2 files equal or less than 2 MB for us to recover and send back to you.

Some of your computer features is unavailable right now, don't try to use them =)

A regular bitcoin transaction can take a several hour for confirmation.

For more information and contact us feel free to send an email. GoNNaCrypt@protonmail.com

There is unequal amount of good and bad in most things, the trick is to figure out the ratio and act accordingly.

Best regards - #GoNNaCry

Перевод записки на русский язык:

Упс! Все ваши важные файлы зашифрованы.

Что случилось с моим компьютером?

Многие из ваших документов, фото, видео, базы данных и всех других файлов теперь не доступны потому что они зашифрованы надежным алгоритмом шифрования.

Возможно, вы ищете способ восстановить свои файлы, но не тратьте время зря, никто не сможет восстановить ваши файлы без нашей службы дешифрования.

Могу ли я восстановить свои файлы?

Конечно! мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы, но ваше время на исходе.

Оплата принимается только в биткойнах, для получения информации посетите https://en.wikipedia.org/wiki/Bitcoin.

Если вы не знаете, где купить биткойн, посетите https://en.wikipedia.org/wiki/Bitcoin.

Даже если вам понадобится помощь, не стесняйтесь обращаться к нам.

До и после оплаты?

Во-первых, убедитесь, что вы купили биткойн на сумму $400, а затем отправьте его на следующий адрес кошелька:

bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q

После оплаты вам надо связаться с нами по следующему email: GoNNaCrypt@protonmail.com

Ваш открытый ключ: 47f057e3e88a928d1df06c44066ed996

Открытый ключ нужен для идентификации данных вашего компьютера.

Отправьте сообщение, содержащее ссылку на транзакцию и открытый ключ, и ждите нашего ответа.

Уведомление:

После 48 часов отображения этого сообщения цена будет повышена (удвоена).

В следующие 48 часов вы потеряете все свои файлы!

Не выключайте и не перезапускайте систему, пока не произведете оплату.

Для подтверждения работы вы можете отправить 2 файла размером не более 2 МБ, чтобы мы восстановили их и отправили вам.

Некоторые функции вашего компьютера сейчас недоступны, не пытайтесь ими пользоваться =)

Для подтверждения обычной биткойн-транзакции может потребоваться несколько часов.

Для получения информации и свяжитесь с нами, отправьте email. GoNNaCrypt@protonmail.com

Обычно добра и зла неравное количество, уловка состоит в том, чтобы вычислить соотношение и действовать соответственно.

С уважением - #GoNNaCry

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GoNNaCry.html - название файла с требованием выкупа; 
Compil by raminhk.exe, Compile.exe, WindowsSecurityUpdate.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility32\Compil by raminhk

См. ниже результаты анализов. 

Мьютексы:
См. ниже результаты анализов. 

Сетевые подключения и связи:

Email: GoNNaCrypt@protonmail.com
BTC: bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: TG + TG + TG + TG

IOC: VT + VT + VT + VT
IOC: IA  + IA

MD5: 4ce7c1e483beb642f43715a47b96e32b

MD5: cae9a30235cd1be5aba8f2969ad82573

MD5: fb9eb8850ee963bc69583f0227803aef

MD5: 0063315a032fd1d3728c2f6e726a30d0

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 Intezer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Disco

Disco Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает видд, что шифрует данные пользователей, а затем требует выкуп в денежной сумме с подарочных карт Discord Nitro. Оригинальное название: в записке не указано. Использует Discord для вымогательства. На файле написано: DiscoRansomware.exe. Выдает себя за Discord Nitro Generator.  
---
Обнаружения:
DrWeb -> Trojan.Encoder.33916
BitDefender -> Gen:Heur.Ransom.MSIL.1, Trojan.GenericKD.36899063
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.csjvw
ESET-NOD32 -> MSIL/Filecoder.AIB
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DV!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Agent.Ljjp
TrendMicro -> Trojan.MSIL.ZYX.USMANE521, Trojan.MSIL.DISCO.THEADBA
---

© Генеалогия: Nitro Ransomware >> Disco Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random> или .<name_PC>

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает затемнённый экран блокировки: 

Содержание записки о выкупе:

Dear ***

All of your important documents, desktop, images & videos have been locked and encrypted. There is no other way to open it unless you have trhe decryption key. You have under 5 hours to give us Discord Nitro. If you fail to do so, all of your data will get lost forever.

How do I get the decryptoin key? But a Discord Nitro gift subscription and paste the gift link in the text box. After sumitting a vaild gift link, you should be able to see the decryption key. Copy the decryption key and click on decrpypt files. When decrypting, makesure Windows Defender / any anti-virus is off. If you don't turn it off, not all files will be able to decrypt correctly. Do not rename the files or try guessing the decryption key. If you do so your files may get corrupted.

Перевод записки на русский язык:

Дорогой ***

Все ваши важные документы, рабочий стол, изображения и видео заблокированы и зашифрованы. Нет другого способа открыть его, если у вас нет ключа дешифрования. У вас есть меньше 5 часов, чтобы передать нам Discord Nitro. Если вы этого не сделаете, все ваши данные будут потеряны навсегда.

Как мне получить ключ дешифрования? С подписки Discord Nitro вставьте ссылку в текстовое поле. После отправки действующей подарочной ссылки вы должны увидеть ключ дешифрования. Скопируйте ключ дешифрования и щелкните файлы. При расшифровке убедитесь, что Защитник Windows / любой антивирус выключен. Если вы не отключите его, не все файлы правильно расшифруются. Не переименовывайте файлы и не пытайтесь угадать ключ дешифрования. Иначе ваши файлы могут быть повреждены.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
DiscoRansomware.exe - название вредоносного файла;

DiscoRansomware.pdb - название файла проекта.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\source\repos\DiscoRansomware\DiscoRansomware\obj\Debug\DiscoRansomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a41528ac976373f58a96f3185c48ce61

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 25 мая 2021:

Сообщение >>

Файл проекта: C:\Users\User\source\repos\DiscoRansomware\DiscoRansomware\obj\Debug\Release.pdb

IOC: VT + IA: 0f2f3aa144c479200a65620100598829

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33916

BitDefenderGeneric.Malware.SDB.FAAD66A8

ESET-NOD32A Variant Of MSIL/Filecoder.AID

MicrosoftRansom:MSIL/Cryptolocker.DV!MTB

RisingRansom.Cryptolocker!8.4617 (CLOUD)

SymantecML.Attribute.HighConfidence

TrendMicroPossible_SMHPCRYPTOLOCKER

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, GrujaRS, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Homemade, Henry217

Homemade Ransomware

Aliases: Henry217, LGoGo

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем сообщает пароль 12345678, чтобы пострадавший мог расшифровать файлы. На файле написано: 自制勒索V2.0.exe. Оригинальное название: в записке не указано. В переводе слова 自制勒索 на ангийский: Homemade ("самодельный"). 

---
Обнаружения:
DrWeb -> Trojan.Encoder.33891, Trojan.Encoder.34019
BitDefender -> Trojan.GenericKD.46231706
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.qhspp
ESET-NOD32 -> MSIL/Filecoder.AIE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DS!MTB
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom_Cryptolocker.R06EC0DE621
---

© Генеалогия: предыдущие варианты >> Homemade, Henry217

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .henry217


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2021 г. Ориентирован на китайскоязычных пользователей, может распространяться по всему миру. 

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе:

勒索信

你好。你的所有文件都完蛋了。

加密密码:“12345678”

Перевод записки на английский язык:

Blackmail letter

Hello there. All your files are dead.

Encryption password: "12345678"

Перевод записки на русский язык:

Письмо с шантажом

Привет. Все твои файлы мертвы.

Пароль шифрования: "12345678"

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
自制勒索V2.0.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 944e9ab9ed997f96a302cba5527dce55

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 17 июня 2021:

Сообщение >>

Расширение: .hen_ry_217

Файл: SysdiagRelease.exe

Результаты анализов: IOC: VT, AR,  IA

MD5: 33b9a63922a14410d8333b2f29624f73

➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34048

BitDefender -> Trojan.GenericKD.37118489

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJC

Malwarebytes -> Malware.AI.996170931

TrendMicro -> Ransom_HencryCrypt.R002C0DFK21

Вариант от 24 июня 2021: 

Сообщение >>

Расширение: .uz

Файл: VID-20140907-WA0001.mp4.exe

Результаты анализов: VT + AR + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34077

ESET-NOD32Win32/Filecoder.OHP

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Michael Gillespie >>

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CryBaby

CryBaby Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп $500 в BTC, чтобы вернуть файлы, но битвоин-адрес фиктивный, оплата невозможна. Оригинальное название: CryBaby Ransomware. На файле написано: AAAFAKEVIRUSZZZ.exe. 
---
Обнаружения:
DrWeb -> Trojan.FakeEncoder.3
Avira (no cloud) -> JOKE/FakeFilecoder.ohxws
BitDefender -> Gen:Heur.Ransom.RTH.1

ESET-NOD32 -> MSIL/Hoax.FakeFilecoder.HG
Kaspersky -> HEUR:Hoax.MSIL.Agent.gen
Malwarebytes -> ***
Microsoft -> Trojan:MSIL/CryBabyCrypt.PA!MTB
Rising -> Trojan.CryBabyCrypt!8.127C8 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> TROJ_GEN.R03BH09DO21
---

© Генеалогия: ??? >> CryBaby

Изображение — логотип статьи

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы нормально открываются. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Запиской с требованием выкупа выступает экран блокировки: 

Содержание текста на экране:

Oh no!

You have been infected With CryBaby Ransomware

What does this mean?

Your personal files are enctypted and will be deleted in 2 hours unless you pay 500$ in bitcoin

If you pay in under 15 minutes your fee will be 250$

After payment your files will be unlocked and this ransomware will be deleted as well.

---

How do i pay?

Only supperted payment method is via Bitcoin

Transfer your money to this bitcoin wallet address: AhfwiK26hCmX

Перевод текста на русский язык:

О нет!

Вы заражены CryBaby Ransomware

Что это значит?

Ваши личные файлы зашифрованы и будут удалены через 2 часа, если вы не заплатите 500$ в биткойнах.

При оплате менее 15 минут плата составит 250$.

После оплаты ваши файлы будут разблокированы, и этот вымогатель будет удален.

---

Как я могу платить?

Только поддерживается оплата в биткойнах

Переведите деньги на этот адрес биткойн-кошелька: AhfwiK26hCmX

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
AAAFAKEVIRUSZZZ.exe - название вредоносного файла; 

AAAFAKEVIRUSZZZ.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\thor0\source\repos\AAAFAKEVIRUSZZZ\obj\Debug\AAAFAKEVIRUSZZZ.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: AhfwiK26hCmX - фиктивный
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.