Ducky

Ducky Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: DUCKY Virus. На файле написано: duckyX.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33968
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/HiddenTear.ywmab
BitDefender -> Gen:Variant.Ransom.Duck.1
ESET-NOD32 -> A Variant Of Generik.KISVRSB
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Trojan:MSIL/HiddenTear.B
Rising -> Trojan.DelShad!8.107D7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Delshad.Szlk
TrendMicro -> TROJ_GEN.R067C0DEG21
---

© Генеалогия: ✂️ HiddenTear >> Ducky

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ducky


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записки с требованием выкупа называются: 

RECOVER YOUR FILES.txt

RECOVER YOUR FILES.hta

Содержание txt-записки о выкупе:

All your files have been encrypted due to a security problem with your PC.

Write to us in telegram, we will help you: T.meWduckydecrypt

Write to the contacts, we will help you recover several files for persuasion: ballxball@protonmail.com

YOU HAVE ONLY 48 HOURS TO CONTACT US. WHEN THIS TIME ENDS THE PRICE WILL BE TWICE AS MUCH

YOUR ID: ********************

# ATTENTION !!!

DO NOT RENAME THE FILES.

Перевод txt- записки на русский язык:

Все ваши файлы  зашифрованы из-за проблем безопасности вашего ПК.

Пишите нам в Telegram, мы вам поможем: T.meWduckydecrypt

Пишите в контакты, поможем вернуть несколько файлов для убеждения: ballxball@protonmail.com

У ВАС ТОЛЬКО 48 ЧАСОВ НА СВЯЗЬ. КОГДА ЭТО ВРЕМЯ ЗАКОНЧИТСЯ, ЦЕНА БУДЕТ ВДВОЕ БОЛЬШЕ

ВАШ ID: ********************

# ВНИМАНИЕ !!!

НЕ ПЕРЕИМЕНОВАТЬ ФАЙЛЫ.

Содержание hta-записки о выкупе:

WHAT HAPPENED WITH MY COMPUTER?

All Files on your system has been encrypted with DUCKY Virus.

Nobody will be able to decrypt ANY of your files without our decryption service. Dont waste your tune.

---

CAN I RECOVER MY FILES?

Write to us. we will help you recover files for free:

ballxball@protonmail.com

or contact with us telegram: @ducky decrypt

---

Your personal key:

-BEGIN-

-END-

---

Any antivirus software can corrupt files, if you want save back your files, turn off antivirus, it can delete our application

Перевод hta-записки на русский язык:

ЧТО СЛУЧИЛОСЬ С МОИМ КОМПЬЮТЕРОМ?

Все файлы в вашей системе зашифрованы DUCKY Virus.

Никто не сможет расшифровать ЛЮБОЙ из ваших файлов без нашей службы дешифрования. Не трать время зря.

---

МОГУ Я ВОССТАНОВИТЬ ФАЙЛЫ?

Напишите нам. мы бесплатно поможем вернуть файлы:

ballxball@protonmail.com

или свяжитесь с нами в Telegram: @ducky decrypt

---

Ваш личный ключ:

-НАЧАЛО-

-КОНЕЦ

---

Любая антивирусная программа может повредить файлы, если вы хотите сохранить свои файлы, выключите антивирус, он может удалить наше приложение.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVER YOUR FILES.hta - название файла с требованием выкупа;

RECOVER YOUR FILES.txt - название файла с требованием выкупа;
duckyX.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ballxball@protonmail.com
Telegram: duckydecrypt / ducky decrypt

BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ce2ce909fa5c7b690e4f9088ec15bbe7

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Ghostbin

Ghostbin Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $100 в BTC, чтобы вернуть файлы. Оригинальное название: Ghostbin. На файле написано: erawosnar.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32291
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.mdqet
BitDefender -> Gen:Variant.Ursu.804351
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YH
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FT.A!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Hoz
TrendMicro -> Ransom_Encoder.R002C0PEG21
---

© Генеалогия: ??? >> Ghostbin

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sick


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HELP.txt

Содержание записки о выкупе:
For further instructions visit: xxxxs://ghlostbin.com/paste/yuLbZ

Перевод записки на русский язык:
Для инструкций посетите: xxxxs://ghlostbin.com/paste/yuLbZ

Скриншот страницы сайта

Скриншот кода страницы сайта

Содержание текста на сайте:

Ghostbin

YOUR SYSTEM IS NOT SAFE

In some seconds the process of enrcrypting all your data with one of the highest grade encryption standards due to a hole in your network security is finished

THE GOOD NEWS  

Your data can be fully restored by using a PRIVATE KEY  which is stored on our secure server. 

THE BAD NEWS

After 24 hours this key gets automatically deleted and your data is lost. 

The only reason why we implemented the automatic destroying of the private key is to increase the pressure on our victims to pay on time. 

If your data is useless to you we apologize for the time the re-setup will take.

In both cases you will never get attacked by our group again. We are criminals but with sense of decency

We are neither interested in your data nor in you as a person.

Our only Goal is MONEY!

HOW TO RESTORE YOUR FILES

Transfer USD 100.- in Bitcoin currency to the following address: 

bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j

+As Transaction -subject /-description /-note  fill in your E-mail address where you want the private key to be sent to.

Good Buy! 

© Copyright 2020

Содержание текста на русский язык: 

Ghostbin

ВАША СИСТЕМА НЕБЕЗОПАСНА

Через несколько секунд процесс шифрования всех ваших данных с использованием одного из самых высоких стандартов шифрования из-за бреши в вашей сетевой безопасности будет завершен.

ХОРОШИЕ НОВОСТИ

Ваши данные могут быть полностью восстановлены с помощью ЧАСТНОГО КЛЮЧА, который хранится на нашем защищенном сервере.

ПЛОХИЕ НОВОСТИ

Через 24 часа этот ключ автоматически удаляется, и ваши данные теряются.

Единственная причина, по которой мы внедрили автоматическое уничтожение закрытого ключа, - это усилить давление на наших жертв, чтобы они вовремя платили.

Если ваши данные бесполезны для вас, мы приносим свои извинения за время, необходимое для повторной настройки.

В обоих случаях наша группа больше никогда не нападет на вас. Мы преступники, но с чувством приличия

Нас не интересуют ни ваши данные, ни вы как личность.

Наша единственная цель - ДЕНЬГИ!

КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ

Переведите 100 долларов США в валюте Биткойн на следующий адрес:

bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j

+ В поле Transaction -subject / -description / -note введите свой адрес электронной почты, на который вы хотите отправить закрытый ключ.

До свидания!

© Copyright 2020

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP.txt - название файла с требованием выкупа;
erawosnar.exe - случайное название вредоносного файла.

Скриншот экрана с сообщением при открытии зашифрованного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи: 
Email: - 
BTC: bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j
URL: hxxxs://ghostbin.com

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, JSB, MB

MD5: 08c1b410a3c20bcc4cd1ee2906c240af

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Matryoshka

Matryoshka Ransomware

Матрёшка Рансомваре

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $75 в криптовалюте XMR (Monero), чтобы вернуть файлы. Оригинальное название: Matryoshka Ransomware и Матрёшка Рансомваре (указано в записке). На файле написано: NitroSnypa.exe. 

---
Обнаружения:
DrWeb -> Trojan.EncoderNET.18
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tiwaq
ESET-NOD32 -> A Variant Of MSIL/Filecoder.IX
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> MachineLearning/Anomalous.96%
Microsoft -> Ransom:MacOS/Filecoder
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WEG21
---

© Генеалогия: ✂️ HiddenTear >> Matryoshka

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .matryoshka


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину мая 2021 г. Ориентирован на англоязычных и русскоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки, в котором используются два языка, английский и русский: 

Содержание записки о выкупе на английском языке:

Ooops!!!

You have been infected by Matryoshka Ransomware.

Read all instructions carefully to recover files.

What is Matryoshka Ransomware?

Ransomware is a computer program that encrypts files with military grade cryptography algorithms. This means you cannot decrypt it alone, you need creators of such virus to decrypt for you.

Matryoshka has infected you and your files are now encrypted. Good news! We can decrypt for you. That, however, comes with small price: $75 (seventy five US dollars). Very cheap, yes? Other ransomwares charge up to $1000, we are being generous!

You are advised to pay the fee within 20 days of infection (as seen on left of window). If demand is not met, all encrypted files are deleted FOREVER.

Things you must know

Only Matryoshka Team (Йосеф and Алик) can decrypt your files. Any attempt you do is futile. If you delete this program, you never recover files!!! Uninstall or stop your antivirus or it may remove Matryoshka and, by consequence, your files. Immediately.

How to pay

You pay the fee using cryptocurrency. No worries, it is easy! We only accept Monero for payment because is very private and your information is not leaked. You can buy Monero on sites online, like Binance.

To buy cryptocurrency Monero (XMR), you need wallet. When buying Monero from Binance for example it will create the wallet for you. The wallet is how we identify your computer and unlock your files.

Go on Google to learn more of how to buy XMR (Monero).

YOU MUST SEND PAYMENT TO THE WALLET BELOW:

47NVMZew49WYxzHGQUJZARRXu38ydxCyj4iXPn69jL 5xXvitL8wyq7yVpYcfNxs6M5ckDdpJdpMbP7buEqtNs1FE15wmby4

How are files unlocked

When you send payment, it takes a little time (around 30 minutes) to the Blockchain to register it. You will then need to insert your wallet (is 95 characters long) in this program on the payment field below, and press "CONFIRM". But be careful, if you specify wrong wallet, it will be bad and you will not be able to recover your files! We have program running to check payments, when you confirm that you have sent it our server receives information and will wait to see if payment is received.

Encryption keys are stored in our server, you do not have access. When payment is confirmed, the program gets the key and performs decryption unlocking your precious files.

This program asks the server if payment is received every 10 minutes. If yes, then files are recovered, decrypted, everything is fixed and this program is gone. If you have any problem, email us at matryoshka.iosef@airmail.cc and we provide support. Only email if problem is with payment confirmation delay!

Содержание записки о выкупе на русском языке:

Ой!!!

Вы были заражены программой Матрёшка Рансомваре.

Внимательно прочитайте все инструкции, чтобы восстановить файлы.

Что такое Матрёшка Рансомваре?

Рансомваре - это компьютерная программа, которая шифрует файлы с помощью криптографических алгоритмов военного класса. Это означает, что мы должны расшифровать их для вас.

Матрёшка заразила вас, и теперь ваши файлы зашифрованы. Хорошие новости! Мы можем расшифровать их для вас. Однако за это придется заплатить небольшую цену: $75 (семьдесят пять долларов США). Очень дешево, да? Другие выкупные программы берут до 1000 долларов, мы же проявляем щедрость!

Вам рекомендуется внести плату в течение 20 дней после заражения (как показано в левой части окна). Если требование не будет выполнено, все ваши зашифрованные файлы будут удалены НАВСЕГДА.

Вещи которые вы должны знать

Только команда Матрёшка Группа (Йосеф и Алик) может расшифровать ваши файлы. Если вы удалите эту программу, вы никогда не сможете восстановить свои файлы! Удалите или остановите работу вашего антивируса, иначе он может удалить Матрешку и, как следствие, ваши файлы.

Как оплатить

Вы оплачиваете услугу с помощью криптовалюты. Не беспокойтесь, это просто! Мы принимаем только Monero в качестве способа оплаты, потому что это безопасно и ваша информация не будет передана. Вы можете купить Monero на сайтах в Интернете, таких как Binance.

Чтобы купить криптовалюту Monero (XMR), вам нужен кошелек. При покупке Monero на Binance, например, он создаст для вас кошелек. Кошелек - это то, как мы идентифицируем ваш компьютер и разблокируем ваши файлы.

Поищите в Google, чтобы узнать больше о том, как купить XMR (Monero).

ВЫ ДОЛЖНЫ ОТПРАВИТЬ ОПЛАТУ НА УКАЗАННЫЙ НИЖЕ КОШЕЛЕК:

47NVMZew49WYxzHGQUJZARRXu38ydxCyj4iXPn69jL 5xXvitL8wyq7yVpYcfNxs6M5ckDdpJdpMbP7buEqtNs1FE15wmby4

Как разблокируются файлы

Когда вы отправите платеж, блокчейну потребуется около 30 минут, чтобы зарегистрировать его. Затем вам нужно будет вставить свой кошелек (он состоит из 95 символов) в этой программе в поле платежа внизу и нажать кнопку подтверждения. Но будьте осторожны, если вы укажете неправильный кошелек, вы не сможете восстановить свои файлы! На нашем сервере запущена программа для проверки платежей, когда вы подтверждаете отправку, наш сервер получает информацию и будет ждать поступления платежа.

Ключи шифрования хранятся на нашем сервере, у вас нет к ним доступа. Когда платеж подтвержден, программа получает ключ с сервера и выполняет дешифровку, разблокируя ваши драгоценные файлы.

Программа запрашивает сервер, получен ли платеж, каждые 10 минут. Если да, то ваши файлы восстановлены, расшифрованы, все исправлено и эта программа исчезла. Если у вас возникли проблемы, напишите нам по адресу matryoshka.iosef@airmail.cc, и мы окажем поддержку. Пишите нам только в том случае, если проблема связана с задержкой подтверждения платежа!

---
Видимо те, кто писал текст на английском языке не являются его носителями, т.к. пропускают английские артикли. Они более старательно хотят показать, что являются носителями русского языка: в русском тексте почти нет ошибок, но часть слов и словосочетаний написаны несколько иначе, чем используются в повседневной русской речи. Больше ляпов видно на экране с матрёшкой. Более того, что имена Йосеф и Алик, указанные в тексте, никогда не были русскими. 
---

Полноэкранные скриншоты, на которых виден значок программы. Он один и тот же в обоих случая: сначала у Nitro Snypa v5.32 beta, потом у Matryoshka. 

Как можно увидеть, экрану программы-вымогателя предшествует диалоговое окно с сообщением и названием Nitro Snypa v5.32 beta, в котором нужно нажать кнопку "OK". Только потом повляется окно программы вымогателя. Это напоминает ранее известную схему "матрёшка", где из одной программы выпрыгает другая. 

Кроме того программа Nitro Snypa отслеживает коды Discord Nitro, отсюда названия: Discord Nitro Sniper и Nitro Snypa.

Текст, который не отражен в основном окне:

Welcome to Nitro Snypa.

The application has been attached to Discord and is now running in the background looking for Nitro codes.

You will be informed if any valid code is found as it is instantly claimed.

Nitro Snypa v5.32 beta

Перевод на русский язык:

Добро пожаловать в Nitro Snypa.

Приложение привязано к Discord и в фоновом режиме ищет коды Nitro.

Вы узнаете, если будет найден и сразу востребован валидный код.

Nitro Snypa v5.32 бета

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bak, .bmp, .cfg, .cgi, .class, .conf, .config, .cpp, .csv, .cxx, .dat, .doc, .docx, .flv, .gif, .hpp, .htm, .html, .java, .jpeg, .jpg, .jsp, .log, .m4a, .mdb, .mid, .midi, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .ogg, .pdf, .php, .png, .pps, .ppt, .pptx, .psd, .rar, .rtf, .sav, .sql, .svg, .tif, .tiff, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (60 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
NitroSnypa.exe - название вредоносного файла;

NitroSnypa.pdb - название файла проекта в комплекте; 

MatryoshkaKillswitch.txt - специальный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\MatryoshkaKillswitch.txt

C:\Users\lucas\Desktop\Matryoshka\MatryoshkaWorker\Matryoshka\obj\Release\net40\NitroSnypa.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: matryoshka.iosef@airmail.cc
XMR (Monero): 47NVMZew49WYxzHGQUJZARRXu38ydxCyj4iXPn69jL5xXvitL8wyq7yVpYcfNxs6M5ckDdpJdpMbP7buEqtNs1FE15wmby4
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 61fccc142e2bbf498885bb6e42bae62c

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Tomas Meskauskas 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Venus

Venus Ransomware

Aliases: Gooodgamer, Goodgame

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Venus (в записке не указано). На файле написано: venus.exe или program.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33303
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Crypt.XPACK.Gen
BitDefender -> Trojan.GenericKD.46295423
ESET-NOD32 -> A Variant Of Win32/Filecoder.OBQ
Kaspersky -> Trojan-Dropper.Win32.Daws.ezod
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/FileCoder.MAK!MTB
Rising -> Ransom.FileCoder!8.55A8 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.VENUS.A
---

© Генеалогия: ✂️ Zeoticus + другой код >> Venus 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .venus


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

All your files has been encrypted 

 To take info, write ro email getdecrypt@disroot.org or and put this key:

X1mZl/8lMVDkCeiAgg7tL4PE+42P/ayHxDMT+kW96XZEI33lb+0/xYUdSYaFyHrA*** 

[totally 740 characters]

Перевод записки на русский язык:

Все ваши файлы зашифрованы

  для информации напишите на email getdecrypt@disroot.org или положите этот ключ:

X1mZl/8lMVDkCeiAgg7tL4PE+42P/ayHxDMT+kW96XZEI33lb+0/xYUdSYaFyHrA*** 

[всего 740 знаков]

Дополнительным информатором жертвы является изображение, заменяющее обои Рабочего стола. 

Сожержание текста:

All your files has been encrypted

write ro email getdecrypt@disroot.org or

README file

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командой:

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

➤ Звершает работу процессов, мешающих шифрованию файлов, командой: 

taskkill  /F /IM msftesql.exe /IM sqlagent.exe /IM sqlbrowser.exe /IM sqlservr.exe /IM sqlwriter.exe /IM oracle.exe /IM ocssd.exe /IM dbsnmp.exe /IM synctime.exe /IM mydesktopqos.exe /IM agntsvc.exe /IM isqlplussvc.exe /IM xfssvccon.exe /IM mydesktopservice.exe /IM ocautoupds.exe /IM agntsvc.exe /IM agntsvc.exe /IM agntsvc.exe /IM encsvc.exe /IM firefoxconfig.exe /IM tbirdconfig.exe /IM ocomm.exe /IM mysqld.exe /IM mysqld-nt.exe /IM mysqld-opt.exe /IM dbeng50.exe /IM sqbcoreservice.exe /IM excel.exe /IM infopath.exe /IM msaccess.exe /IM mspub.exe /IM onenote.exe /IM outlook.exe /IM powerpnt.exe  /IM sqlservr.exe  /IM thebat64.exe /IM thunderbird.exe  /IM winword.exe /IM wordpad.exe

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 README.txt - название файла с требованием выкупа;
venus.exe или program.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getdecrypt@disroot.org
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9aa3cc9d7c641ea22cfa3e5233e13c94

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 19 февраля - 9 марта 2022: 

Сообщение >>

Самоназвание: gooodgamer

Расширение на зашифрованных файлах: .Ywkfistef

Расширение на обнулённых файлах: .goodgame

Записка: README.txt

Файл: bild.exe

Результаты анализов: VT + IA + AR

 

 

 

Вариант от 12 июня 2022 или раньше:

Сообщение на форуме >>

Мое сообщение >>

Расширение: .anigma

Записка: README.txt

Email: anigma@tutanota.de, anigma@cock.li

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Venus)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.