FindNoteFile

FindNoteFile Ransomware

"RedDot Presents" Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. 
---
Обнаружения на файл share.exe:
DrWeb -> Trojan.PackedNET.764
BitDefender -> Trojan.GenericKD.36945718
Kaspersky -> HEUR:Trojan-Downloader.MSIL.Bitser.gen
Malwarebytes -> Malware.AI.4256726248
Microsoft -> Trojan:Win32/AgentTesla!ml
TrendMicro -> TROJ_GEN.R002C0WEP21
---

© Генеалогия: ??? >> FindNoteFile

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .findnotefile


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была во второй половине мая - в начале июня 2021. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW_TO_RECOVER_MY_FILES.txt
В тексте довольно много ошибок. 

Содержание записки о выкупе:

All data in your machine turned to useless binary code.

Your databases and importanant files have been downloaded and will be published after 12 days if not paid.

To return files and prevent publishing email us at: emiliantor@mailfence.com, emilianazizi@tutanota.com (send copy to both).

Tips:

*No one else can help you , don't waste your business time.

*You ask for proff that we have your data , and you can see our old targer that their data have been published.

*If not paid after 12 days Google your company name and you will see your private and custorres data in there, happy will legal and bussiness challenges of data leak after.

*For decryption anyone/any company offerin help will get extra fee(some times even more than ours!)added to ours or simplly will scam you (dont pay us after getting test file, lie and scam you)

so if you wan a intermediary chose a trusted one to avoid scams , and get your data.

*For decryption you send a few sample files for test before any payment.

We won't be available for long.

Dont play with encrypted files that will corrupt them and make unrecoverable.

Use google translate (if you don't know english)

Key ID: 

fmjfegE9pHrsDgzX2***859Ua7JQ= [total 172 characters]

Перевод записки на русский язык:

Все данные на вашем компьютере превратились в бесполезный двоичный код.

Ваши базы данных и важные файлы были загружены и будут опубликованы через 12 дней, если не будет оплаты.

Чтобы вернуть файлы и предотвратить публикацию, напишите нам по адресу: emiliantor@mailfence.com, emilianazizi@tutanota.com (отправьте копию обоим).

Советы:

* Никто не может вам помочь, не тратьте зря свое бизнес-время.

* Запросите подтверждение того, что у нас есть ваши данные, и вы можете видеть нашу старую цель, чьи данные были опубликованы.

* Если не заплатили через 12 дней погуглите, укажите название вашей компании, и вы увидите там свои личные и клиентские данные, после чего вы сможете решить юридические и бизнес-проблемы, связанные с утечкой данных.

* За расшифровку любая компания, предлагающая помощь, получит дополнительную плату (иногда даже больше, чем наша!), добавит к нашей, или просто обманет вас (не платите после получения тестового файла, солгут и обманут вас)

Поэтому, если вы хотите, чтобы посредник был доверенным, чтобы избежать мошенничества и получить свои данные.

* Для расшифровки вы отправляете несколько образцов файлов для теста перед любой оплатой.

Мы будем доступны недолго.

Не играйте с зашифрованными файлами, которые могут повредиться и сделаться невовосстановимыми.

Используйте переводчик Google (если не знаете английский)

ID ключа: 

fmjfegE9pHrsDgzX2***859Ua7JQ= [всего 172 знака]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Пострадавшие заметили, что после атаки в системе появилась программа TightVNC, предназначенная для удаленного управления компьютерами. 

➤ Отключает работу утилиты Raccine.exe, если она используется. 

➤ Удаляет бекапы и виртуальные диски

"C:\Windows\System32\cmd.exe" del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk

➤ Использует PowerShell для выполения вредоносных действий. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVER_MY_FILES.txt - название файла с требованием выкупа;
share.exe (mx2cfehm.dll) - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\share.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: emiliantor@mailfence.com, emilianazizi@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Ошибки запуска во время иссследования на платфоре Triage.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 108d4532a263fca754b85d942bd55451

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2 июня 2021:

Сообщение >>

Расширение: .reddot

Email: RedDot@ctemplar.com

➤ Содержание записки: 

RedDot Presents

ALL YOUR FILES ARE ENCRYPTED!

All your files have been encrypted due to a security problem with your PC. 

If you want to restore them, write us to the Email RedDot@ctemplar.com

To prove that we can decrypt files, we can decrypt one file for free, 

it should be no more than 3 MB and should not contain important information.

The price depends on how fast you write to us. 

Write this ID in your message:

Key ID: 

0/KJ9aBMsFYN04GrNwMxFaQ/9G***Gwgt7U= [total 172 characters]

Результат анализа на файл загрузчика dasdasd.js: VT + AR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34000

BitDefender -> Trojan.GenericKD.46407900

Kaspersky -> HEUR:Trojan.Script.SAgent.gen

Microsoft -> TrojanDownloader:Win32/Nemucod!ml

Symantec -> ISB.Downloader!gen258

TrendMicro -> HEUR_JS.O.ELBP

Вариант от 4 июня 2021: 

Пост на форуме >>

Расширение: .findthenotefile

Записка: HOW_TO_RECOVER_MY_FILES.txt

Email: schweeps@ctemplar.com

➤ Содержание записки: 

RedDot Presents

ALL YOUR FILES ARE ENCRYPTED!

All your files have been encrypted due to a security problem with your PC. 

If you want to restore them, write us to the Email schweeps@ctemplar.com

To prove that we can decrypt files, we can decrypt one file for free, 

it should be no more than 3 MB and should not contain important information.

The price depends on how fast you write to us. 

Write this ID in your message:

Key ID: 

YXSlhU3N1vkb6r6/IsaT43wzz0***qiCEvs= [total 172 characters]

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as FindNoteFile)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 Jirehlov Solace, Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DecryptmyfilesTop

DecryptmyfilesTop Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33962

BitDefender -> Generic.Ransom.DCRTR.75179DF7
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHA
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Paradise.BC!MTB, Ransom:Win32/Higuniel.A
Rising -> Ransom.Agent!1.D615 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11c03721
TrendMicro -> Ransom.Win32.DCRTR.USMANEI21, Ransom_Higuniel.R002C0DLH20
---

© Генеалогия: ✂ Dharma, ✂ DCRTR-WDM >> DecryptmyfilesTop

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине - конце мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .[decryptmyfiles.top].<ID>

Фактически используется составное расширение по шаблону: 

.[decryptmyfiles.top].XXXXXXXX

Записки с требованием выкупа называются: FILES ENCRYPTED.txt и info.hta

Содержание записки о выкупе:

Attention! 

All your files, documents, photos, databases and other important files are encrypted and have the extension: .4E284***

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.

The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/ 

| 1. Install Tor browser 

| 2. Open Tor Browser 

| 3. Open link in TOR browser: 7puh3g2lpzut32wetfpohiireazmhoyrkllqescem2jd567rdur2ojyd.onion/contact/4E284***

| 4. Follow the instructions on this page 

----------------------------------------------------------------------------------------   

If your country have blocked the TOR network.You can get there by the following ways:

----------------------------------------------------------------------------------------

| 1. Open link in any browser:  decryptmyfiles.top/contact/4E284***

| 2. Follow the instructions on this page 

---------------------------------------------------------------------------------------- 

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 

ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES

* DO NOT CHANGE DATA BELOW

---BEGIN KEY---

a11dCl9SXA5fX*** всего 46 знаков

---END KEY---

Перевод записки на русский язык:

Внимание!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .4E284***.

Единственный способ вернуть файлы — приобрести уникальный закрытый ключ. Только мы можем дать вам этот ключ и только мы можем восстановить ваши файлы.

Сервер с вашим ключом находится в закрытой сети TOR. Добраться можно следующими способами:

-------------------------------------------------- --------------------------------------

| 0. Скачайте браузер Tor - https://www.torproject.org/

| 1. Установите браузер Тор

| 2. Откройте браузер Tor

| 3. Откройте ссылку в браузере TOR: 7puh3g2lpzut32wetfpohiireazmhoyrkllqescem2jd567rdur2ojyd.onion/contact/4E284***

| 4. Следуйте инструкциям на этой странице.

-------------------------------------------------- --------------------------------------

Если в вашей стране заблокирована сеть TOR. Вы можете попасть туда следующими способами:

-------------------------------------------------- --------------------------------------

| 1. Откройте ссылку в любом браузере: decryptmyfiles.top/contact/4E284***

| 2. Следуйте инструкциям на этой странице.

-------------------------------------------------- --------------------------------------

На нашей странице вы увидите инструкции по оплате и сможете бесплатно расшифровать 1 файл.

ВНИМАНИЕ!

ВО ИЗБЕЖАНИЕ ПОВРЕЖДЕНИЯ ДАННЫХ:

* НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ

* НЕ ИЗМЕНЯЙТЕ ДАННЫЕ НИЖЕ

***

Содержание записки о выкупе:

All your files have been encrypted!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .4E2840E1

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.

Free decryption as guarantee

Before paying you can decrypt 1 file for free on our site. The size of file must be less than 2Mb (non archived), and the file should not contain valuable information. (databases,backups, large excel sheets, etc.) 

The server with your key is in a closed network Tor. You can get there by the following ways:

Download Tor browser - https://www.torproject.org/ 

Install Tor browser 

Open link in Tor browser: hxxx://7puh3g2lpzut32wetfpohiireazmhoyrkllqescem2jd567rdur2ojyd.onion/contact/4E284***

Follow the instructions on this page 

If your country have blocked the Tor network.You can get there by the following ways:

Open link in any browser: hxxx://decryptmyfiles.top/contact/4E284*** 

Follow the instructions on this page 

Attention!

Do not rename encrypted files. 

Do not try to decrypt your data using third party software, it may cause permanent data loss. 

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Перевод записки на русский язык:

Все ваши файлы были зашифрованы!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .4E284***.

Единственный способ вернуть файлы — приобрести уникальный закрытый ключ. Только мы можем дать вам этот ключ и только мы можем вернуть ваши файлы.

Бесплатная расшифровка как гарантия

Перед оплатой вы можете бесплатно расшифровать 1 файл на нашем сайте. Размер файла должен быть менее 2 Мб (не в архиве), файл не должен содержать ценной информации. (базы данных, резервные копии, большие листы Excel и т. д.)

Сервер с вашим ключом находится в закрытой сети Tor. Добраться можно следующими способами:

Скачать браузер Tor - https://www.torproject.org/

Установить Тор браузер

Открыть ссылку в браузере Tor: hxxx://7puh3g2lpzut32wetfpohiireazmhoyrkllqescem2jd567rdur2ojyd.onion/contact/4E2840E1

Следуйте инструкциям на этой странице

Если в вашей стране заблокирована сеть Tor. Вы можете попасть туда следующими способами:

Откройте ссылку в любом браузере: hxxx://decryptmyfiles.top/contact/4E284***

Следуйте инструкциям на этой странице

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Удаляет теневые копии и пути восстановления. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FILES ENCRYPTED.txt - название файла с требованием выкупа;
info.hta - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\info.hta

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://decryptmyfiles.top

Tor-URL: hxxx://7puh3g2lpzut32wetfpohiireazmhoyrkllqescem2jd567rdur2ojyd.onion/contact/E68C8DE6

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0e61e496fc218c1c6dc1f5640a3ac7e5

SHA-1: aae1b11aa9f2b0a2e32577db8026b843dc16a79d

SHA-256: a0070951284e17ec843b498d0a11f4a2ebb8ce64c9f27faf7af96124fd691b1e

Vhash: 025056656d55556058z5ehz33z11z81z17z

Imphash: eefb60713a1c06a2bb2312e7c8122a8a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Ducky

Ducky Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: DUCKY Virus. На файле написано: duckyX.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33968
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/HiddenTear.ywmab
BitDefender -> Gen:Variant.Ransom.Duck.1
ESET-NOD32 -> A Variant Of Generik.KISVRSB
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Trojan:MSIL/HiddenTear.B
Rising -> Trojan.DelShad!8.107D7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Delshad.Szlk
TrendMicro -> TROJ_GEN.R067C0DEG21
---

© Генеалогия: ✂️ HiddenTear >> Ducky

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ducky


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записки с требованием выкупа называются: 

RECOVER YOUR FILES.txt

RECOVER YOUR FILES.hta

Содержание txt-записки о выкупе:

All your files have been encrypted due to a security problem with your PC.

Write to us in telegram, we will help you: T.meWduckydecrypt

Write to the contacts, we will help you recover several files for persuasion: ballxball@protonmail.com

YOU HAVE ONLY 48 HOURS TO CONTACT US. WHEN THIS TIME ENDS THE PRICE WILL BE TWICE AS MUCH

YOUR ID: ********************

# ATTENTION !!!

DO NOT RENAME THE FILES.

Перевод txt- записки на русский язык:

Все ваши файлы  зашифрованы из-за проблем безопасности вашего ПК.

Пишите нам в Telegram, мы вам поможем: T.meWduckydecrypt

Пишите в контакты, поможем вернуть несколько файлов для убеждения: ballxball@protonmail.com

У ВАС ТОЛЬКО 48 ЧАСОВ НА СВЯЗЬ. КОГДА ЭТО ВРЕМЯ ЗАКОНЧИТСЯ, ЦЕНА БУДЕТ ВДВОЕ БОЛЬШЕ

ВАШ ID: ********************

# ВНИМАНИЕ !!!

НЕ ПЕРЕИМЕНОВАТЬ ФАЙЛЫ.

Содержание hta-записки о выкупе:

WHAT HAPPENED WITH MY COMPUTER?

All Files on your system has been encrypted with DUCKY Virus.

Nobody will be able to decrypt ANY of your files without our decryption service. Dont waste your tune.

---

CAN I RECOVER MY FILES?

Write to us. we will help you recover files for free:

ballxball@protonmail.com

or contact with us telegram: @ducky decrypt

---

Your personal key:

-BEGIN-

-END-

---

Any antivirus software can corrupt files, if you want save back your files, turn off antivirus, it can delete our application

Перевод hta-записки на русский язык:

ЧТО СЛУЧИЛОСЬ С МОИМ КОМПЬЮТЕРОМ?

Все файлы в вашей системе зашифрованы DUCKY Virus.

Никто не сможет расшифровать ЛЮБОЙ из ваших файлов без нашей службы дешифрования. Не трать время зря.

---

МОГУ Я ВОССТАНОВИТЬ ФАЙЛЫ?

Напишите нам. мы бесплатно поможем вернуть файлы:

ballxball@protonmail.com

или свяжитесь с нами в Telegram: @ducky decrypt

---

Ваш личный ключ:

-НАЧАЛО-

-КОНЕЦ

---

Любая антивирусная программа может повредить файлы, если вы хотите сохранить свои файлы, выключите антивирус, он может удалить наше приложение.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVER YOUR FILES.hta - название файла с требованием выкупа;

RECOVER YOUR FILES.txt - название файла с требованием выкупа;
duckyX.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ballxball@protonmail.com
Telegram: duckydecrypt / ducky decrypt

BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ce2ce909fa5c7b690e4f9088ec15bbe7

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Ghostbin

Ghostbin Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $100 в BTC, чтобы вернуть файлы. Оригинальное название: Ghostbin. На файле написано: erawosnar.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32291
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.mdqet
BitDefender -> Gen:Variant.Ursu.804351
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YH
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FT.A!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Hoz
TrendMicro -> Ransom_Encoder.R002C0PEG21
---

© Генеалогия: ??? >> Ghostbin

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sick


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HELP.txt

Содержание записки о выкупе:
For further instructions visit: xxxxs://ghlostbin.com/paste/yuLbZ

Перевод записки на русский язык:
Для инструкций посетите: xxxxs://ghlostbin.com/paste/yuLbZ

Скриншот страницы сайта

Скриншот кода страницы сайта

Содержание текста на сайте:

Ghostbin

YOUR SYSTEM IS NOT SAFE

In some seconds the process of enrcrypting all your data with one of the highest grade encryption standards due to a hole in your network security is finished

THE GOOD NEWS  

Your data can be fully restored by using a PRIVATE KEY  which is stored on our secure server. 

THE BAD NEWS

After 24 hours this key gets automatically deleted and your data is lost. 

The only reason why we implemented the automatic destroying of the private key is to increase the pressure on our victims to pay on time. 

If your data is useless to you we apologize for the time the re-setup will take.

In both cases you will never get attacked by our group again. We are criminals but with sense of decency

We are neither interested in your data nor in you as a person.

Our only Goal is MONEY!

HOW TO RESTORE YOUR FILES

Transfer USD 100.- in Bitcoin currency to the following address: 

bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j

+As Transaction -subject /-description /-note  fill in your E-mail address where you want the private key to be sent to.

Good Buy! 

© Copyright 2020

Содержание текста на русский язык: 

Ghostbin

ВАША СИСТЕМА НЕБЕЗОПАСНА

Через несколько секунд процесс шифрования всех ваших данных с использованием одного из самых высоких стандартов шифрования из-за бреши в вашей сетевой безопасности будет завершен.

ХОРОШИЕ НОВОСТИ

Ваши данные могут быть полностью восстановлены с помощью ЧАСТНОГО КЛЮЧА, который хранится на нашем защищенном сервере.

ПЛОХИЕ НОВОСТИ

Через 24 часа этот ключ автоматически удаляется, и ваши данные теряются.

Единственная причина, по которой мы внедрили автоматическое уничтожение закрытого ключа, - это усилить давление на наших жертв, чтобы они вовремя платили.

Если ваши данные бесполезны для вас, мы приносим свои извинения за время, необходимое для повторной настройки.

В обоих случаях наша группа больше никогда не нападет на вас. Мы преступники, но с чувством приличия

Нас не интересуют ни ваши данные, ни вы как личность.

Наша единственная цель - ДЕНЬГИ!

КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ

Переведите 100 долларов США в валюте Биткойн на следующий адрес:

bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j

+ В поле Transaction -subject / -description / -note введите свой адрес электронной почты, на который вы хотите отправить закрытый ключ.

До свидания!

© Copyright 2020

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP.txt - название файла с требованием выкупа;
erawosnar.exe - случайное название вредоносного файла.

Скриншот экрана с сообщением при открытии зашифрованного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи: 
Email: - 
BTC: bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j
URL: hxxxs://ghostbin.com

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, JSB, MB

MD5: 08c1b410a3c20bcc4cd1ee2906c240af

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.