ChupaCabra

ChupaCabra Ransomware

Aliases: Anubis-2021, IndustriaHost

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.003 - 0.02 BTC, чтобы вернуть файлы. Оригинальное название: ChupaCabra. На файле написано: svhost.exe.

---
Обнаружения:
DrWeb -> Trojan.EncoderNET.22
Avira (no cloud) -> TR/CrypMod.udrkf
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Generik.GUBXNDS
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmod.gen
Malwarebytes -> Trojan.MalPack.Generic
Microsoft -> Trojan:Win32/Ymacco.AB21, Ransom:MSIL/ChupaCabra.MK!MTB
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Crypmod.Hufk
TrendMicro -> Ransom_Crypmod.R002C0OFB21, Ransom_ChupaCabra.R002C0DFD21
---

© Генеалогия: ✂ HiddenTear + Anubis (2016)? >> ChupaCabra, Anubis-2021

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале - серединеиюня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .ChupaCabra

Записка с требованием выкупа называется: HowToDecrypt.txt
Она дублируется всплывающим сообщением. 

Содержание записки о выкупе:

IMPORTANT INFORMATION!!!!

All your files are encrypted with ChupaCabra: v.2.0 Reload

To Decrypt:

 - Send 0.00364383 BTC to: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q

 - Contact me Telegram: @C_h_u_p_a_K_a_b_r_a

Перевод записки на русский язык:

ВАЖНАЯ ИНФОРМАЦИЯ!!!!

Все ваши файлы зашифрованы с помощью ChupaCabra: v.2.0 Reload

Чтобы расшифровать:

  - Отправить 0.00364383 BTC на адрес: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q

  - Свяжитесь со мной в Telegram: @C_h_u_p_a_K_a_b_r_a

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Содержит майнер XMRig для майнинга криптовалюты Monero.

Файлы, связанные с этим Ransomware:
HowToDecrypt.txt - название файла с требованием выкупа;
svhost.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Administrator\Videos\AnubisNew(1)\obj\Debug\svhost.pdb

C:\Users\Administrator\Videos\AnubisNew(1)\obj\Debug\svhost.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: - 
Telegram: @C_h_u_p_a_K_a_b_r_a

BTC: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, 

MD5: 07f482fdc70a699d02495c8b4dc1ee63

SHA-1: 8c536b4c8a9a810635daa506c67f70180b048c83

SHA-256: 213d6a4c5a5c0045550fa2b822434c51dfd1b6f573c1d1bf22d9eda4f7ab2259

Vhash: 22503655151b004750030

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 июня 2021:

Сообщение >>

Самоназвание: industria.host: v.2.0 Reload

Расширение: .industria_host

Записка: HowToDecrypt.txt

Telegram: @industria_host

BTC: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q

Файл проекта: C:\Users\Administrator\Desktop\AnubisNew\obj\Debug\Anubis.pdb

Файл: Anubis.exe

IOC: VT, IA

MD5: 94b498bc7a96b425d4887a849fe56bc8

➤ Обнаружения: 

DrWeb -> Trojan.EncoderNET.22

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Generik.GUBXNDS

Microsoft -> Ransom:MSIL/ChupaCabra.MK!MTB

Symantec -> Ransom.HiddenTear!g1

Tencent -> Msil.Trojan.Crypmod.Hufk

TrendMicro -> Ransom_ChupaCabra.R002C0DFD21

Вариант 24 июня 2021: 

Сообщение >>

Расширение: .ChupaCabra

Файл проекта: 

C:\Users\Administrator\Desktop\AnubisNew\obj\Debug\Anubis.pdb

IOC: VT, IA

MD5: ebe90fe011e6ad938541f047e2adfe03

➤ Обнаружения: 

DrWeb -> Trojan.EncoderNET.22

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> MSIL/Filecoder.AJN

Malwarebytes -> Ransom.Anubis

Rising -> Ransom.ChupaCabra!1.D798 (CLASSIC)

TrendMicro -> TROJ_GEN.R002C0OFO21

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Bam-2021

Bam-2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Mau bao cao 2.docx.exe. 

Фактически Bam-2021 повторяет собой Bam! Ransomware из 2017 года, но файл был изменен несколько раз. Более того, нет никаких данных о том, что за ним стоят те же разработчики, в новой версии нет email-контакта. Более того, прошло почти 4 года, это много по любым меркам. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34003
Avira (no cloud) -> TR/FileCoder.whnqx
BitDefender -> DeepScan:Generic.Ransom.Bam.EDBFCFA5
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEB
Kaspersky -> HEUR:Trojan-Ransom.Win32.Cryptor.gen
Malwarebytes -> Malware.AI.2716773224
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Ecup
TrendMicro -> TROJ_GEN.R002H09F421
---

© Генеалогия: Bam! (2017) > Bkav > пропуск в 4 года > Bam-2021

Сайт "ID Ransomware" это идентифицирует как Bam! .

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Вероятно сделан во Вьетнаме, если Google-переводчик правильно определил слова "Mau bao cao" (Mẫu báo cáo), написанные на распространяемом вредоносном файле. 

К зашифрованным файлам добавляется расширение: .bam!

Зашифрованные файлы также помечаются специальным маркером: .bam! 

Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола: 

Содержание записки о выкупе:

YOUR COMPUTER AND FILES ARE ENCRYPTED

Your files will be lost on: 23:58:26

Encryption was made with a special crypto-code!

There are NO CHANCE to decrypt it without our special software and your unique private key!

To decrypt files. Send $300 worth of bitcoin to this address:

1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE

Перевод записки на русский язык:

ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ

Ваши файлы будут потеряны: 23:58:26

Шифрование сделано специальным криптокодом!

НЕТ ШАНСА расшифровать это без нашей специальной программы и вашего уникального закрытого ключа!

Для расшифровки файлов. Отправьте $300 в биткойнах на этот адрес:

1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
.3dm, .3ds, .accdb, .ARC, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .der, .dif, .doc, .docm, .docx, .dot, .dotm, .dwg, .eml, .fla, .flv, .frm, .gif, .hwp, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .odb, .odp, .ods, .odt, .p12, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sql, .sqlite3, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tgz, .tif, .tiff, .txt, .vbs, .vdi, .vmdk, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (122 типа файлов). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бекапы и пр.

Файлы, связанные с этим Ransomware:
Notify.jpg - название файла с требованием выкупа; 
Mau bao cao 2.docx.exe - название вредоносного файла; 

SimulationSpyware.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\TuongND\Desktop\APTClient\Release\SimulationSpyware.pdb

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2455352368-1077083310-2879168483-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Notify.jpg"

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR

MD5: 84ffb87cc91d697db2f5685df68de7af

SHA-1: 4f0360d60b685ed6059d32aef24c6b3cbbd46e9e

SHA-256: 10bba07a1965c61a2ec05b46331e3eeda3d7bdeb8074c86009dc11f2564048fa

Vhash: 026056655d1555114z31b007f7z6055z10a00593z20a7z

Imphash: 657339296770e8f5651105f5b71d90d4

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bam! (Bam) Ransomware - июль 2017

Bkav Ransomware - август 2017 

--- 4 года пропуска ---

Bam! Ransomware - июнь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Mcburglar, MCB

Mcburglar Ransomware 

MCB Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные локальной сети бизнес-пользователей с помощью AES+RSA, а затем требует связаться через Tor-сайт, чтобы узнать. как заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Mcburglar и MCB. На файле написано: MCB.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.33994, Trojan.Encoder.34011
ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/Ransom.tutlf
BitDefender -> Trojan.GenericKD.46417837
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIZ
Malwarebytes -> Ransom.FileLocker, Ransom:Win32/Cobra
Microsoft -> Ransom:Win32/GandCrab.BG, 
Symantec -> ML.Attribute.HighConfidence, Trojan Horse, Ransom.Burglar
Tencent -> Msil.Trojan.Gen.
TrendMicro -> Ransom_Gen.R049C0PF621
---

© Генеалогия: ??? >> Mcburglar (MCB) 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .mcburglar

Записка с требованием выкупа называется: README-MCBURGLAR.txt

Содержание записки о выкупе:

  ___                              ___  

 (o o)                             (o o) 

(  V  ) !!! ATTENTION !!! (  V  )

--m-m-----------------------m-m--

You have been breached

by ***

✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐡𝐚𝐩𝐩𝐞𝐧𝐞𝐝 ?▁▂▃▅▆▓▒░✩

YOUR NETWORK HAS BEEN INFILTRATED, AND WE HAVE ACCESSED ALL YOUR DATA

✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐝𝐨𝐞𝐬 𝐭𝐡𝐢𝐬 𝐦𝐞𝐚𝐧?▁▂▃▅▆▓▒░✩

IT MEANS THAT SOON YOUR PARTNERS, CLIENTS, BOARD AND MASS MEDIA WILL KNOW OF YOUR PROBLEM

✩░▒▓▆▅▃▂▁𝐡𝐨𝐰 𝐜𝐚𝐧 𝐢𝐭 𝐛𝐞 𝐚𝐯𝐨𝐢𝐝𝐞𝐝 ?▁▂▃▅▆▓▒░✩

IN ORDER TO AVOID ISSUE

YOU ARE TO CONTACT US NO LATER THAN 3 DAYS AND CONCLUDE DATA RECOVERY AND AGREEMENT✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐢𝐟 𝐢 𝐝𝐨 𝐧𝐨𝐭 𝐜𝐨𝐧𝐭𝐚𝐜𝐭 𝐲𝐨𝐮?▁▂▃▅▆▓▒░✩

IF YOU DO NOT CONTACT US IN THE NEXT 3 DAYS WE WILL BEGIN DATA PUBLICATION

✩░▒▓▆▅▃▂▁𝐡𝐨𝐰 𝐝𝐨 𝐢 𝐜𝐨𝐧𝐭𝐚𝐜𝐭 𝐲𝐨𝐮 ?▁▂▃▅▆▓▒░✩

WIZE CHOICE, THERE IS FEW WAY TO DO THIS

I. RECOMMENDED (MOST SECURE METHOD)

a) DOWNLOAD TOR BROWSER (https://www.torproject.org/download/)

b) INSTALL THE TOR BROWSER

c) OPEN OUR WEBSITE WITH LIVE CHAT IN THE TOR BROWSER (http://XXXXXXXXXXXXXXXXXXXX.onion)

d) FOLLOW THE INSTRUCTIONS ON THIS PAGE

II. IF THIS METHOD IS NOT SUITABLE FOR YOU OR TOR IS BLOCKED IN YOUR COUNTRY

a) OPEN OUR WEBPAGE WITH LIVE CHAT (https://XXXXXXXXXXXXXXXXXX.onion)

b) FOLLOW INSTRUCTION ON PAGE

Перевод записки на русский язык:

Вы были нарушены

 ***

что случилось?

В ВАШУ СЕТЬ ПРОНИКЛИ, И МЫ ПОЛУЧИЛИ ДОСТУП КО ВСЕМ ВАШИМ ДАННЫМ

Что это значит?

ЭТО ЗНАЧИТ, ЧТО СКОРО ВАШИ ПАРТНЕРЫ, КЛИЕНТЫ, ПРАВЛЕНИЕ И СМИ УЗНАЮТ О ВАШЕЙ ПРОБЛЕМЕ.

как этого избежать?

ВО ИЗБЕЖАНИЕ ПРОБЛЕМ ВАМ НАДО НАПИСАТЬ НАМ НЕ ПОЗДНЕЕ 3 ДНЕЙ И ДОГОВОРИТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ

если я не свяжусь с вами?

ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В БЛИЖАЙШИЕ 3 ДНЯ, МЫ НАЧНЕМ ПУБЛИКАЦИЮ ДАННЫХ

как с вами связаться?

МУДРЫЙ ВЫБОР, ЕСТЬ НЕСКОЛЬКО СПОСОБОВ СДЕЛАТЬ ЭТО

I. РЕКОМЕНДУЕТСЯ (САМЫЙ БЕЗОПАСНЫЙ МЕТОД)

А) СКАЧАТЬ TOR-БРАУЗЕР (HTTPS://WWW.TORPROJECT.ORG/DOWNLOAD/)

Б) УСТАНОВИТЬ TOR-БРАУЗЕР

В) ОТКРЫТЬ НАШ САЙТ С ЖИВЫМ ЧАТОМ В TOR-БРАУЗЕРЕ (HTTP://XXXXXXXXXXXXXXXXXXXX.ONION)

Г) СЛЕДОВАТЬ ИНСТРУКЦИЯМ НА ЭТОЙ СТРАНИЦЕ

II. ЕСЛИ ЭТОТ СПОСОБ ВАМ НЕ ПОДХОДИТ ИЛИ В ВАШЕЙ СТРАНЕ TOR ЗАБЛОКИРОВАН

А) ОТКРОЙТЕ НАШУ ВЕБ-СТРАНИЦУ С ЧАТОМ (HTTPS://XXXXXXXXXXXXXXXXXX.ONION)

Б) СЛЕДУЙТЕ ИНСТРУКЦИЯМ НА СТРАНИЦЕ

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-MCBURGLAR.txt - название файла с требованием выкупа;
MCB.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Administrator\Desktop\mcdump-main\MCB\obj\Debug\MCB.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, MS

MD5: d3d0035a769e6ef98b1433160b2c8333

SHA-1: be1d0aed32308166721d4756e2216dc44c2d0baa

SHA-256: 6b6158f74dbd43b8c839d5ae65d33ae9a11c9e3cef5fa52d86105983a67cdc4f

Vhash: 21503655151a084560021

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

TaRRaK

TaRRaK Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: TaRRaK. На файле написано: TaRRaK.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33988

ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.vwiqt
BitDefender -> Trojan.GenericKD.37017710
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIY
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.StartPage
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Dbj
TrendMicro -> Ransom_TarkCrypt.R011C0DF321
---

© Генеалогия: ??? >> TaRRaK

Сайт "ID Ransomware" это идентифицирует как TaRRaK.

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .TaRRaK

Зашифрованные файлы ассоциируются со значком. 

Также используется маркер файлов TaRRaK, которые добавляется в начало  зашифрованного файла. 

Записка от вымогателей называется: Note_fom_TaRRaK.txt

Содержание записки о выкупе:

You've been hacked!

Your #FILECOUNT# file(s) was encrypted by TaRRaK Rasomware

Your System ID is #SYSTEMID#

Перевод записки на русский язык:

Вы взломаны!

Ваши *** файлы зашифрованы TaRRaK Rasomware

Ваш системный ID ***

Сообщение от вымогателей также есть на изображении, заменяющем обои Рабочего стола: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
.3ds, .7z, .7zip, .acc, .accdb, .ai, .aif, .apk, .asc, .asm, .asf, .asp, .aspx, .avi, .backup, .bak, .bat, .bin, .bmp, .c, .cdr, .cer, .cfg, .cmd, .cpp, .crt, .crw, .cs, .csproj, .css, .csv, .cue, .db, .db3, .dbf, .dcr, .dds, .der, .dmg, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .epub, .erf, .flac, .flv, .gif, .gpg, .h, .html, .ico, .img, .iso, .java, .jpe, .jpeg, .jpg, .js, .json, .kdc, .key, .kml, .kmz, .litesql, .log, .lua, .m3u, .m4a, .m4u, .m4v, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .part, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .pptm, .pptx, .ps, .ps1, .psd, .pst, .ptx, .pub, .pri, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rm, .rtf, .rwl, .sav, .sh, .sln, .suo, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .thm, .tif, .tiff, .tmp, .torrent, .txt, .vbs, .vcf, .vlf, .vmx, .vmdk, .vdi, .vob, .wav, .wma, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (175 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, бэкапы, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых папок с файлами в них:

$Recycle.BinAll Users\Microsoft

Windows

Program Files

ProgramData

Temporary Internet Files

Local\Microsoft

Файлы, связанные с этим Ransomware:
Note_fom_TaRRaK.txt - название файла с требованием выкупа;
TaRRaK.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"TaRRaK"="\"<PATH-TO-SAMPLE>\""

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, MS

MD5: 080faae20204b657a4fe38ea6cb54160

SHA-1: c1709bd4571ceafebcc20ee80dd7aa5715e9c5af

SHA-256: af760d272c64a9258fab7f0f80aa2bba2a685772c79b1dec2ebf6f3b6738c823

Vhash: 215036551511f07b1110012

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + Message + Message
 Write-up, Topic of Support
 *** 

Внимание! 
Файлы можно расшифровать. 
Скачайте дешифровщик от Avast по ссылке >> 
Подробная инструкция прилагается. 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.