Bam-2021

Bam-2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Mau bao cao 2.docx.exe. 

Фактически Bam-2021 повторяет собой Bam! Ransomware из 2017 года, но файл был изменен несколько раз. Более того, нет никаких данных о том, что за ним стоят те же разработчики, в новой версии нет email-контакта. Более того, прошло почти 4 года, это много по любым меркам. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34003
Avira (no cloud) -> TR/FileCoder.whnqx
BitDefender -> DeepScan:Generic.Ransom.Bam.EDBFCFA5
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEB
Kaspersky -> HEUR:Trojan-Ransom.Win32.Cryptor.gen
Malwarebytes -> Malware.AI.2716773224
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Ecup
TrendMicro -> TROJ_GEN.R002H09F421
---

© Генеалогия: Bam! (2017) > Bkav > пропуск в 4 года > Bam-2021

Сайт "ID Ransomware" это идентифицирует как Bam! .

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Вероятно сделан во Вьетнаме, если Google-переводчик правильно определил слова "Mau bao cao" (Mẫu báo cáo), написанные на распространяемом вредоносном файле. 

К зашифрованным файлам добавляется расширение: .bam!

Зашифрованные файлы также помечаются специальным маркером: .bam! 

Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола: 

Содержание записки о выкупе:

YOUR COMPUTER AND FILES ARE ENCRYPTED

Your files will be lost on: 23:58:26

Encryption was made with a special crypto-code!

There are NO CHANCE to decrypt it without our special software and your unique private key!

To decrypt files. Send $300 worth of bitcoin to this address:

1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE

Перевод записки на русский язык:

ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ

Ваши файлы будут потеряны: 23:58:26

Шифрование сделано специальным криптокодом!

НЕТ ШАНСА расшифровать это без нашей специальной программы и вашего уникального закрытого ключа!

Для расшифровки файлов. Отправьте $300 в биткойнах на этот адрес:

1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
.3dm, .3ds, .accdb, .ARC, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .der, .dif, .doc, .docm, .docx, .dot, .dotm, .dwg, .eml, .fla, .flv, .frm, .gif, .hwp, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .odb, .odp, .ods, .odt, .p12, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sql, .sqlite3, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tgz, .tif, .tiff, .txt, .vbs, .vdi, .vmdk, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (122 типа файлов). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бекапы и пр.

Файлы, связанные с этим Ransomware:
Notify.jpg - название файла с требованием выкупа; 
Mau bao cao 2.docx.exe - название вредоносного файла; 

SimulationSpyware.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\TuongND\Desktop\APTClient\Release\SimulationSpyware.pdb

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2455352368-1077083310-2879168483-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Notify.jpg"

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR

MD5: 84ffb87cc91d697db2f5685df68de7af

SHA-1: 4f0360d60b685ed6059d32aef24c6b3cbbd46e9e

SHA-256: 10bba07a1965c61a2ec05b46331e3eeda3d7bdeb8074c86009dc11f2564048fa

Vhash: 026056655d1555114z31b007f7z6055z10a00593z20a7z

Imphash: 657339296770e8f5651105f5b71d90d4

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bam! (Bam) Ransomware - июль 2017

Bkav Ransomware - август 2017 

--- 4 года пропуска ---

Bam! Ransomware - июнь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Mcburglar, MCB

Mcburglar Ransomware 

MCB Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные локальной сети бизнес-пользователей с помощью AES+RSA, а затем требует связаться через Tor-сайт, чтобы узнать. как заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Mcburglar и MCB. На файле написано: MCB.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.33994, Trojan.Encoder.34011
ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/Ransom.tutlf
BitDefender -> Trojan.GenericKD.46417837
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIZ
Malwarebytes -> Ransom.FileLocker, Ransom:Win32/Cobra
Microsoft -> Ransom:Win32/GandCrab.BG, 
Symantec -> ML.Attribute.HighConfidence, Trojan Horse, Ransom.Burglar
Tencent -> Msil.Trojan.Gen.
TrendMicro -> Ransom_Gen.R049C0PF621
---

© Генеалогия: ??? >> Mcburglar (MCB) 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .mcburglar

Записка с требованием выкупа называется: README-MCBURGLAR.txt

Содержание записки о выкупе:

  ___                              ___  

 (o o)                             (o o) 

(  V  ) !!! ATTENTION !!! (  V  )

--m-m-----------------------m-m--

You have been breached

by ***

✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐡𝐚𝐩𝐩𝐞𝐧𝐞𝐝 ?▁▂▃▅▆▓▒░✩

YOUR NETWORK HAS BEEN INFILTRATED, AND WE HAVE ACCESSED ALL YOUR DATA

✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐝𝐨𝐞𝐬 𝐭𝐡𝐢𝐬 𝐦𝐞𝐚𝐧?▁▂▃▅▆▓▒░✩

IT MEANS THAT SOON YOUR PARTNERS, CLIENTS, BOARD AND MASS MEDIA WILL KNOW OF YOUR PROBLEM

✩░▒▓▆▅▃▂▁𝐡𝐨𝐰 𝐜𝐚𝐧 𝐢𝐭 𝐛𝐞 𝐚𝐯𝐨𝐢𝐝𝐞𝐝 ?▁▂▃▅▆▓▒░✩

IN ORDER TO AVOID ISSUE

YOU ARE TO CONTACT US NO LATER THAN 3 DAYS AND CONCLUDE DATA RECOVERY AND AGREEMENT✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐢𝐟 𝐢 𝐝𝐨 𝐧𝐨𝐭 𝐜𝐨𝐧𝐭𝐚𝐜𝐭 𝐲𝐨𝐮?▁▂▃▅▆▓▒░✩

IF YOU DO NOT CONTACT US IN THE NEXT 3 DAYS WE WILL BEGIN DATA PUBLICATION

✩░▒▓▆▅▃▂▁𝐡𝐨𝐰 𝐝𝐨 𝐢 𝐜𝐨𝐧𝐭𝐚𝐜𝐭 𝐲𝐨𝐮 ?▁▂▃▅▆▓▒░✩

WIZE CHOICE, THERE IS FEW WAY TO DO THIS

I. RECOMMENDED (MOST SECURE METHOD)

a) DOWNLOAD TOR BROWSER (https://www.torproject.org/download/)

b) INSTALL THE TOR BROWSER

c) OPEN OUR WEBSITE WITH LIVE CHAT IN THE TOR BROWSER (http://XXXXXXXXXXXXXXXXXXXX.onion)

d) FOLLOW THE INSTRUCTIONS ON THIS PAGE

II. IF THIS METHOD IS NOT SUITABLE FOR YOU OR TOR IS BLOCKED IN YOUR COUNTRY

a) OPEN OUR WEBPAGE WITH LIVE CHAT (https://XXXXXXXXXXXXXXXXXX.onion)

b) FOLLOW INSTRUCTION ON PAGE

Перевод записки на русский язык:

Вы были нарушены

 ***

что случилось?

В ВАШУ СЕТЬ ПРОНИКЛИ, И МЫ ПОЛУЧИЛИ ДОСТУП КО ВСЕМ ВАШИМ ДАННЫМ

Что это значит?

ЭТО ЗНАЧИТ, ЧТО СКОРО ВАШИ ПАРТНЕРЫ, КЛИЕНТЫ, ПРАВЛЕНИЕ И СМИ УЗНАЮТ О ВАШЕЙ ПРОБЛЕМЕ.

как этого избежать?

ВО ИЗБЕЖАНИЕ ПРОБЛЕМ ВАМ НАДО НАПИСАТЬ НАМ НЕ ПОЗДНЕЕ 3 ДНЕЙ И ДОГОВОРИТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ

если я не свяжусь с вами?

ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В БЛИЖАЙШИЕ 3 ДНЯ, МЫ НАЧНЕМ ПУБЛИКАЦИЮ ДАННЫХ

как с вами связаться?

МУДРЫЙ ВЫБОР, ЕСТЬ НЕСКОЛЬКО СПОСОБОВ СДЕЛАТЬ ЭТО

I. РЕКОМЕНДУЕТСЯ (САМЫЙ БЕЗОПАСНЫЙ МЕТОД)

А) СКАЧАТЬ TOR-БРАУЗЕР (HTTPS://WWW.TORPROJECT.ORG/DOWNLOAD/)

Б) УСТАНОВИТЬ TOR-БРАУЗЕР

В) ОТКРЫТЬ НАШ САЙТ С ЖИВЫМ ЧАТОМ В TOR-БРАУЗЕРЕ (HTTP://XXXXXXXXXXXXXXXXXXXX.ONION)

Г) СЛЕДОВАТЬ ИНСТРУКЦИЯМ НА ЭТОЙ СТРАНИЦЕ

II. ЕСЛИ ЭТОТ СПОСОБ ВАМ НЕ ПОДХОДИТ ИЛИ В ВАШЕЙ СТРАНЕ TOR ЗАБЛОКИРОВАН

А) ОТКРОЙТЕ НАШУ ВЕБ-СТРАНИЦУ С ЧАТОМ (HTTPS://XXXXXXXXXXXXXXXXXX.ONION)

Б) СЛЕДУЙТЕ ИНСТРУКЦИЯМ НА СТРАНИЦЕ

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-MCBURGLAR.txt - название файла с требованием выкупа;
MCB.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Administrator\Desktop\mcdump-main\MCB\obj\Debug\MCB.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, MS

MD5: d3d0035a769e6ef98b1433160b2c8333

SHA-1: be1d0aed32308166721d4756e2216dc44c2d0baa

SHA-256: 6b6158f74dbd43b8c839d5ae65d33ae9a11c9e3cef5fa52d86105983a67cdc4f

Vhash: 21503655151a084560021

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

TaRRaK

TaRRaK Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: TaRRaK. На файле написано: TaRRaK.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33988

ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.vwiqt
BitDefender -> Trojan.GenericKD.37017710
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIY
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.StartPage
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Dbj
TrendMicro -> Ransom_TarkCrypt.R011C0DF321
---

© Генеалогия: ??? >> TaRRaK

Сайт "ID Ransomware" это идентифицирует как TaRRaK.

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .TaRRaK

Зашифрованные файлы ассоциируются со значком. 

Также используется маркер файлов TaRRaK, которые добавляется в начало  зашифрованного файла. 

Записка от вымогателей называется: Note_fom_TaRRaK.txt

Содержание записки о выкупе:

You've been hacked!

Your #FILECOUNT# file(s) was encrypted by TaRRaK Rasomware

Your System ID is #SYSTEMID#

Перевод записки на русский язык:

Вы взломаны!

Ваши *** файлы зашифрованы TaRRaK Rasomware

Ваш системный ID ***

Сообщение от вымогателей также есть на изображении, заменяющем обои Рабочего стола: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
.3ds, .7z, .7zip, .acc, .accdb, .ai, .aif, .apk, .asc, .asm, .asf, .asp, .aspx, .avi, .backup, .bak, .bat, .bin, .bmp, .c, .cdr, .cer, .cfg, .cmd, .cpp, .crt, .crw, .cs, .csproj, .css, .csv, .cue, .db, .db3, .dbf, .dcr, .dds, .der, .dmg, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .epub, .erf, .flac, .flv, .gif, .gpg, .h, .html, .ico, .img, .iso, .java, .jpe, .jpeg, .jpg, .js, .json, .kdc, .key, .kml, .kmz, .litesql, .log, .lua, .m3u, .m4a, .m4u, .m4v, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .part, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .pptm, .pptx, .ps, .ps1, .psd, .pst, .ptx, .pub, .pri, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rm, .rtf, .rwl, .sav, .sh, .sln, .suo, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .thm, .tif, .tiff, .tmp, .torrent, .txt, .vbs, .vcf, .vlf, .vmx, .vmdk, .vdi, .vob, .wav, .wma, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (175 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, бэкапы, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых папок с файлами в них:

$Recycle.BinAll Users\Microsoft

Windows

Program Files

ProgramData

Temporary Internet Files

Local\Microsoft

Файлы, связанные с этим Ransomware:
Note_fom_TaRRaK.txt - название файла с требованием выкупа;
TaRRaK.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"TaRRaK"="\"<PATH-TO-SAMPLE>\""

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, MS

MD5: 080faae20204b657a4fe38ea6cb54160

SHA-1: c1709bd4571ceafebcc20ee80dd7aa5715e9c5af

SHA-256: af760d272c64a9258fab7f0f80aa2bba2a685772c79b1dec2ebf6f3b6738c823

Vhash: 215036551511f07b1110012

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + Message + Message
 Write-up, Topic of Support
 *** 

Внимание! 
Файлы можно расшифровать. 
Скачайте дешифровщик от Avast по ссылке >> 
Подробная инструкция прилагается. 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SplinterJoke

SplinterJoke Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SplinterJoke Ransomware. На файле написано: SplinterJoke.exe. 

Согласно тексту преподносит себя как POC от SentinelOne. Странно, что  антивирусный движок SentinelOne обнаруживает исполняемый файл как  вредоносный. К тому же в текстовой записке название компании написано с ошибкой — SetinelOne. Таким образом непонятно, кем это было сделано, реальные антивирусные обнаружения см. ниже. 

---
Обнаружения: 

DrWeb -> Trojan.EncoderNET.20
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dropper.Gen
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIV
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Malware.AI.4175874279
Microsoft -> Trojan:Win32/Tiggre!rfn

SentinelOne (Static ML) -> Static AI - Malicious PE
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Dropper.Wmsw
TrendMicro -> TROJ_GEN.R049C0WEU21
---

© Генеалогия: ??? >> SplinterJoke

Сайт "ID Ransomware" это идентифицирует как SplinterJoke.

Информация для идентификации

Образец этого крипто-вымогателя был найден в конце мая - начале июня 2021 г., но был сделан ранее, 22 октября 2020. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Предоставлен исследователем из Китая. 

К зашифрованным файлам добавляется расширение: .SplinterJoke

Записка с требованием выкупа называется: ransom_note.txt

Содержание записки о выкупе:

This is just a SetinelOne PoC Demo

!!! YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email SplinterJoke and decrypt one file for free. But this file should be of not valuable!

Do you really want to restore your files?

---

✋ Ошибки в тексте указаны красным цветом. 

При внимательном прочтении можно заметить, что в тексте нет никаких адресов для уплаты выкупа, кроме названия компании SentinelOne с предложением отправить им email, а это уже можно считать контактом. 

Трудно представить, что программист американской компании мог сделать две ошибки в тексте так, как это обычно делают вымогатели, для которых  английский язык неродной. 

Перевод записки на русский язык:

Это лишь демонстрация PoC SetinelOne

!!! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!

Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы.

Вы не сможете расшифровать их сами! Единственный способ восстановления файлов - это покупка уникального закрытого ключа.

Только мы можем предоставить вам этот ключ и только мы можем восстановить ваши файлы.

Чтобы убедиться, что у нас есть дешифратор и он работает, вы можете отправить email в SplinterJoke и бесплатно расшифровать один файл. Но этот файл не должен быть ценным!

Вы действительно хотите восстановить свои файлы?

---

Кроме того есть ещё одно сообщение, которое может быть изображением, заменяющим обои Рабочего остола. 

Содержание текста:

Pc infected by

SplinterJoke Ransomware

This is just a POC for

SentinelOne Demo

Перевод на русский язык:

Пк заражен

SplinterJoke Ransomware 

Это лишь POC для

SentinelOne Demo

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию: 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware: 
ransom_note.txt - название файла с требованием выкупа; 
SplinterJoke.exe - название вредоносного файла. 

Расположения: 
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware: 
См. ниже результаты анализов.

Мьютексы: 
См. ниже результаты анализов.

Сетевые подключения и связи: 
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, MS

MD5: 671ad98a0e0c83defa386673bed208c4

SHA-1: f90e106afe7a980137313a758cf90ab343a73e6c

SHA-256: 67628a5f04c7099346dd18957a4bc5179f5c3a07b41ca0d2a9e708dcab54d16d

Vhash: 225036151515001240020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.