Spyro

Spyro Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На одном файле написано: Windows Session Manager.exe, а на другом - SvHost-3.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34086 / Trojan.DownLoader39.50328
ALYac -> Trojan.Ransom.Ouroboros
Avira (no cloud) -> HEUR/AGEN.1139736
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.100233CC / Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.G
Kaspersky -> HEUR:Trojan.Win32.Stosek.gen
Malwarebytes -> Ransom.VoidCrypt / Ransom.Ouroboros
Microsoft -> Trojan:Win32/Ymacco.AA12 / Program:Win32/Ymacco.AAC6
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11c2ae93
TrendMicro -> Ransom.Win32.VOIDCRYPT.SM
---

© Генеалогия: Ouroboros, VoidCrypt >> Spyro

Сайт "ID Ransomware" это пока не идентифицирует. ~VoidCrypt.

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине июня 2021 г., точнее 21 июня. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .Spyro

Фактически используется составное расширение по шаблону: .[<email>][XXXXXXXX].Spyro

Пример такого расширения: .[BlackSpyro@tutanota.com][34D4567F].Spyro

Записка с требованием выкупа называется: Decrypt-info.txt

Содержание записки о выкупе:

All your files are encrypted due to security problem with your computer.

You should pay money to recover your files.

The price depends on how fast do you message us.

You should contact us via this email address: BlackSpyro@tutanota.com

if you didn't receive any reply, message our second email address: BlackSpyro@mailfence.com

We guarantee that if you make payment, all your files will be recovered.

You can send few example files. We recover them for you to prove that we can recover your files.

Attention:

Do not rename encrypted files.

Do not try to decrypt your data using third-party software, it may cause permanent data loss.

The decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

Все ваши файлы зашифрованы из-за проблем безопасности вашего компьютера.

Вы должны заплатить деньги, чтобы восстановить свои файлы.

Цена зависит от того, как быстро вы нам напишите.

Вы должны написать нам по этому email-адресу: BlackSpyro@tutanota.com

если вы не получили ответа, напишите на наш второй email-адрес: BlackSpyro@mailfence.com

Мы гарантируем, что в случае оплаты все ваши файлы будут восстановлены.

Вы можете прислать несколько файлов с примерами. Мы восстановим их для вас, чтобы доказать, что мы можем восстановить ваши файлы.

Внимание:

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к удорожанию (они добавят свою цену к нашей) или вы можете стать жертвой мошенничества.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt-info.txt - название файла с требованием выкупа;
Windows Session Manager.exe - название вредоносного файла; 

SvHost-3.exe - название другого вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: BlackSpyro@tutanota.com, BlackSpyro@mailfence.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG + TG, AR, VMR, JSB

MD5: 000e2743bf3cb96cefc4be357765cec3

SHA-1: 62b9b6afc91e349c56ce967985eec229f7db82aa

SHA-256: 126f06426beeaaeea65331c5896590eb558405e5b924254e1aa17c3adc5c2fb3

Vhash: 016056655d555560c2z13z9euz1e7z

Imphash: 1679a5c6f05d9b5195b66ccfe1b877de

---

IOC: VT, HA, IA, TG + TG, AR, VMR, JSB

MD5: 6d0cefa5b7f1744aa5dbc041c50b1709

SHA-1: 023fe5cafe7f0b32bfaf1b3549785e4d36a13b63

SHA-256: c6da46d2abe90035674272a826d1203dde07338e27e3ebefc6335cbedb389019

Vhash: 01603e0f7d1013z13z4hz13z11z11z17z

Imphash: 24ed90eebd28321b68c87b9384928072

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение от 16 марта 2022:

Исследователи из BlackBerry связывают Spyro Ransomware с LokiLocker, но тот появился на 2 месяца позже. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author) 
 Michael Gillespie, 
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EncodeBat

EncodeBat Ransomware

Encode.bat Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, испльзуя BAT-файл, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Encode.bat.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34055
ALYac -> Heur.BZC.ONG.Cross.7.59378A37
BitDefender -> Trojan.GenericKD.46537758
ESET-NOD32 -> BAT/Filecoder.EA
Kaspersky -> Trojan-Ransom.Win32.Encoder.mya
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Woreflint.A!cl
Symantec -> ML.Attribute.HighConfidence
---

© Генеалогия: CruelCrypt и подобные >> EncodeBat

Сайт "ID Ransomware" это пока не идентифицирует. ~VoidCrypt.

Информация для идентификации

Образец этого крипто-вымогателя был найден в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .encrypted

Содержимое зашифрованного файла заменяется каким-то сертификатом. 

Скриншоты процесса шифрования. В первом окне видно, что он сначала ждёт нажания любой клавиши, только потом выполняет шифрование. 

Записка называется: ALL-YOUR-FILES-ARE-ENCRYPTED.txt

Содержание записки о выкупе:
all your files have been encrypted 

Перевод записки на русский язык:
все твои файлы зашифрованы 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Вероятно распространяется среди фанатов какой-то игры, чтобы напугать или нейтрализовать противников. Это только предположение. 

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов. 

➤ Используется утилита CertUtil, в которой есть команда для шифрования файлов. Ключ не требуется, вероятно файлы можно будет расшифровать обратной командой.

Список типов файлов, подвергающихся шифрованию:
Пока шифруются только файлы тектовых форматов: .docx, .rtf, .txt

После доработки список может быть шире: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

ALL-YOUR-FILES-ARE-ENCRYPTED.txt - название файла с требованием выкупа;

ALL-YOUR-FILES-ARE-ENCRYPTED.txt.encrypted - зашифрованный файл собственной записки; 

WEXTRACT.EXE.MUI - оригинальное название вредоносного файла; 

Encode.bat (Encode.exe) - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

Key created \REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce Encode.exe

Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0 = "rundll32.exe C:\\Windows\\system32\\advpack.dll,DelNodeRunDLL32 \"C:\\Users\\Admin\\AppData\\Local\\Temp\\IXP000.TMP\\\"" Encode.exe

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR 

MD5: 5163f03f6789656605108bec4650b66f

SHA-1: c32e012da9257780d2031f683457da1840615c9c

SHA-256: fb3b67d7f94630f41e722de49c211d8f5c69cdec8fc9ba25996717a77f67b89b

Vhash: 0150566d55556560e013z1005114kz1e03dz

Imphash: 646167cce332c1c252cdcb1839e0cf48 

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 *

Внимание! 
Если для шифрования используется утилита CertUtil, то файлы 
можно расшифровать обратной командой.

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Apis

Apis Ransomware

(фейк-шифровальщик, вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп $10500 в 0.303 BTC, чтобы вернуть файлы. Оригинальное название: Apis. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.ClipBankerNET.7
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/ATRAPS.Gen
BitDefender -> Generic.Ransom.Hiddentear.A.AC0E8AB3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Trojan.MalPack
Microsoft -> Ransom:Win32/Filecoder!ml
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Dyzw
TrendMicro -> Ransom_RAMSIL.SM
---

© Генеалогия:  ✂ HiddenTear >> Apis 

Несмотря на то, что некоторые движки определяют в нём код шифровальщика HiddenTear, этот функционал не используется. Фактически Apis Ransomware повреждает файлы. Уплата выкупа бесполезна! Подробнее в разделе "Технические детали". 

Этимология названия:

Для названия свой программы вымогатели, вероятно, использовали название священного быка из древнеегипетской мифологии Аписа. Для логотипа этой статьи было выбрано нетральное векторное изображение, представляющее собой верхнюю часть изображения Аписа: месяц между рогов. Ниже представлено полное изображение Аписа. 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К фейк-зашифрованным файлам добавляется расширение: .apis

Записка с требованием выкупа называется: read_apis.txt

Содержание записки о выкупе:

----> All of your files have been encrypted <----

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.

The price for the software is $10,500. Payment can be made in Bitcoin only.

How do I pay, where do I get Bitcoin?

Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Bitcoin. 

Payment Amount: 0.303 BTC

Bitcoin Address: bc1qlnzcep222ac0ttasd7awxev9ehu665f2vpt9x0

Перевод записки на русский язык:

----> Все ваши файлы зашифрованы <----

Ваш компьютер был заражен вирусом-вымогателем. Ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи.

Что мне сделать, чтобы вернуть мои файлы?

Вы можете купить нашу специальную программу для дешифрования, эта программа позволит вам восстановить все ваши данные и удалить вымогатель из вашего компьютера.

Стоимость программы $10500. Оплата может быть сделана только в биткойнах.

Как мне заплатить, где мне взять биткойны?

Покупка биткойнов варьируется от страны к стране, лучше всего выполнить быстрый поиск в Google как купить биткойны. 

Сумма платежа: 0.303 BTC 

Биткойн-адрес: bc1qlnzcep222ac0ttasd7awxev9ehu665f2vpt9x0

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Несмотря на то, что некоторые движки определяют в нём код шифровальщика HiddenTear, этот функционал не используется. Фактически Apis Ransomware генерирует случайные байты, кодирует в base64, перезаписывает файл этим кодом и фальшивой XML-структурой. Таким образом он действует как деструктор, повреждая файлы. Уплата выкупа бесполезна! 

*

➤ Удаляет теневые копии файлов командой:

vssadmin delete shadows /all /quiet & wmic shadowcopy delete

Список типов файлов, подвергающихся шифрованию:
.accdb, .apk, .arj, .asp, .aspx, .avi, .backup, .bak, .bay, .blob, .bmp, .cab, .cer, .config, .cpp, .crt, .css, .csv, .dat, .dbf, .doc, .docm, .docx, .dot, .dotx, .dwg, .flv, .gif, .gzip, .htm, .html, .ibank, .ico, .inc, .ini, .iso, .jar, .java, .jpe, .jpeg, .jpg, .jsp, .lnk, .log, .lzh, .m4a, .m4v, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ods, .odt, .p7c, .pas, .pdb, .pdf, .php, .png, .pot, .pps, .ppsm, .ppt, .pptm, .pptx, .psd, .pst, .rar, .rtf, .sie, .sln, .sql, .sum, .svg, .swf, .tar, .torrent, .txt, .url, .vdi, .vmdk, .wallet, .wav, .webm, .wma, .wmv, .wpd, .wps, .xla, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlw, .xml, .xsd, .xsl, .zip 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Целевые директории: 

\Desktop

\Links

\Contacts

\Documents

\Downloads

\Pictures

\Music

\OneDrive

\Saved Games

\Favorites

\Searches

\Videos

Файлы, связанные с этим Ransomware:
read_apis.txt - название файла с требованием выкупа;
Stub.exe (svchost.exe)  - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qlnzcep222ac0ttasd7awxev9ehu665f2vpt9x0

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8458ca4c230169e4ef4d3fca9a709690

SHA-1: 70510fd8a4488e65f83c25318d3235393cda8334

SHA-256: fc7307dc19e676177603dee95b388b8a1159c822b3cfe0dc24f96288749d64cc

Vhash: 21403655151a0071290034

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

0XXX

0XXX Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные NAS-устройств WD (сетевых хранилищ Western Digital My Book) с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: 0XXX Virus. На файле написано: нет данных. Использует известные или новые уязвимости NAS-устройств. 

---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ✂ Kupidon + предыдущие для NAS-устройств  >> 0XXX 

Сайт "ID Ransomware" это идентифицирует как 0XXX. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .0xxx

Записка с требованием выкупа называется: !0XXX_DECRYPTION_README.TXT

Содержание записки о выкупе:

All your files have been encrypted with 0XXX Virus.

Your unique id: 79CECD4E2A58455BAF9916BCAF7CC2E4

You can buy decryption for 300$USD in Bitcoins.

To do this:

1) Send your unique id 79CECD4E2A58455BAF9916BCAF7CC2E4 and max 3 files for test decryption to iosif.lancmann@mail.ru

2) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.

3) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 

Перевод записки на русский язык:

Все ваши файлы зашифровал 0XXX вирус.

Ваш уникальный идентификатор: 79CECD4E2A58455BAF9916BCAF7CC2E4

Вы можете купить расшифровку за 300 долларов в биткойнах.

Для этого:

1) Отправьте свой уникальный id 79CECD4E2A58455BAF9916BCAF7CC2E4 и максимум 3 файла для тест-расшифровки на iosif.lancmann@mail.ru

2) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.

3) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!0XXX_DECRYPTION_README.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: iosif.lancmann@mail.ru
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 24 июня 2021:

Статья на сайте BleepingComputer >>

Сообщается, что по всему миру NAS-устройства WD My Book Live получили удаленную команду на сброс настроек на заводские, при этом исчезли все разделы с находящимися на них файлами. 

В отличие от устройств QNAP, которые обычно подключены к Интернету и подвержены атакам, таким как программы-вымогатели QNAPCrypt, QLocker, устройства Western Digital My Book хранятся за брандмауэром и обмениваются данными через облачные серверы My Book Live для обеспечения удаленного доступа.

Если у вас есть NAS-устройство Western Digital My Book, настоятельно рекомендуется отключить его от сети, пока инциденты не будут изучены. 

Вариант от 28 августа 2021: 
Расширение: .0xxx
Записка: !0XXX_DECRYPTION_README.TXT
Email: issak.nuton0071@mail.ru

Вариант от 14 нобря 2021:

Сообщение >>
Расширение: .0xxx
Записка: !0XXX_DECRYPTION_README.TXT
Email: sergev_petrov1983@mail.ru

Вариант от 28 декабря 2021: 

Расширение: .0xxx

Записка: !0XXX_DECRYPTION_README.TXT

Email: alex.uwe.19900978@mail.ru

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Redeemer

Redeemer Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 2-20 XMR, чтобы вернуть файлы. Оригинальное название: Redeemer. На файле написано: svchost.exe, sqlservr.exe или что-то ещё.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34049, Trojan.Encoder.34354
BitDefender -> Trojan.GenericKD.46459249, Gen:Trojan.Malware.ZDW@aSgCW@fi
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHI
Malwarebytes -> Ransom.Redeemer
Microsoft -> Trojan:Win32/Tiggre!rfn, Ransom:Win32/Redeemer.PAD!MTB
Rising -> Ransom.Redeemer!1.D762 (CLASSIC)

Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Ajbm, Malware.Win32.Gencirc.10cf62cf
TrendMicro -> TROJ_GEN.R002C0WFL21, TROJ_FRS.0NA103IL21
---

© Генеалогия: ??? >> Redeemer

Сайт "ID Ransomware" это идентифицирует как Redeemer. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была замечена в июне 2021 (тестовый вариант), затем уже в середине сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .redeem

Записка с требованием выкупа называется: Read Me.TXT

Вариант записки от 18 июня 2021

 Содержание записки о выкупе:

-- Redeemer --

All your files have been encrypted using an advanced encryption algorithm. They cannot be decrypted without a decryption tool and a key.

In order to decrypt your files you will need to pay 20 XMR (Monero). After paying you will get a tool and a key to decrypt your files.

You can find more information about Monero on getmonero.org and you can buy it from localmonero.co or any other website or use any cryptocurrency exchange that has Monero listed.

WARNING: Do not modify the files, don't change their names and locations, otherwise they won't be able to be decrypted.

AFTER you obtain the required amount of XMR, contact test@test.test and send the following key: 

NzEckK2Nm24Xap***

Перевод записки на русский язык:

- Искупитель -

Все ваши файлы зашифрованы с использованием передового алгоритма шифрования. Их невозможно расшифровать без инструмента дешифрования и ключа.

Чтобы расшифровать ваши файлы, вам нужно будет заплатить 20 XMR (Monero). После оплаты вы получите инструмент и ключ для расшифровки ваших файлов.

Вы можете найти информацию о Monero на getmonero.org, и вы можете купить его на localmonero.co или на любом другом веб-сайте или использовать любую криптовалютную биржу, на которой есть Monero.

ВНИМАНИЕ: не изменяйте файлы, не меняйте их имена и расположение, иначе они не будут расшифрованы.

ПОСЛЕ того, как вы получите нужное количество XMR, напишите на  test@test.test и отправьте следующий ключ:

NzEckK2Nm24Xap ***

Вариант записки от 19 сентября 2021

Содержание записки о выкупе:
Redeemer

Made by Cerebrate - Dread Forums TOR

[hxxx://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/]

[Q1] What happened, I cannot open my files and they have an odd extension?

[A1] Your files have been encrypted by Redeemer, a new ransomware operation.

[Q2] Is there any way to recover my files?

[A2] Yes, you can recover your files. This will however cost you money in XMR (Monero).

[Q3] Is there any any way to recover my files without paying?

[A3] Without paying it is impossible your files.

Redeemer uses most secure algorithms and a sophisticated encryption scheme which guarantees security.

Without a proper key, you will never regain access to your files.

[Q4] What is XMR (Monero)?

[A4] It is a privacy oriented cryptocurrency.

You can learn more about Monero on getmonero.org.

You can view ways to purchase it on www.monero.how/how-to-buy-monero.

[Q5] How will I decrypt my files?

[A5] Follow the general instructions:

-1. Buy 02  XMR.

-2. Contact helpdecryptmyfiles@yandex.com and send the following key:

-----BEGIN REDEEMER PUBLIC KEY-----

NDEhcA***

-----END REDEEMER PUBLIC KEY-----

-3. You will receive an XMR address where you will need to pay the requested amount of Monero.

-4. After you pay and the payment is verified, you will receive a decryption tool and a key which will restore all your files and your computer back to normal.

Перевод записки на русский язык:
Redeemer

Сделано Cerebrate - Dread Forums TOR

[hxxx://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/]

[Q1] Что случилось, я не могу открыть свои файлы, и у них странное расширение?

[A1] Ваши файлы были зашифрованы с помощью Redeemer, новой операции ransomware.

[Q2] Есть ли способ восстановить мои файлы?

[A2] Да, вы можете восстановить свои файлы. Однако это будет стоить вам денег в XMR (Monero).

[Q3] Есть ли способ восстановить мои файлы без оплаты?

[A3] Без оплаты невозможно ваши файлы.

Redeemer использует самые безопасные алгоритмы и сложную схему шифрования, которая гарантирует безопасность.

Без надлежащего ключа вы никогда не восстановите доступ к своим файлам.

[Q4] Что такое XMR (Monero)?

[A4] Это криптовалюта, ориентированная на конфиденциальность.

Вы можете узнать больше о Monero на getmonero.org.

Вы можете просмотреть способы его приобретения на сайте www.monero.how/how-to-buy-monero.

[Q5] Как мне расшифровать свои файлы?

[A5] Следуйте общим инструкциям:

-1. Купить 02 XMR.

-2. Свяжитесь с helpdecryptmyfiles@yandex.com и отправьте следующий ключ:

----- НАЧАЛО ПУБЛИЧНОГО КЛЮЧА REDEEMER -----

NDEhcA ***

----- КОНЕЦ ПУБЛИЧНОГО КЛЮЧА REDEEMER -----

-3. Вы получите адрес XMR, по которому вам нужно будет заплатить запрошенную сумму Monero.

-4. После того, как вы оплатите и подтвердите платеж, вы получите инструмент для дешифрования и ключ, который вернет все ваши файлы и ваш компьютер в нормальное состояние.

Скриншоты с сайта вымогателей:

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, очищает журналы Windows. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read Me.TXT - название файла с требованием выкупа;

svchost.exe - название вредоносного файла; 
sqlservr.exe - название вредоносного файла; 

test_redeemer - название вредоносного файла; 

rem.bat - командный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion

Email: helpdecryptmyfiles@yandex.com
XMR: ***

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e37a0ece30267233f1dddf3c2300393f

SHA-1: 27610367c41c1b8d3a26885b40fd7aac748189b2

SHA-256: bb7e2066f53bdbb8e93edfa8e900d5be3e2d00ca0a59f9feaa8b8107db7a5d4d

Vhash: 016076656d551d15556118z93hz23z4fz

Imphash: bf1619301d6638d5330bd0d6299a7f70

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e1338c42da2d2363afbbd0eeabad1ca9

SHA-1: fe5d669b732c9227bb25787083906f49b732c335

SHA-256: 61c47effdf6b6eafd20e74a8a6b52da09e082fefef31c6ae4a2046b6a756050e

Vhash: 016076656d5d1515556128z93hz33z4fz

Imphash: a5311b2b44ff0d9b353e7814b2e15f15

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 20 июля 2022:

Статья на сайте BC >>

Расширение: .redeem

Записка: Read Me.TXT

Записка также добавляется в раздел реестра Winlogon, чтобы сообщить пользователю о том, что произошло после перезагрузки системы.

Новая версия 2.0 написана на C++ и работает на Windows Vista, 7, 8, 10, 11. 

Любой может загрузить и использовать сборщик Redeemer Ransomware для атак. После уплаты выкупа, автор получает 20% комиссии и дает мастер-ключ, который должен быть объединен с закрытым ключом сборки, хранящимся у партнера, чтобы расшифровать файлы.

Добавлены XMPP и Tox-чат. 

Сообщение на форуме о релизе новой версии Redeemer 2.0.

Описание новой версии Redeemer 2.0 на сайте dread. 

Текстовое сообщение о выкупе и сообщение, добавленное в реестр Windows и показываемое после перезагрузки системы. 

Зашифрованные файлы получают другой "Redeemer" значок. 

Оригинальные незашифрованные файлы не все удаляются. 

При открытии зашифрованных файлов выводится следующее сообщение. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.