Infection Monkey

Infection Monkey Ransomware

(платформа для моделирования атаки шифровальщика) (первоисточник на русском)

Translation into English

Этот крипто-вымогатель не существует в "диком" виде, не шифрует данные пользователей с помощью комбинации алгоритмов, не требует выкуп в BTC, чтобы вернуть файлы. Оригинальное название: Infection Monkey. 

Infection Monkey — это инструмент безопасности с открытым исходным кодом для тестирования устойчивости центра обработки данных к нарушениям периметра и внутреннему заражению сервера. Monkey использует различные методы для самораспространения по центру обработки данных и сообщает об успехе централизованному серверу Monkey Island.

Infection Monkey состоит из двух частей:

Monkey (Обезьяна) — инструмент, который заражает другие машины и распространяется на них.

Monkey Island (Остров обезьян) — выделенный сервер для контроля и визуализации прогресса Infection Monkey внутри центра обработки данных.

Подробное описание на англиском языке >>

Сайт "ID Ransomware" идентифицирует это как Infection Monkey.

Информация для идентификации

Элементы этого крипто-вымогателя были добавлены в "ID Ransomware" для идентификации вероятной переделки или имитации в сентябре 2021 г. Это было сделано после того, как в уже существующую платформу моделирования атак "Infection Monkey" была добавлена имитация атаки программы-вымогателя с шированием файлов. 

Зашифрованные файлы будет иметь расширение: .m0nk3y

Записка с требованием выкупа называется: README.txt

Текст из записки Infection Monkey:

This is NOT a real ransomware attack.

Infection Monkey is an open-source breach and attack simulation (BAS) platform. The files in this directory have been manipulated as part of a ransomware simulation. If you've discovered this file and are unsure about how to proceed, please contact your administrator.

For more information about Infection Monkey, see https://www.guardicore.com/infectionmonkey.

For more information about Infection Monkey's ransomware simulation, see https://www.guardicore.com/infectionmonkey/docs/reference/ransomware.

Перевод на русский язык: 

Это НЕ настоящая атака программы-вымогателя.

Infection Monkey - это платформа с открытым исходным кодом для моделирования взломов и атак. Файлы в этом каталоге изменены в рамках имитации ransomware. Если вы обнаружили этот файл и не знаете, что делать дальше, сообщите администратору.

Для получения информации о Infection Monkey см. Https://www.guardicore.com/infectionmonkey.

Для получения информации о моделировании Infection Monkey Ransomware см. https://www.guardicore.com/infectionmonkey/docs/reference/ransomware.

---

Содержание документации для имитации

Infection Monkey может имитировать атаку программы-вымогателя в вашей сети, используя набор настраиваемых поведений.

Шифрование

Чтобы более точно имитировать поведение программы-вымогателя, Infection Monkey может зашифровать файлы, указанные пользователем, используя полностью обратимый алгоритм. Имеется ряд механизмов, гарантирующих, что все действия, выполняемые подпрограммой шифрования, безопасны для производственной среды.

Подготовка вашей среды к симуляции программы-вымогателя

Infection Monkey будет шифровать только те файлы, которые вы ему разрешите. Чтобы в полной мере воспользоваться имитацией Infection Monkey Ransomware, вам надо предоставить Infection Monkey каталог, содержащий файлы, которые можно безопасно зашифровать. Рекомендуемый подход —  использовать инструмент удаленного администрирования, например Ansible  или PsExec  чтобы добавить каталог-цель для Ransomware на каждый компьютер в вашей среде. Затем Infection Monkey можно настроить для шифрования файлов в этом каталоге.

Настройка шифрования

Чтобы обеспечить минимальное вмешательство и легкость восстановления, имитация программы-вымогателя будет шифровать только файлы, содержащиеся в указанном пользователем каталоге. Если каталог не указан, файлы не будут зашифрованы.

Как шифруются файлы?

Файлы шифруются на месте с помощью простого переворота битов. К зашифрованным файлам добавляется расширение .m0nk3y. Это безопасный способ имитации шифрования, т.к. файлы легко расшифровать. Вы сможете просто удалить у файлов добавленные расширения .m0nk3y.

Переворота битов файла достаточно, чтобы смоделировать поведение программы-вымогателя при шифровании, поскольку данные в ваших файлах были изменены и временно стали непригодными для использования. Затем файлы переименовываются с добавлением нового расширения, что аналогично поведению многих программ-вымогателей. Поскольку это моделирование, ваши решения по безопасности должны срабатывать, чтобы уведомить вас или предотвратить эти изменения.

Какие файлы будут зашифрованы?

Во время моделирования атаки программы-вымогателя будут предприняты попытки зашифровать все файлы с целевыми расширениями в настроенном каталоге. Моделирование не является рекурсивным, т.е. оно не затрагивает файлы в подкаталогах настроенного каталога. Infection Monkey не будет переходить по каким-либо символическим ссылкам или ярлыкам.

Эти меры предосторожности сделаны, чтобы Infection Monkey не могла случайно зашифровать файлы, которые вы не хотели шифровать.

Технические детали + IOC

Infection Monkey использует следующие методы и эксплойты для распространения на другие машины:

- известные уязвимые пароли, распространенные эксплойты, хищение паролей с помощью Mimikatz;

- в числе эксплойтов SSH, SMB, WMI, Shellshock, Conficker, Elastic Search (CVE-2015-1427), Weblogic server и многие другие. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:

.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .avi, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .giff, .gz, .h, .hdd, .jpeg, .jpg, .kdbx, .mail, .mdb, .mpeg, .mpg, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .png, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .tiff, .txt, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip (74 расширения).  

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и другие изображения, видео, файлы образов, архивы, файлы прикладных программ и пр. 

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
<filename>.exe или <random>.exe - оригинальное или  случайное название исполняемого файла. 

Расположения:
\Specified_directory\ -> 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up 
 ***

 Thanks: 
 Kevin Beaumont, Guardicore, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Unibovwood

Unibovwood Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.40388
BitDefender -> Trojan.Agent.FMMH
ESET-NOD32 -> Win32/Filecoder.OIK
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Crypmod.MAK!MTB
Rising -> Ransom.Agent!1.D96E (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11cd2110
TrendMicro -> Trojan.Win32.SERIOS.THIOHBA
---

© Генеалогия: ??? >> Unibovwood

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в начале сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: ReadMe.txt

Содержание записки о выкупе:

Gentlemen!

Your business is at serios risk .

There is a significant hole in the security system of your company.

We have easily penetrated your network.

You should thank the Lord for being hacked by serios people not some stupid schoolboys or dangerous punks.

They can damage all your important data just for fun.

All files on each host in the network have been encrypted with a strong algorithm 

Now your files are crypted with the strongest millitary algorithms RSA4096 and AES-256.

No one can help you to restore files without our special decoder.

Photorec, RannoDecryptor etc. repair tools

Are useless and can destroy your files irreversibly.

If you want to restore your files write to emails (contacts are at the bottom of the sheet )

and attach 2 encrypted files

(Less than 5 Mb each, non-archived and your files should not contain valuable information

(Databases, backups, large excel sheets, etc. ))

You will receive decrypted samples and our conditions how to get the decoder.

Please don't forget to write the name of your company in the subject of your e-mail.

You have to pay for decryption in Bitcoins.

The final price depends on how fast you write to us.

Every day of delay will cost you additional BTC

Nothing personal just business

As soon as we get bitcoins you'll get all your decrypted data back.

Moreover you will get instructions how to close the hole in security

and how to avoid such problems in the future

    we will recommend you special software that makes the most problems to hackers.

Attention! One more time !

Do not rename encrypted files.

Do not try to decrypt your data using third party software.

P.S. Remember, we are not scammers.

We dont need your files and your information.

But after 2 weeks all your files and keys will be deleted automatically.

Just send a request immediately after infection.

All data will be restored absolutely.

Your warranty - decrypted samples.

Contact emails 

Primary email : unibovwood1984@protonmail.com

Secondary email : ormecha19@tutanota.com 

Перевод записки на русский язык:

Господа!

Ваш бизнес подвергается серьезному риску.

В системе безопасности вашей компании есть серьезная дыра.

Мы легко проникли в вашу сеть.

Вы должны благодарить Господа за то, что вас взламывают серьезные люди, а не глупые школьники или опасные панки.

Они могут повредить все ваши важные данные просто для удовольствия.

Все файлы на каждом хосте в сети зашифрованы с помощью надежного алгоритма.

Теперь ваши файлы зашифрованы с помощью самых надежных военных алгоритмов RSA4096 и AES-256.

Никто не сможет помочь вам восстановить файлы без нашего специального декодера.

Инструменты для ремонта Photorec, RannoDecryptor и др. бесполезны и могут безвозвратно уничтожить ваши файлы.

Если вы хотите восстановить свои файлы, пишите на email (контакты внизу листа)

и прикрепите 2 зашифрованных файла

(Менее 5 Мб каждый, не в архиве, и ваши файлы не должны содержать ценной информации

(Базы данных, резервные копии, большие листы Excel и т. д.))

Вы получите расшифрованные образцы и наши условия получения декодера.

Не забудьте указать название вашей компании в теме письма.

Вы должны заплатить за расшифровку в биткойнах.

Окончательная цена зависит от того, как быстро вы нам напишите.

Каждый день задержки будет стоить вам дополнительных BTC

Ничего личного просто бизнес

Как только мы получим биткойны, вы получите обратно все расшифрованные данные.

Кроме того, вы получите инструкции, как закрыть брешь в безопасности.

и как избежать подобных проблем в будущем мы порекомендуем вам специальную программу, которая доставит больше всего проблем хакерам.

Внимание! Еще раз !

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать ваши данные с помощью сторонних программ.

P.S. Помните, мы не мошенники.

Нам не нужны ваши файлы и ваша информация.

Но через 2 недели все ваши файлы и ключи будут удалены автоматически.

Просто отправьте запрос сразу после заражения.

Все данные будут восстановлены абсолютно.

Ваша гарантия - расшифрованные образцы.

Контактные адреса email

Основной адрес email: unibovwood1984@protonmail.com

Дополнительный адрес email: ormecha19@tutanota.com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: unibovwood1984@protonmail.com, ormecha19@tutanota.com   
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: fc95d7841f298dbe638cbe63d7878d89

SHA-1: 919324ceb106a872866c9b78612094666644b03d

SHA-256: 44f0b6ee096aeb62aa585a0c37decaae0177eae22c18e40b0e823d9eaf856b78

Vhash: 0160b6665d5c0d5d151c0035zb002b1z25z3bz203cz3

Imphash: d44f052cc03bd4241e051835ae399fb9

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Janelle

Janelle Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $600 в BTC, чтобы вернуть файлы. Оригинальное название: Janelle. На файле написано: Click.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34315
BitDefender -> Generic.Ransom.Hiddentear.A.AA216A1F
ESET-NOD32 -> MSIL/Filecoder.AKY
Malwarebytes -> Malware.AI.3709760228
Microsoft -> Ransom:MSIL/Janelle.PAA!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11cc6743
TrendMicro -> Ransom_Janelle.R002C0DIG21
---

© Генеалогия: ??? >> Janelle

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале/середине/конце июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляются расширения: 

.aes
.aes.JANELLE

Записки с требованием выкупа называются: 

Readme.txt

index.html

Содержание записки Readme.txt:

Q:  What's wrong with my files?

A:  Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.

If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!

Let's start decrypting!

Q:  What do I do?

A:  First, you need to pay service fees for the decryption.

Please send $600 worth of bitcoin to this bitcoin address: 114NHHMdrCuJ6P3mwHHeyWvwdWdDWzqdpo

Next, please contact me at jannelle2021@protonmail.com with proof of payment

(You may need to disable your antivirus for a while.)

Q. Finding it hard to buy bitcoins ?

A:  You can also purchase bitcoins at a bitcoin ATM near you.

Q: How do I know this is legit?

A:  You have two options.

You either loose all your files or you pay the ransom and have your files decrypted.

*If you need our assistance, send an email at janelle2021@protonmail.com on the decryptor window.  

Перевод записки Readme.txt на русский язык:

В: Что не так с моими файлами?
О: Ой, ваши важные файлы зашифрованы. Это значит, что вы больше не сможете получить к ним доступ, пока они не будут расшифрованы.
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
Приступим к расшифровке!
Q: Что мне делать?
О: Во-первых, вам необходимо оплатить услуги расшифровки.
Отправьте биткойны на сумму $600 на этот биткойн-адрес: 114NHHMdrCuJ6P3mwHHeyWvwdWdDWzqdpo
Затем, пожалуйста, свяжитесь со мной по jannelle2021@protonmail.com с подтверждением оплаты.
(Возможно, вам придется на время отключить антивирус.)
В. Вам сложно покупать биткойны?
О: Вы также можете приобрести биткойны в ближайшем к вам биткойн-банкомате.
В: Как я узнаю, что это законно?
О: У вас есть два варианта.
Вы либо теряете все свои файлы, либо платите выкуп, и ваши файлы расшифровываются.
* Если вам нужна наша помощь, отправьте электронное письмо на janelle2021@protonmail.com в окне дешифратора.

Содержание записки index.html:

What Happened to My Computer?

Your important files are encrypted. Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.

Can I Recover My Files?

Sure. We guarantee that you can recover all your files safely and easily. But if you want to decrypt all your files, you need to pay. You have 24 hours to submit the payment. After that the price will be doubled. Also, if you don't pay in 7 days, you will not be able to recover your files forever.

How Do I Pay?

Payment is accepted in Bitcoin only. For more information, click .

Please check the current price of Bitcoin and buy some bitcoins. For more information, click .

And send the correct amount to the address specified in this window.

After your payment, click . Best time to check: 9:00am - 11:00am GMT from Monday to Friday.

Once the payment is checked, you can start decrypting your files immediately.

Contact

If you need our assistance, send a message by clicking .

We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, you will not be able to recover your files even if you pay!

Перевод записки записки index.html на русский язык:

Что случилось с моим компьютером?

Ваши важные файлы зашифрованы. Многие из ваших документов, фото, видео, баз данных и других файлов теперь недоступны, т.к. они были зашифрованы. Возможно, вы ищете способ вернуть свои файлы, но не теряйте зря время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.

Могу ли я восстановить свои файлы?

Конечно. Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы. Но если вы хотите расшифровать все свои файлы, вам нужно будет заплатить. У вас есть 24 часа, чтобы отправить платеж. После этого цена будет увеличена вдвое. Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить свои файлы никогда.

Как мне оплатить?

Оплата принимается только в биткойнах. Для получения информации щелкните.

Пожалуйста, проверьте текущую цену биткойнов и купите биткойны. Для получения информации щелкните.

И отправьте правильную сумму на адрес, указанный в этом окне.

После оплаты нажмите. Лучшее время для проверки: 9:00 - 11:00 по Гринвичу с понедельника по пятницу.

После проверки оплаты вы можете сразу же приступить к расшифровке файлов.

Контакт

Если вам нужна наша помощь, отправьте сообщение, щелкните.

Мы очень рекомендуем вам не удалять эту программу и на время отключить антивирус, пока вы не заплатите и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, вы не сможете восстановить свои файлы, даже если заплатите!

Другим информатором жертвы выступает экран блокировки с двумя таймерами. 

Также используется изображение, заменяющее обои Рабочего стола, с надписью: 

God is... MERCIFUL

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;

index.html - название файла с требованием выкупа;

ddd.txt - файл с идентификатором; 

EncryptedKey.txt - файл с клюбчом шифрования; 

background.png - изображение, заменяющее обои Рабочего стола; 

AmazonValidatorbyCodeX.exe - название вредоносного файла; 

Click.exe - название вредоносного файла; 

NumifyV2.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\NumifyV2.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jannelle2021@protonmail.com
BTC: 114NHHMdrCuJ6P3mwHHeyWvwdWdDWzqdpo

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f7aded1fe838c4575a9c79edd4c17c6d

SHA-1: 4d4c757852cbd46c493841c6630a2615042df61d

SHA-256: 81331f7bbcf9c0b0f000ff6ab02dcc40b30c0cce5b3daa23f9efb1bc70fab4e8

Vhash: 215036751512b0882e327025

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Penta

Penta Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0035 BTC, чтобы вернуть файлы. Оригинальное название: Penta. На файле написано: Penta.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.36585
BitDefender -> Trojan.GenericKD.37497577
ESET-NOD32 -> A Variant Of MSIL/ClipBanker.SX
Kaspersky -> HEUR:Trojan-Dropper.MSIL.Autit.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Penta.B!MTB
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_Penta.R067C0DIG21
---

© Генеалогия: ??? >> Penta

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .PENTA 

Записка с требованием выкупа называется: PENTA_README.txt

Содержание записки о выкупе:

If you want to recover your files, follow these commands and purchase a recovery key.

====================================================

1. Please contact us by email below and send us your VH2S, which is your VICTOM number.

2. If you have sent the correct VICTOM number via email, you will be sent a site where you can purchase the recovery key.

3. Go to the www.torproject.org site and download the Tor browser.

4. Please connect to the site and send 0.0035 bitcoin to the bitcoin wallet written on the site. If you don't have bitcoin, buy it with your credit card and send it.

5. If the purchase is complete, download and run the recovery key. Your files will be restored if the program has run normally. If you run the program and nothing happens, please run the program again.

==========EMAIL==========

pentros30@protonmail.com

pentaxyz777@protonmail.com

gxa34rttf50gqlagnes@gmail.com

Перевод записки на русский язык:

Если вы хотите восстановить файлы, следуйте этим командам и купите ключ восстановления.

================================================== ==

1. Напишите нам на email ниже и отправьте нам свой VH2S, который является вашим номером ЖЕРТВЫ.

2. Если вы отправили правильный номер ЖЕРТВЫ на email, вам будет отправлен сайт, на котором вы сможете купить ключ восстановления.

3. Зайдите на сайт www.torproject.org и загрузите браузер Tor.

4. Подключитесь к сайту и отправьте 0.0035 биткойнов на биткойн-кошелек, указанный на сайте. Если у вас нет биткойнов, купите его с помощью кредитной карты и отправьте.

5. Если покупка завершена, загрузите и запустите ключ восстановления. Ваши файлы будут восстановлены, если программа работает нормально. Если при запуске программы ничего не происходит, запустите ее еще раз.

==========EMAIL==========

pentros30@protonmail.com

pentaxyz777@protonmail.com

gxa34rttf50gqlagnes@gmail.com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

В зашифрованном файле содержится ключ шифрования. 

Файлы, связанные с этим Ransomware:
PENTA_README.txt - название файла с требованием выкупа;
PENTA.exe - название вредоносного файла;

PENTA_RANSOMWARE.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pentros30@protonmail.com

pentaxyz777@protonmail.com

gxa34rttf50gqlagnes@gmail.com

BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ebe64febebaba6afb65f51168a40934b

SHA-1: 9e04c2831f89085edc646cdf25afbdf24d3236be

SHA-256: e990841e3e475107fcd59bee9ab18b79d44d8602e20b877a6959a68117540365

Vhash: 27403665151110262f122080

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 сентября 2021:

Сообщение >>

Записка: PENTA_README.txt

BTC: 0.0035

Email: pentros30@protonmail.com

Tor-URL: www.pentakey_35FH_0V1X_GRR3.onion

Файл: PENTA_RANSOMWARE.exe

Результаты анализов: 

IOS: VT, AR

MD5: 81f5893f673b81ed4a271634c899aed2

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.