Encoded01 Ransomware
Aliases: Lock-Encoded01, Sugar
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34486
BitDefender -> Gen:Trojan.Heur.DP.dqW@aKaGpVh
ESET-NOD32 -> Win32/Filecoder.OJD
Microsoft -> Ransom:Win32/Filecoder!MSR
Rising -> Trojan.Generic@ML.93 (RDMK:+rmR*
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Filecoder.R002C0DK921
---
© Генеалогия: ??? >> Encoded01
Сайт "ID Ransomware" идентифицирует это как Sugar / Encoded01.
Информация для идентификации
Активность этого крипто-вымогателя была в начале ноября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .encoded01
Записка с требованием выкупа называется: BackFiles_encoded01.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Скриншоты сайта вымогателей:
Записка с требованием выкупа называется: BackFiles_encoded01.txt
Содержание записки о выкупе:
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension .encoded01.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant
return your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our
work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt 1-5 files for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause
just we have the private key. In practise - time is much more valuable than money.
[+] How to get access on website? [+]
You can open our site by the shortcut "SUPPORT (TOR_BROWSER)" created on the desktop.
Also as the second option you can install the tor browser:
a) Download and install TOR browser from this site: https://torproject.org/
b) Open our website. Full link will be provided below.
-----------------------------------------------------------------------------------------
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions
- its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything
for restoring, but please should not interfere.
!!! !!! !!!
-----------------------------------------------------------------------------------------
Your ID:
rWtm070iCyddsgPzYb6%2F5sYFDOW***
Your support onion(TOR) url:
hxxx://chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion/gate.php?data=rWtm070iCyddsgPzYb6%2F5***
Перевод записки на русский язык:
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете это проверить: все файлы в вашей системе имеют расширение .encoded01.
Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. Иначе вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - никто с нами не будет сотрудничать. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, Вам следует зайти на наш сайт. Там можно бесплатно расшифровать 1-5 файлов. Это наша гарантия.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо дороже денег.
[+] Как получить доступ на сайт? [+]
Вы можете открыть наш сайт с помощью ярлыка & quot; ПОДДЕРЖКА (TOR_BROWSER) & quot; создан на рабочем столе.
Также в качестве второго варианта вы можете установить браузер tor:
а) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
б) Откройте наш сайт. Полная ссылка будет предоставлена ниже.
-------------------------------------------------- ---------------------------------------
!!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменять файлы сами, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные решения.
- это может повлечь за собой повреждение закрытого ключа и, как результат, потерю всех данных.
!!! !!! !!!
ЕЩЕ ОДИН РАЗ: в ваших интересах вернуть свои файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но просим не мешать.
!!! !!! !!!
-------------------------------------------------- ---------------------------------------
Ваш ID:
rWtm070iCyddsgPzYb6%2F5sYFDOW ***
URL вашего onion(TOR):
hxxx://chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion/gate.php?data=rWtm070iCyddsgPzYb6%2F5***
Скриншоты сайта вымогателей:
Содержание текста на сайте:
Your network has been infected!
Your documents, photos, databases and other important files encrypted
To decrypt your files you need to buy our special software - General-Decryptor
You can do it right now. Follow the instructions below. But remember that you do not have much time
How to recover my files?
We guarantee that you can recover all your files safely and easily. You can decrypt a single file for warranty - we can do it. But if you want to decrypt all your files, you need to pay. Write to support if you want to buy decryptor.
You can decrypt 5 files
Choose file
Your Wallet Address: | Sum: 0.00311081
Содержание текста на сайте:
Ваша сеть заражена!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы
Для расшифровки файлов вам надо купить специальную программу - General-Decryptor
Вы можете сделать это прямо сейчас. Следуйте инструкциям ниже. Но помните, что у вас мало времени
Как восстановить мои файлы?
Мы гарантируем, что вы сможете вернуть все свои файлы легко и безопасно. Вы можете расшифровать один файл по гарантии - мы сделаем это. Но если хотите расшифровать все свои файлы, вам нужно заплатить. Напишите в поддержку, если хотите купить дешифратор.
Вы можете расшифровать 5 файлов
Выберите файл
Адрес вашего кошелька: | Сумма: 0.00311081
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, исключаемые из шифрования:
BOOTNXT; bootmgr; pagefile; .exe; .dll; .sys; .lnk; .bat; .cmd; .ttf; .manifest; .ttc; .cat; .msi;
Папки, исключаемые из шифрования:
windows, DRIVERS, PerfLogs, temp, boot
Файлы, связанные с этим Ransomware:
BackFiles_encoded01.txt - название файла с требованием выкупа;
jaUgZXVa4Lre4nNpUGLvLJ2baxDc4ODmB0INEt2y.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Roaming\Microsoft\Word\STARTUP\BackFiles_encoded01.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion
URL-проверка IP: hxxxs://whatismyipaddress.com/
Email:
BTC:
BTC:
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 1cc5b508da9567f032ed78375bb45959
SHA-1: c31a0e58ae70f571bf8140db8a1ab20a7f566ab5
SHA-256: 315045e506eb5e9f5fd24e4a55cda48d223ac3450037586ce6dab70afc8ddfc9
Vhash: 05404e55151d7bz8!z
Imphash: 29dc79e4c9ab8bfa299719f434758791
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 25 ноября 2021:
Расширение: .encoded01
Записка: BackFiles_encoded01.txt
Tor-URL: hxxx://chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion/***
Обнаружения:
DrWeb -> Trojan.Encoder.34595
BitDefender -> Gen:Variant.Ransom.Sugar.17
ESET-NOD32 -> A Variant Of Win32/Filecoder.OJD
Kaspersky -> Trojan-Ransom.Win32.Cryptor.esp
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.Encoded01
Microsoft -> Ransom:Win32/FileCryptor.MAK!MTB
Rising -> Ransom.Cryptor!8.10A9 (CLOUD)
Symantec -> Ransom.Crysis
Tencent -> Win32.Trojan.Filecoder.Htlq
TrendMicro -> Ransom.Win32.SUGARCRYPT.THBODBB
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
