WinCrypto

WinCrypto Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: WinCrypto Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.PWS.Siggen3.8291
BitDefender -> Gen:Variant.Razy.976809
ESET-NOD32 -> A Variant Of MSIL/Kryptik.ZIR
Kaspersky -> HEUR:Backdoor.MSIL.Bladabindi.gen
Malwarebytes -> Ransom.HiddenTear
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Kryptik.Hrfk
TrendMicro -> TROJ_GEN.R002C0PLC21
---

© Генеалогия: HiddenTear >> WinCrypto

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wincrypto 


Записка с требованием выкупа называется: README WINCRYPTO.txt

Содержание записки о выкупе:

WINCRYPTO RANSOMWARE

YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAS BEEN ENCRYPTED!

THE ONLY WAY TO DECRYPT YOUR FILES IS TO RECEIVE THE PRIVATE KEY AND DECRYPTION SOFTWARE.

TO RECEIVE THE PRIVATE KEY AND DECRYPTION SOFTWARE GO TO ANY DECRYPTED FOLDER - INSIDE

THERE IS THE SPECIAL FILE 'README WINCRYPTO.TXT' WITH COMPLETE INSTRUCTIONS HOW TO DECRYPT YOUR FILES.

IF YOU CANNOT FIND ANY 'README WINCRYPTO.TXT' FILE AT YOUR PC.

FOLLOW THE INSTRUCTIONS BELOW.

1. DOWNLOAD 'TOR BROWSER' FROM 'HTTPS://TORPROJECT.ORG' AND INSTALL IT.

2. IN THE 'TOR BROWSER' OPEN YOUR PERSONAL PAGE HERE.

HTTPS://WINCRYPTO23XA93KU9234XN.ONION/7U2D-23MA-0M8C-M2AS

NOTE! THIS PAGE IS AVAILABLE VIA 'TOR BROWSER' ONLY.

      FILE RECOVERY IS IMPOSSIBLE WHEN ANTI-VIRUS IS ACTIVATED AND THIS SOFTWARE IS TERMINATED!

Перевод записки на русский язык:

WINCRYPTO RANSOMWARE

ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!

ЕДИНСТВЕННЫЙ СПОСОБ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ — ЭТО ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ И ПРОГРАММУ ДЛЯ РАСШИФРОВКИ.

ЧТОБЫ ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ И ПРОГРАММУ ДЛЯ РАСШИФРОВКИ, ПЕРЕЙДИТЕ В ЛЮБУЮ ЗАШИФРОВАННУЮ ПАПКУ - ВНУТРИ

ЕСТЬ СПЕЦИАЛЬНЫЙ ФАЙЛ «README WINCRYPTO.TXT» С ПОЛНЫМИ ИНСТРУКЦИЯМИ ПО РАСШИФРОВКЕ ВАШИХ ФАЙЛОВ.

ЕСЛИ ВЫ НЕ МОЖЕТЕ НАЙТИ ФАЙЛ «README WINCRYPTO.TXT» НА СВОЕМ КОМПЬЮТЕРЕ.

СЛЕДУЙТЕ ПРИВЕДЕННЫМ НИЖЕ ИНСТРУКЦИЯМ.

1. ЗАГРУЗИТЕ «TOR BROWSER» С «HTTPS://TORPROJECT.ORG» И УСТАНОВИТЕ ЕГО.

2. В «ТОР-БРАУЗЕРЕ» ОТКРОЙТЕ СВОЮ ЛИЧНУЮ СТРАНИЦУ ЗДЕСЬ.

HTTPS://WINCRYPTO23XA93KU9234XN.ONION/7U2D-23MA-0M8C-M2AS

ПРИМЕЧАНИЕ! ЭТА СТРАНИЦА ДОСТУПНА ТОЛЬКО ЧЕРЕЗ TOR-БРАУЗЕР.

       ВОССТАНОВЛЕНИЕ ФАЙЛОВ НЕВОЗМОЖНО, КОГДА АНТИВИРУС АКТИВИРОВАН И ЭТА ПРОГРАММА ПРЕКРАЩЕНА!

Записка с требованием выкупа написана на экране блокировки. 

Текст аналогичен.  

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README WINCRYPTO.txt - название файла с требованием выкупа;
WinCrypto Ransomware.exe, RuntimeBroker.exe - названия вредоносного файла; 

sctipt.bat - командный файл; 

check2.py и другие. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: https://wincrypto23xa93ku9234xn.onion/7u2d-23ma-0m8c-m2as

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 27786f44811d4832d01246e529b94320

SHA-1: b31bd516fe0ca01cd139739867ae2c60054dc328

SHA-256: 5c396be42657aecabd75f8be6ac9b3af96fa1243a4a50214b3543617f39d6c5b

Vhash: 24603665151290751750021

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Khonsari

Khonsari Ransomware

Khonsari Cover-Ransomware

Log4Shell Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Khonsari Ransomware. На файле написано: FecitAntiques.exe или groenhuyzen.exe. Использует уязвимость Log4Shell. Источником уязвимости является Log4j, библиотека ведения журналов, используемая широким спектром приложений, в частности версиями до 2.14.1. Злоумышленники используют эту уязвимость для установки различных вредоносных программ, включая майнеры криптовалют, ботнеты и даже маяки Cobalt Strike. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31
BitDefender -> Trojan.GenericKD.38255775
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ANF
Malwarebytes -> Ransom.Khonsari
Microsoft -> Ransom:MSIL/Khonsari.A
Rising -> Trojan.Generic/MSIL@AI.91 (RDM.MSIL:VRn24*
Symantec -> Ransom.Khonsari
Tencent -> Msil.Trojan.Encoder.Wsan
TrendMicro -> Ransom.MSIL.KHONSARI.YXBLN
---

© Генеалогия: публичные исходники низкого качества >> Khonsari

Этимология названия:

Вымогатели использовали чужую фамилию Khonsari для названия своей программы-вымогателя и чужую контактную информацию. Поэтому неясно, является ли этот Khonsari реальной жертвой атаки вымогателя или указан с какой-то целью. Упоминая семью Khonsari вымогатели могли иметь ввиду и других представителей фамилии, в том числе известного сценариста и режиссёра компьютерных игр Khonsari. Поиск в Google показывает немало людей с такой фамиией. Более того, название файла FecitAntiques.exe указывает на компанию в Луизиане (США). 

Сайт "ID Ransomware" идентифицирует это как Khonsari. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .khonsari

Записка с требованием выкупа называется: HOW TO GET YOUR FILES BACK.TXT

Содержание записки о выкупе:

Your files have been encrypted and stolen by the Khonsari family.

If you wish to decrypt , call (225) 287-1309 or email karenkhonsari@gmail.com.

If you do not know how to buy btc, use a search engine to find exchanges.

DO NOT MODIFY OR DELETE THIS FILE OR ANY ENCRYPTED FILES. IF YOU DO, YOUR FILES MAY BE UNRECOVERABLE.

Your ID is:dmQLVm/tVhClQUxk8LP6***

Перевод записки на русский язык:

Ваши файлы зашифрованы и украдены семьей Хонсари.

Если вы хотите расшифровать, звоните (225) 287-1309 или email на  karenkhonsari@gmail.com.

Если вы не знаете, как купить биткойны, используйте поисковую систему для поиска бирж.

НЕ ИЗМЕНЯЙТЕ И НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ ИЛИ ЛЮБЫЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ. ЕСЛИ ВЫ ЭТО СДЕЛАЕТЕ, ВАШИ ФАЙЛЫ НЕВОЗМОЖНО БУДЕТ ВОССТАНОВИТЬ.

Ваш ID: dmQLVm/tVhClQUxk8LP6***

---
Кажется странным, что вымогатели не требуют ничего для себя, не дают никаких контактов для связи, чтобы пострадавшие могли заплатить выкуп и вернуть файлы. По этой причине программу-вымогатель уже назвали вайпером (wiper), который просто портит файлы. Но на самом деле злоумышленники имеют вполне определённые цели. 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Подробная информация о применении уязвимости Log4Shell и срабатывании, описана в статье Bitdefender. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ После запуска вредоносный файл перечислит все диски и зашифрует их полностью, кроме диска C:\. 

На диске C:\ будут зашифрованы только следующие пользовательские папки:

C:\Users\User\Documents

C:\Users\User\Videos

C:\Users\User\Pictures

C:\Users\User\Downloads

C:\Users\User\Desktop

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Файлы с расширениями .ini и .lnk игнорируются.

➤ Пытается установит майнер криптовалюты XMRig. По этой причине я отношу Khonsari к Cover-Ransomware (CRW, CRw). Я ввел в Дайджесте новое название "Cover-Ransomware" для программ-вымогателей, которые являются прикрытием для установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя подобным образом, уже были описаны в нашем Дайджесте, без выделения в отдельный вид. Другие Cover-Ransomware: CoronaVirus Ransomware, Sadogo Ransomware, ShadowCryptor Ransomware. 

Файлы, связанные с этим Ransomware:
HOW TO GET YOUR FILES BACK.TXT - название файла с требованием выкупа;
FecitAntiques.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\FecitAntiques.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Phone: (225) 287-1309

Email: karenkhonsari@gmail.com

URL: hxxx://3.145.115.94/Main.class

hxxx://3.145.115.94/zambo/groenhuyzen.exe

hxxx://3.145.115.94/zambos_caldo_de_p.txt

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6ac57a1e090e7abdb9b7212e058c43c6

SHA-1: 0a1e239348a73b1a95ac1767c8afebe4b98cdeff

SHA-256: f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789

Vhash: 214036551511a082e60020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up, Topic of Support
 Ransomware Advisory: Log4Shell

 Thanks: 
 dnwls0719, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Doitman

Doitman Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Doitman и Doitman.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34692
BitDefender -> Trojan.GenericKD.47601004
ESET-NOD32 -> A Variant Of MSIL/Filecoder.XF
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Casdet!rfn
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Cryptor.Ecac
TrendMicro -> Ransom.MSIL.DOITMAN.THLAOBA
---

© Генеалогия: ??? >> Doitman

 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам никакое расширение не добавляется, но файл переименовываются набором цифр и букв в верхнем регистре.

Пример зашифрованного файла: 7663726564697374323031305F7836342E6C6F672E68746D6C

Записка с требованием выкупа называется: !!ReadmeForHelp!!.txt

Содержание записки о выкупе:

Your files are encrypted!

YOUR PERSONAL ID rJRMCpqvFjP6UJrNQ6c6JG2hjyUbdXrQV9I*****

For get instructions to decrypting files  write to email 

kramexfile@tuta.io or helpsforyou@mail.ru

If you have not received a response within an hour,

or our mail is blocked, write to this email crusetfile@protonmail.com

 

Перевод записки на русский язык:

Ваши файлы зашифрованы!

ВАШ ЛИЧНЫЙ ID rJRMCpqvFjP6UJrNQ6c6JG2hjyUbdXrQV9I*****

Чтобы получить инструкции по расшифровке файлов, напишите на email

kramexfile@tuta.io или helpforyou@mail.ru

Если вы не получили ответа в течение часа,

или наша почта заблокирована, пишите на email crusetfile@protonmail.com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!ReadmeForHelp!!.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;  

Doitman.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kramexfile@tuta.io, helpsforyou@mail.ru, crusetfile@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f28ac8c53e1776f0bb151bfe969cb50c

SHA-1: ac6d92aa5213bf0431999688f63c37d72a6206bf

SHA-256: e95902e83c3cd7ceef665f91faba200dd487a073996e34ae3f041a00d0a061a5

Vhash: 21505f76551516180a1d11010

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

NotRansomCryptoLock

NotRansom CryptoLock Ransomware

NRCL Ransomware

(шифровальщик-не-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в $300, чтобы вернуть файлы. Используется несуществующий тестовый email. Оригинальное название: NotRansom_CryptoLock_Dropper. На файле написано: NotRansom_CryptoLock_Dropper.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34653
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/TrojanDropper.Agent.FIN
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/CryptoLocker.DD!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_CryptoLocker.R002C0DL521
---

© Генеалогия: ✂ Snc Ransomware > NotRansomCryptoLock

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в начале декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Пока нет сообщений о распространении. 

К зашифрованным файлам добавляется расширение: .NRCL

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Oops. All your files are encrypted.

Your Documents, Pictures, Videos and any datas.

Q: Can I Recover my files?

A: Sure. But you must pay $300.

Q: Why do I pay?

A: Please send an e-mail for test.test@gmail.com.

/////////*****Rules*****\\\\\\\\\

DO NOT RESTART OR SHUTDOWN YOUR COMPUTER.

DO NOT DELETE MALWARES FILES.

YOU MUST DISABLE YOUR ANTIVIRUS.

DO NOT CLOSE THIS WINDOW.

IF YOU BREAK THESE RULES, YOU CANNOT DECRYPTING YOUR FILES!

Your Personal Key: ***  [Copy Key]

Please Type Your Decrypt Key

[Decrypt] [Check Encrypted Files]

Перевод записки на русский язык:

Ой. Все ваши файлы зашифрованы.

Ваши документы, изображения, видео и любые данные.

В: Могу ли я восстановить свои файлы?

A: Конечно. Но вы должны заплатить $300.

Q: Почему я плачу?

О: Отправьте email на адрес test.test@gmail.com.

/////////*****Правила*****\\\\\\\\\

НЕ ПЕРЕЗАГРУЖАЙТЕ И НЕ ВЫКЛЮЧАЙТЕ КОМПЬЮТЕР.

НЕ УДАЛЯЙТЕ ФАЙЛЫ ВРЕДОНОСНОГО ПО.

ВЫ ДОЛЖНЫ ОТКЛЮЧИТЬ СВОЙ АНТИВИРУС.

НЕ ЗАКРЫВАЙТЕ ЭТО ОКНО.

ЕСЛИ ВЫ НАРУШИТЕ ЭТИ ПРАВИЛА, ВЫ НЕ СМОЖЕТЕ РАСШИФРОВАТЬ СВОИ ФАЙЛЫ!

Ваш личный ключ: *** [Copy Key]

Пожалуйста, введите свой ключ дешифрования

[Decrypt] [Check Encrypted Files]

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
NRCL_Encryptor.exe - название вредоносного файла; 

NotRansom_CryptoLock_Dropper.exe - название вредоносного файла; 

NotRansom_CryptoLock_Dropper.pdb - файл проекта; 

NRCL_Decryptor.exe - название файла дешифровщика. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%HOME%\Desktop\NRCL_Decryptor.exe

%TEMP%\NRCL_Encryptor.exe

C:\a_programing\NotRansom_CryptoLock_Dropper\obj\Release\NotRansom_CryptoLock_Dropper.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: test.test@gmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b7e8b6b4d76dc01829e3336c41fb0f12

SHA-1: c3763a39c984d5555090c1c6a85dea03d54510b9

SHA-256: 6323c8159af2ec3625515ecbfc32c2883a075d8563c433a6bd4c78ebb96bf076

Vhash: 226036755516c02815457bb0ac

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744  

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.