ReturnBack Ransomware
ReturnBackCrypt Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.40845
BitDefender -> Gen:Variant.Ser.MSILHeracles.3989
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BES
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Filecoder.MSIL.Generic
Microsoft -> Ransom:MSIL/CryptLocker.YCB!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c022be
TrendMicro -> Ransom_CryptLocker.R002C0DGR24
---
© Генеалогия: ✂ BlackDream/BlackLegion + другой код >> ReturnBack
Активность этого крипто-вымогателя была в конце июля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .<random>, например: .lGiKf865
Записка с требованием выкупа называется: README.txt
Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED!!!
All your files, documents, photos, databases and other important files are encrypted.
The only way to recover your files is to get a decryptor.
To get the decryptor, write to us by mail or telegram, specify the ID of the encrypted files in the letter:
Email: returnback@cyberfear.com
Telegram: https://t.me/returnbackcyberfearcom
Warning!!!
* Do not rename files.
* Do not attempt to decrypt data using third party software, as this may result in permanent data loss.
* Do not contact other people, only we can help you and recover your data.
Your personal decryption ID: ***
Перевод записки на русский язык:
!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.
Единственный способ восстановить ваши файлы — получить дешифратор.
Чтобы получить дешифратор, напишите нам на почту или в телеграмм, укажите в письме ID зашифрованных файлов:
Email: returnback@cyberfear.com
Telegram: https://t.me/returnbackcyberfearcom
Внимание!!!
* Не переименовывайте файлы.
* Не пытайтесь расшифровать данные с помощью стороннего ПО, так как это может привести к безвозвратной потере данных.
* Не обращайтесь к другим людям, только мы можем помочь вам и восстановить ваши данные.
Ваш персональный decryption ID: ***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
Crypt.exe - название вредоносного файла; компиляция файла фальшивая (указан 2053 год).
Crypt.exe.log - видимо лог работы файла шифровальщика.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\60610c3e46cad3e438\README.txt
C:\Users\Administrator\Desktop\Lock\Locker\obj\Debug\Crypt.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: returnback@cyberfear.com
Telegram: returnbackcyberfearcom
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: c9fc5ead99455414732c85614c676afa
SHA-1: 99ae4a704b37bd1c3f190f99b52493f68bcbe3df
SHA-256: aa99c913decb96133a013abe8d71a057862e3328e8297c959c8eeb063c283a66
Vhash: 214036551511508aa1z78
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 9 июля или раньше:
Расширение: .7rd0ioOQ9
Записка: README.txt
Email: decryptor@cyberfear.com
Telegram: hxxxs://t.me/bit_decryptor
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
🔓🔑Under certain conditions, decryption is possible. Write to Topic of Support. В некоторых случаях дешифровка возможна. Пишите в тему поддержки.
Thanks: quietman7, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.