среда, 1 января 2020 г.

Erica2020, Erika Encoder

Erika Encoder Ransomware

Erica2020 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Erika Encoder. На файле написано: scr.scr и aqv33d4b.exe

Обнаружения:
DrWeb -> Trojan.Inject3.32197, Trojan.Inject3.32410
BitDefender -> Gen:Variant.Barys.6125
Symantec -> ML.Attribute.HighConfidence, Trojan.Horse
Avira (no cloud) -> TR/Dropper.Gen
ESET-NOD32 -> A Variant Of MSIL/Injector.YN, A Variant Of MSIL/Injector.AEC
McAfee -> PWSZbot-FACM!2F21AF3173D0

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — оригинальный логотип

К зашифрованным файлам добавляется расширение: .<random> или .<random{4}>

Примеры таких расширений: 
.usnr
.0gzo
.juem
.kanv

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранний образец этого крипто-вымогателя был обнаружен в начале января 2019 г. Ориентирован на русскоязычных и украиноязычных пользователей, что не мешает распространять его по всему миру. В текстовой записке много раз повторяется слово "TEST". В конце записки есть короткий текст на украинском языке, таким образом, это подытоживание может означать, что Erica2020 сделан в Украине и распространяется против российских пользователей. 

Записка с требованием выкупа называется: HOW TO RESTORE ENCRYPTED FILES.TXT

Содержание записки о выкупе:
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST

ПОЗДРАВЛЯЕМ ВАС С НОВЫМ 2020 ГОДОМ И НАДЕЕМСЯ, ЧТО В ЭТОМ ГОДУ У ВАС БУДЕТ МНОГО ДЕНЕГ, КОТОРЫМИ ВЫ ПОДЕЛИТЕСЬ С НАМИ
К сожалению все Ваши файлы были зашифрованы
Мы можем Вам помочь, но Вам придётся платить

-----BEGIN ERICA KEY-----
OxB1KiKzmU/oYuTplW67Gz3aIDbB9Xbw+Mg2ZowxgzPdzPKswcZ3f36hC1V3yHJv*** [всего 1624 знаков]
-----END ERICA KEY-----

Напишите Нам на почту, если Вы заинтересованы в возврате своих файлов
erica2020@protonmail.com
Роби вчасно бекапи, невдаха

Перевод записки на русский язык:
Основной текст уже на русском языке, кроме последней фразы, которая на украинском языке. 



Роби вчасно бекапи, невдаха - на украинском
Делай вовремя бэкапы, неудачник - перевод на русский
Need doing backups on schedule, loser - правильный перевод на английский





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
scr.scr (scr.scr.exe)
HOW TO RESTORE ENCRYPTED FILES.TXT
<random>.exe - случайное название вредоносного файла
aqv33d4b.exe - написано на файле
aqv33d4b.pdb - оригинальное название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\2\aqv33d4b.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: erica2020@protonmail.com
erica_files@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 января 2020:
Самоназвание: Erica Encoder 2.0.1
Расширение: .<random> или .<random{6}>
Примеры таких расширений: .g37y17 или .0ilfzr или .guudyk
При этом оригинальное имя файла кодируется. 
Пример зашифрованного файла: Q3J2c22wYWRNZXRy1WNzLWFjdGl2ZS5w3WE9.g37y17
Записка: HOW TO RESTORE ENCRYPTED FILES.TXT
Email: erica_files@protonmail.com
Файл: fabian_sosarc.exe
Оригинальное название проекта: 
C:\Users\Administrator\AppData\Local\Temp\2\ywb3frg1.pdb
Результаты анализов: VT + AR + VMR
➤ Содержание записки:
Erica Encoder 2.0.1
И снова здравствуйте :*
І знову здрастуйте
Мы знаем, что Вы очень по Нам скучаете и решили сделать Вам подарок
Мы не работаем по России, Украине и Казахстану
Key:
QcHz6+bGyO1mQ5JLIpOcTFtk65S2cHfkvTg5wNG32V6eaKz***  [всего 1624 знака]
Если Вы хотите восстановить свои никчёмные файлы, то пишите на Нашу почту и Мы ответим Вам
ZXJpY2FfZmlsZXNAcHJvdG9ubWFpbC5jb20= (Base64)  <- erica_files@protonmail.com
Передаём привет Фабиану Сосару 1:0 и остальным умственно отсталым :*











=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Akhmed Taia
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton