HC7 Ransomware
GOTYA Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) и SHA256, а затем требует выкуп в $500-$700 в BTC за каждый ПК или $5000 за всю сеть предприятия, чтобы вернуть файлы. Оригинальное название не указано. Написан на Python.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: HC6 > HC7
К зашифрованным файлам добавляется расширение .gotya или .GOTYA
Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: RECOVERY.TXT
Содержание записки о выкупе (два разных варианта):
ALL YOUR FILES WERE ENCRYPTED.
TO RESTORE THIS FILE, YOU MUST SEND $700 BTC FOR MASCHINE
OR $5,000 BTC FOR ALL NETOWRK
ADDRESS: 1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
AFTER PAYMENT SENT EMAIL m4zm0v@keemail.me
ALONGWITH YOUR DENTITY: TVNHT0JTMDk=
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
---
ALL YOUR FILES WERE ENCRYPTED.
TO RESTORE, YOU MUST SEND $500 BTC FOR ONE COMPUTER
OR $5,000 BTC FOR ALL NETWORK
ADDRESS: 1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
AFTER PAYMENT SENT EMAIL m4zn0v@keemail.me
ALONG WITH YOUR IDENTITY: REVWRUxPUEVSLTA4
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Чтобы восстановить, вы должны отправить $500 в BTC за один компьютер
или $5000 за всю сеть
Адрес: 1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
После оплаты отправьте email на m4zn0v@keemail.me
Вместе с вашей идентификацией: REVWRUxPUEVSLTA4
Не выключайте компьютер, если он не сломается
Технические детали
Распространяется путём взлома через незащищенную конфигурацию RDP. Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
HC7 использует пароль, передаваемый через командную строку.
Идентификатор жертвы, сохраняемый в записке о выкупе, создается путем добавления 9-ки к имени компьютера, а затем результат кодируется в base64.
Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .3gp, .7z, .accdb, .aes, .ai, .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cab, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm,
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, файлы wallet.dat, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы интернет-банкинга, налоговые декларации и пр. пр.
Файлы, связанные с этим Ransomware:
RECOVERY.TXT
hc7.exe
diskimagemounter.exe
Расположения:
C:\RECOVERY\RECOVERY.TXT и во всех папках с зашифрованными файлами.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: m4zm0v@keemail.me
BTC: 1JFjQ8JA6d5QYVXYijUkpx2eBFTgyz77ch
1FhvGZeUDGr4a6EshsgBr1wXpgom547wCK
1FcVZiLC6w5eARhmRhtAifyrRgudG9kfJ
1PE9ryU3Zp5k42TbQPBi6YA9tURrsPr7J9
1GgzdjARzVYvaUNNL66LQfNPqCVbfFYmKM
1M4RY6Q3vXhjtvGwRBkD2bqV9HdnJ5QSBS
1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
1NYaVPJGEFzwCzYsvp5swNTDiU2so1BvKx
14QQ9RAcAMyFQWnPTWt2JedsHYG6GUupAk
1G7sCE1rSKZh4kif6a8hLU1fSn3sxg8Yp5
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
15aM71TGtRZRrY97vdGcDEZeJYBWZhf4FP
15PbYxKuH8KNdxzUeuXqr5VctuKQxdEPeE
19AyaPNbimiCgNbCFQ2fWCw5ArySB1SCAi
+ новые
1CoxQUgDxbxcxFuU7u3nBZRYitouNJKyZs
1ADFwZU8pR2z2CUUMNNRnczWUFkjBLybRj
14waKKzAEQbTmM1Wyfax2N1cgjJbHjhH7J
1C9veduaMxAy5nEAxBqwLqZ33ujPfeZ8z9
Результаты анализов:
Гибридный анализ >> + HA >>
VirusTotal анализ >> + VT >> + VT >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 3 декабря 2017:
Добавлена функция тестирования.
Добавлено удаление теневых копий.
Идёт работа над новым вариантом HC9. См. вторую ссылку HA.
Обновление от 13 декабря 2017:
Пост в Твиттере >>
Расширение: .DS335Записка: RECOVER.txt
Email: m4zn0v@keemail.me
BTC: 1C9veduaMXAy5nEAxBqwLqZ33ujPfeZ8z9
Файл: backupsvcp.exe
Результаты анализов: VT
Обновление от 28 декабря 2017:
Расширение: .QUILT
Записка: RECOVER.txt
Email: m4zn0v@keemail.me
BTC: 17XLpF9d2zT85P3PoQS2NB86G3coqJa84q
Содержание записки о выкупе:
ALL FILES WERE ENCRYPTED.
TO RESTORE, YOU MUST SEND $700 BTC FOR ONE COMPUTER
OR $3,500 FOR ENTIRE NETWORK
ADDRESS: 17XLpF9d2zT85P3PoQS2NB86G3coqJa84q
BEFORE PAYMENT SENT EMAIL m4zn0v@keemail.me
ALONG WITH YOUR IDENTITY:
AND A SAMPLE FILE AS PROOF OF DECRYPT
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Топик на форуме >>
Обновление от 9 января 2018:
Условное название: HC9 Ransomware
Расширение: .PLANETARY
Записка: recover_your_fies.txt
Email: m4rk0v@tutanota.de
Содержание записки:
ALL FILES ARE ENCRYPTED.
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT
NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Перевод записки на русский язык:
Все файлы зашифрованы.
Чтобы восстановить, вы должны отправить эквивалент 700$ США за один компьютер
или $5000 за всю сеть
Платежи принимаются через Биткоин, Monero и Ethereum
BTC-адрес: [биткойн_адрес]
Monero-адрес (XMR): [monero_адрес]
Свяжитесь с нами, если нужна информация о платеже Ethereum
Перед оплатой отправьте email m4rk0v@tutanota.de
Вместе с вашей идентификацией: [base64_encoded_computer_name]
Включите образец зашифрованного файла для подтверждения расшифровки
Не отключайте компьютер, если он не сломается
Статья на BC >>
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Рекомендую изучить статью по этой ссылке >> 🔐 После восстановления своих ключей таким образом, нужно запустить hc6Decrypter, ввести ключ и дешифровать файлы.
Read to links: Tweet on Twitter + Tweet + Tweet ID Ransomware (ID as hc7) Write-up, Topic of Support *
Added later: Write-up on BC (December 7, 2017) Write-up on yrz.io (December 7, 2017) *
Thanks: victims in the topics of support Michael Gillespie Andrew Ivanov *
© Amigo-A (Andrew Ivanov): All blog articles.
