Vurten Ransomware
(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $10000 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. Использована библиотека Crypto++.
Обнаружения:
BitDefender -> Trojan.GenericKD.30546630
Avira (no cloud) -> TR/Occamy.doysv
ESET-NOD32 -> A Variant Of Win32/Filecoder.NQD
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom_VURTEN.THDOEAH
© Генеалогия: Everbe, DCRTR + Generic Ransomware > Vurten
Родство подтверждено сервисом Intezer Analyze >>
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение .improved
Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: UNCRYPT.README.txt
Your entire network sensetive data was encrypted with our strong algorithm.
To recover your data send $10000 to the bitcoin address: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
If you do not send money within 7 days, payment will be increased double.
After payment you will receive decryption software.
Contact email: vurten_knyert@protonmail.com
Перевод записки на русский язык:
Все ваши сетевые данные зашифрованы с нашим сильным алгоритмом.
Для возврата ваших данных пошлите $10000 на биткоин-адрес: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
Если вы не пошлёте деньги за 7 дней, оплата будет удвоена.
После оплаты вы получите программу дешифрования.
Контактный email: vurten_knyert@protonmail.com
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.
Пропускает файлы и папки, содержащие названия и строки:
WINDOWS, Boot, BOOTSECT, pagefile, System Volume Information, Program Files, Program Files (x86), $Recycle.Bin, ProgramData, AppData\Local, Microsoft, Kaspersky Lab, PerfLogs, VMWare, $RECYCLE.BIN, bootmgr, MSOCache, Public, All Users, Users\\Default, Local\Temp
Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
UNCRYPT.README.txt
mswsvc.exe
updater.bat
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: vurten_knyert@protonmail.com
BTC: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
ᕒ ANY.RUN анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Vurten Ransomware - апрель 2018
Mespinoza Ransomware - октябрь 2019
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
To recover your data send $10000 to the bitcoin address: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
If you do not send money within 7 days, payment will be increased double.
After payment you will receive decryption software.
Contact email: vurten_knyert@protonmail.com
Перевод записки на русский язык:
Все ваши сетевые данные зашифрованы с нашим сильным алгоритмом.
Для возврата ваших данных пошлите $10000 на биткоин-адрес: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
Если вы не пошлёте деньги за 7 дней, оплата будет удвоена.
После оплаты вы получите программу дешифрования.
Контактный email: vurten_knyert@protonmail.com
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.$db, .001, .002, .003, .08, .09, .10, .11, .7z, .ab, .abk, .accdb, .accde, .accdr,
.accdt, .accdw, .accft, .ade, .adi, .adl, .adn, .arc, .arm, .arz, .asd, .ate, .ati,
.bac, .bak, .bak2, .big, .bkp, .bkup, .bup, .c, .cal, .cat, .cbs, .cbu, .cc, .cls,
.cmf, .cnf, .conf, .cpp, .crypt12, .crypt5, .crypt6, .crypt7, .crypt8, .crypt9,
.cs, .csv, .cxx, .dat, .db, .db3, .dbf, .dbs, .dbt, .dbv, .ddl, .def, .dex, .doc,
.docm, .docm, .docx, .docx, .docxml, .dot, .dot, .dov, .dqy, .dropbox, .dsc, .dsk,
.dsn, .eml, .emlx, .fdb, .fpt, .frm, .frt, .gho, .ghs, .grv, .gz, .gzip, .h, .hc,
.hdi, .hds, .hfs, .hfv, .hlog, .htm, .html, .ib, .ibc, .ibd, .ibz, .imm, .ism, .jpg,
.kdb, .kdbx, .latex, .ldf, .ltr, .maf, .map, .maq, .mar, .maw, .mbf, .mcd, .mdb,
.mdbhtml, .mdbx, .mdf, .mdf, .mdn, .mig, .mpp, .mrg, .msg, .mwb, .myd, .myi, .mysql,
.nbf, .ndf, .nvram, .obk, .odif, .odm, .odp, .ods, .odt, .one, .opt, .ori, .orig,
.ort, .pages, .pdf, .pdf, .phl, .pla, .pln, .ppt, .pptx, .pst, .pub, .pvm, .qbquery,
.rar, .rtf, .rul, .sal, .scn, .sco, .sdf, .sln, .sqb, .sql, .sqlite, .sqlitedb,
.sqr, .tar, .tc, .tc, .tib, .tmd, .tmd, .trc, .txt, .txt, .vbk, .vbm, .vbox-prev,
.vdi, .vhd, .vhdx, .vmcx, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmtm, .vmwarevm, .vmx,
.vmxf, .volarchive, .vpcbackup, .vrb, .walletx, .wbb, .wdb, .wim, .win, .wks, .wrk,
.xld, .xlk, .xls, .xlsm, .xlsx, .xml, .xps, .zip (213 расширения в нижнем регистре).
.$DB, .__A, .__B, .7Z, .AB, .ABK, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACCDW, .ACCFT, .ADE, .ADI, .ADL, .ADN, .ARC, .ARM, .ARZ, .ASD, .ATE, .ATI, .BAC, .BAK, .BAK2, .BIG, .BKP, .BKUP, .BUP, .C, .CAL, .CAT, .CBS, .CBU, .CC, .CLS, .CMF, .CNF, .CONF, .CPP, .CRYPT12, .CRYPT5, .CRYPT6, .CRYPT7, .CRYPT8, .CRYPT9, .CS, .CSV, .CXX, .DAT, .DB, .DB3, .DBF, .DBS, .DBT, .DBV, .DDL, .DEF, .DEX, .DOC, .DOCM, .DOCM, .DOCX, .DOCX, .DOCXML, .DOT, .DOT, .DOV, .DQY, .DROPBOX, .DSC, .DSK, .DSN, .EML, .EMLX, .FDB, .FPT, .FRM, .FRT, .GHO, .GHS, .GRV, .GZ, .GZIP, .H, .HC, .HDI, .HDS, .HFS, .HFV, .HLOG, .HTM, .HTML, .IB, .IBC, .IBD, .IBZ, .IMM, .ISM, .JPG, .KDB, .KDBX, .LATEX, .LDF, .LTR, .MAF, .MAP, .MAQ, .MAR, .MAW, .MBF, .MCD, .MDB, .MDBHTML, .MDBX, .MDF, .MDF, .MDN, .MIG, .MPP, .MRG, .MSG, .MWB, .MYD, .MYI, .MYSQL, .NBF, .NDF, .NVRAM, .OBK, .ODIF, .ODM, .ODP, .ODS, .ODT, .ONE, .OPT, .ORI, .ORIG, .ORT, .PAGES, .PDF, .PDF, .PHL, .PLA, .PLN, .PPT, .PPTX, .PST, .PUB, .PVM, .QBQUERY, .RAR, .RTF, .RUL, .SAL, .SCN, .SCO, .SDF, .SLN, .SQB, .SQL, .SQLITE, .SQLITEDB, .SQR, .TAR, .TC, .TC, .TIB, .TMD, .TMD, .TRC, .TXT, .TXT, .VBK, .VBM, .VBOX-PREV, .VDI, .VHD, .VHDX, .VMCX, .VMDK, .VMEM, .VMSD, .VMSN, .VMSS, .VMTM, .VMWAREVM, .VMX, .VMXF, .VOLARCHIVE, .VPCBACKUP, .VRB, .WALLETX, .WBB, .WDB, .WIM, .WIN, .WKS, .WRK, .XLD, .XLK, .XLS, .XLSM, .XLSX, .XML, .XPS, .ZIP
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.
Пропускает файлы и папки, содержащие названия и строки:
WINDOWS, Boot, BOOTSECT, pagefile, System Volume Information, Program Files, Program Files (x86), $Recycle.Bin, ProgramData, AppData\Local, Microsoft, Kaspersky Lab, PerfLogs, VMWare, $RECYCLE.BIN, bootmgr, MSOCache, Public, All Users, Users\\Default, Local\Temp
Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
UNCRYPT.README.txt
mswsvc.exe
updater.bat
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: vurten_knyert@protonmail.com
BTC: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
ᕒ ANY.RUN анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Vurten Ransomware - апрель 2018
Mespinoza Ransomware - октябрь 2019
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Vurten) Write-up, Topic of Support *
Thanks: S!Ri, Alex Svirid, Michael Gillespie Andrew Ivanov (author) *
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
