RIP, Phoenix HT

RIP HT Ransomware

Phoenix HT Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0.2 BTC, чтобы вернуть файлы. Название оригинальное или от используемого расширения. Разработка: Berisha. В url-адресе указана директория "phoenix_ran", что позволило предположить, что этот вымогательский проект может называться Phoenix. Сокращение HT в названии — HiddenTear.
---

Обнаружения: 

DrWeb -> Trojan.Encoder.10598

ALYac -> Trojan.Ransom.HiddenTear, Trojan.Ransom.HiddenTear.H

Avira (no cloud) -> HEUR/AGEN.1129952

BitDefender -> Trojan.Ransom.HiddenTear.H

ESET-NOD32 -> A Variant Of MSIL/Filecoder.Y

Malwarebytes -> Ransom.HiddenTear

Microsoft -> Ransom:MSIL/Ryzerlo.A

Symantec -> Ransom.HiddenTear!g1

Tencent -> Win32.Trojan.Generic.Akyr, Win32.Trojan.Generic.Plap

TrendMicro -> Ransom_CRYPTEAR.SM0, Ransom_HiddenTearPhoenix.A

---

© Генеалогия: HiddenTear >> RIP (Phoenix)

К зашифрованным файлам добавляется расширение .R.i.P

Активность этого крипто-вымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Important!.txt

Содержание записки о выкупе:
All your files has been encrypted with a Strong AES-256 ciphers
Send 0.2 BTC to this address: 1KdiPSdmqn7BsQFs9kqXdRqygruQeGzCx
Once you make your payment send a message in this email address: dj.elton@hotmail.co.uk

Перевод записки на русский язык:
Все твои файлы были зашифрованы сильным AES-256 шифром
Пришли 0,2 BTC на адрес: 1KdiPSdmqn7BsQFs9kqXdRqygruQeGzCx
Как сделаешь свой платеж, пришли сообщение на этот email-адрес: dj.elton@hotmail.co.uk

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:

.asp, .aspx, .cs, .csproj, .csv, .doc, .docx, .html, .inf, .jpg, .k2p, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql,.txt, .vb, .vbproj, .xls, .xlsx, .xml  (26 расширений). 

Это документы MS Office, базы данных, изображения, фотографии и пр.

Файлы, связанные с этим Ransomware:
 Important!.txt
hidden-tear.exe
<random>.exe
Windows 10 Free Update.exe 

Сетевые подключения и связи:
хттп://www.elb-hosting.esy.es/phoenix_ran/write.php?info= (сайт, C2)
Email: dj.elton@hotmail.co.uk

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter 
 ID Ransomware (n/a)
 Write-up 

 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (article author) 
  

© Amigo-A (Andrew Ivanov): All blog articles.