# RekenSom, GHack **id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html** ## RekenSom Ransomware Aliases: Som, GHack ### (шифровальщик-вымогатель) (первоисточник) Translation into English Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем сообщает, как заплатить выкуп и вернуть файлы. Оригинальное название: RekenSom. На файлах написано: Reken.exe, FinalReken.exe, GHack.exe **Обнаружения:** **DrWeb -> Trojan.PWS.Siggen2.44953** **BitDefender -> Generic.Ransom.Krider.8B205F69** **Avira (no cloud) -> TR/AD.RemoteExecHeur.vmdsg** **ESET-NOD32 -> A Variant Of MSIL/Filecoder.BQ** **Malwarebytes -> Ransom.RekenSom** **Rising -> Ransom.Encoder!8.FFD4 (CLOUD)** **Symantec -> Trojan Horse** **TrendMicro -> Ransom.Win32.KRIDER.A** -- **© Генеалогия:** **[my-Little-Ransomware >>](https://id-ransomware.blogspot.com/2016/07/cute-ransomware-cute-ransomware-open.html)** **[cuteRansomware >>](https://id-ransomware.blogspot.com/2016/07/cute-ransomware-cute-ransomware-open.html)** **[KRider > RekenSom](https://id-ransomware.blogspot.com/2017/03/krider-ransomware.html)** Изображение — логотип статьи К зашифрованным файлам добавляется расширение: .RekenSom Название зашифрованного файла меняется на неузнаваемое. ----- **Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там** могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя неизвестна. Вероятно, пока находится в разработке. Образец был найден в середине марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В раннем варианте записка с требованием выкупа не обнаружена. Потом появился экран блокировки с текстом (см. обновление от 1 марта 2020). В раннем варианте был только непонятный экран с цифрами и русскими словами. Понятно, что нужно ввести какой-то цифровой код, но было непонятно как его получить и как связываться с теми, кто управляет этим шифровальщиком. **Технические детали** Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы [распространения криптовымогателей" на вводной странице блога.](https://id-ransomware.blogspot.ru/2016/05/blog-post.html) Нужно всегда использовать [Актуальную антивирусную защиту!!!](https://anti-ransomware.blogspot.com/2019/02/topical-protection.html) Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по [методу 3-2-1.](https://id-ransomware.blogspot.ru/2016/11/sposoby-zashhity-ot-shifrovalshhikov-vymogatelej.html) ➤ RekenSom использует PowerShell для осуществления атаки. ➤ Имеется функционал для сбора информацию с инфицированного ПК. ➤ Шифрует все файлы на Рабочем столе, пытается загрузить ключ шифрования и имя компьютера на удаленный сервер, но имя хоста не указано. Нет записки от вымогателей или контактной информации. ----- **Список файловых расширений, подвергающихся шифрованию:** .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .exe, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочее. **Файлы, связанные с этим Ransomware:** WindowsFormsApplication8.exe Reken.exe FinalReken.exe .exe - случайное название вредоносного файла secretAES.txt secret.txt sendBack.txt data recive **Расположения:** \Desktop\ -> \User_folders\ -> \%TEMP%\ -> C:\Users\User\Desktop\secret.txt ----- C:\Users\User\Desktop\secretAES.txt c:\users\karol\desktop\winlockereeeeeeeeeeeee\windowsformsapplication8\obj\release\windowsformsapplication8.pdb **Записи реестра, связанные с этим Ransomware:** См. ниже результаты анализов. **Мьютексы:** cuteRansomware **Сетевые подключения и связи:** Email: BTC: См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. **Результаты анализов:** Ⓗ **[Hybrid analysis >>](https://www.hybrid-analysis.com/sample/d4e36fe779bd70c95e85c1f6f0afc706e3dcd1c477f16db833b75786e8244f34/5e6e82f714289210fc12ad6f)** 𝚺 **[VirusTotal analysis >>](https://www.virustotal.com/gui/file/d4e36fe779bd70c95e85c1f6f0afc706e3dcd1c477f16db833b75786e8244f34/detection)** 🐞 **[Intezer analysis >>](https://analyze.intezer.com/#/analyses/b0e40683-1315-4586-8f12-f0cf10309508)** ᕒ **[ANY.RUN analysis >>](https://app.any.run/tasks/d7287664-579b-4344-ae74-75b442267467/)** ⴵ **[VMRay analysis >>](https://www.vmray.com/analyses/d4e36fe779bd/report/overview.html)** Ⓥ VirusBay samples >> � MalShare samples >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно. Присылайте образцы. === ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY === **=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===** ----- **Обновление от 16 марта 2020:** [Пост в Твиттере >>](https://twitter.com/fbgwls245/status/1239758360515194882) Расширение: .som Шифрует файлы на Рабочем столе. Имена файлов переименовываются по шаблону :** Примеры зашифрованных файлов: Encrypted------------.som Encrypted-----------.som Encrypted----------.som Encrypted---------.som Encrypted--------.som Encrypted-------.som Telegram: ©Rekensom BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX Файл: GHack.exe [Результаты анализов: VT +](https://www.virustotal.com/gui/file/7755ce4a2a9cfee44fedcd9149c5ae45bb7aa7b019cbeae7a107641c12d5d58e/detection) **[AR](https://app.any.run/tasks/44448d79-dcbf-465a-944e-fcb9b81d73dd/)** **=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===** ``` Thanks: dnwls0719, Kirill Starodubtsev Andrew Ivanov (author) *** to the victims who sent the samples ``` [© Amigo-A (Andrew Ivanov): All blog articles. Contact.](https://id-ransomware.blogspot.com/p/contact.html) -----