# Mespinoza, Pysa **[id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html](https://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html)** ## Mespinoza Ransomware Pysa Ransomware Mespinoza (Pysa) Doxware Mespinoza (Pysa) Hand-Ransomware ### (шифровальщик-вымогатель, публикатор) (первоисточник) Translation into English Этот крипто-вымогатель шифрует данные на ПК бизнес-пользователей и компаний с помощью AES, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 1.exe, 51.exe или что-то еще. Вымогатели, распространяющие Mespinoza-Pysa, стали угрожать опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Как известно из других Ransomware, для этого операторывымогатели начинают кражу данных ещё перед шифрованием файлов. Об этих акциях вымогателей сообщалось в СМИ. На момент публикации статьи, не было известно о публикациях украденных данных, вымогатели только угрожали. -- **Обнаружения:** **DrWeb -> Trojan.Encoder.30075, Trojan.Encoder.30386, Trojan.Encoder.30815** **BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Gen:Variant.Ransom.Dee.1** **Kaspersky -> UDS:DangerousObject.Multi.Generic, HEUR:Trojan-** Ransom.Win32.Encoder.gen ----- **TrendMicro -> Ransom.Win32.LOCKERGOGA.AF, Ransom.Win32.MESPINOZA.A** --**© Генеалогия:** **[Vurten > Mespinoza, Pysa](https://id-ransomware.blogspot.com/2018/04/vurten-ransomware.html)** Изображение — логотип статьи К зашифрованным файлам добавляется расширение: .locked **Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в** обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на октябрь 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: Readme.README **Содержание записки о выкупе:** Hi Company, Every byte on any types of your devices was encrypted. ----- Don t try to use backups because it were encrypted too. To get all your data back contact us: mespinoza980@protonmail.com -------------FAQ: 1. Q: How can I make sure you don't fooling me? A: You can send us 2 files(max 2mb). 2. Q: What to do to get all data back? A: Don't restart the computer, don't move files and write us. 3. Q: What to tell my boss? A: Shit happens. **Перевод записки на русский язык:** Привет компания, Каждый байт на любых типах ваших устройств был зашифрован. Не пытайтесь использовать резервные копии, потому что они тоже зашифрованы. Чтобы получить все свои данные, свяжитесь с нами: mespinoza980@protonmail.com -------------ВОПРОСЫ-ОТВЕТЫ: 1. Q: Как я могу убедиться, что ты не обманешь меня? A: Вы можете отправить нам 2 файла (не более 2 МБ). 2. В: Что нужно сделать, чтобы вернуть все данные? A: Не перезагружайте компьютер, не перемещайте файлы и пишите нам. 3. Q: Что сказать моему боссу? A: Дерьмо случается. **Технические детали** Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы [распространения криптовымогателей" на вводной странице блога.](https://id-ransomware.blogspot.ru/2016/05/blog-post.html) ----- Нужно всегда использовать [Актуальную антивирусную защиту!!!](https://anti-ransomware.blogspot.com/2019/02/topical-protection.html) Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3**2-1.** ➤ Может останавливать процессы антивирусных программ и Windows Defender, чтобы потом беспрепятственно шифровать файлы. **Список файловых расширений, подвергающихся шифрованию:** Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. **Файлы, связанные с этим Ransomware:** Readme.README .exe - случайное название вредоносного файла **Расположения:** \Desktop\ -> \User_folders\ -> \%TEMP%\ -> **Записи реестра, связанные с этим Ransomware:** См. ниже результаты анализов. **Сетевые подключения и связи:** Email: mespinoza980@protonmail.com BTC: См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. **Результаты анализов:** Ⓗ **[Hybrid analysis >>](https://www.hybrid-analysis.com/sample/5510ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560/5dc9acd9038838b085779532)** 𝚺 **[VirusTotal analysis >>](https://www.virustotal.com/gui/file/5510ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560/detection)** 🐞 **[Intezer analysis >>](https://analyze.intezer.com/#/analyses/a2bebf37-2517-4a17-aa56-e51e5b27bc0b)** ᕒ **[ANY.RUN analysis >>](https://app.any.run/tasks/4e14b61f-f269-466f-a423-bb60ba61f06c)** ⴵ VMRay analysis >> Ⓥ VirusBay samples >> � MalShare samples >> ----- 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно. Присылайте образцы. **=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===** Vurten Ransomware - апрель 2018 Mespinoza Ransomware - октябрь 2019 Pysa Ransomware - декабрь 2019 - январь 2020 и позже **=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===** **Вариант от 10 ноября 2019:** **DrWeb -> Trojan.Encoder.30075** [Пост в Твиттере >>](https://twitter.com/Amigo_A_/status/1193978104244518912) [Топик на форуме >>](https://support.emsisoft.com/topic/32158-mespinoza-ransomware-help/) Расширение: .locked Записка: Readme.README Email: alanson_street8@protonmail.com, lambchristoffer@protonmail.com Файлы: 51.exe %supdater.bat [Результаты анализов: VT +](https://www.virustotal.com/gui/file/5510ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560/detection) **[HA +](https://www.hybrid-analysis.com/sample/5510ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560/5dc9acd9038838b085779532)** **[IA +](https://analyze.intezer.com/#/analyses/a2bebf37-2517-4a17-aa56-e51e5b27bc0b)** **[AR](https://app.any.run/tasks/4e14b61f-f269-466f-a423-bb60ba61f06c)** ➤ Содержание записки: Hi Company, Every byte on any types of your devices was encrypted. Don't try to use backups because it were encrypted too. ----- To get all your data back contact us: alanson_street8@protonmail.com lambchristoffer@protonmail.com -------------FAQ: 1. Q: How can I make sure you don't fooling me? A: You can send us 2 files(max 2mb). 2. Q: What to do to get all data back? A: Don't restart the computer, don't move files and write us. 3. Q: What to tell my boss? A: Shit happens. **Вариант от 14 декабря 2019:** **DrWeb -> Trojan.Encoder.30386** [Пост в Твиттере >>](https://twitter.com/fbgwls245/status/1205862789912223744) Расширение: .pysa Этимология для PYSA: "Protect Your System Amigo". Записка: Readme.README Email: aireyeric@protonmail.com, ellershaw.kiley@protonmail.com [Результаты анализов: VT +](https://www.virustotal.com/gui/file/a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327/detection) **[AR](https://app.any.run/tasks/896a14de-a327-4a88-ad67-6c7b8f7108f9/)** ➤ Содержание записки: Hi Company, Every byte on any types of your devices was encrypted. Don't try to use backups because it were encrypted too. To get all your data back contact us: aireyeric@protonmail.com ellershaw.kiley@protonmail.com ------------- ----- FAQ: 1. Q: How can I make sure you don't fooling me? A: You can send us 2 files(max 2mb). 2. Q: What to do to get all data back? A: Don't restart the computer, don't move files and write us. 3. Q: What to tell my boss? A: Protect Your System Amigo. **Вариант от 22 января 2020:** **DrWeb -> Trojan.Encoder.30815** [Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1220092152438513664) Расширение: .pysa Записка: Readme.README Email: raingemaximo@protonmail.com gareth.mckie31@protonmail.com Мьютекс: Pysa [Результаты анализов: VT +](https://www.virustotal.com/gui/file/e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead%20%20/detection) **[VMR](https://www.vmray.com/analyses/e9662b468135/report/overview.html)** Этот вариант распространяется с помощью грубых атак на консоли управления и аккаунты Active Directory и PowerShell-скриптов. код Pysa Ransomware Ransom.Win32.LOCKERGOGA.AF, довольно специфичный и короткий по сравнению с другими вымогателями. **Вариант от 18 марта 2020 года:** Расширение: .newversion ----- Фактически обновленный вариант Pysa Ransomware, который был представлен ранее в конце декабря 2019 и в январе 2020. Некоторые подробности см. [в статье >>](https://www.zdnet.com/article/france-warns-of-new-ransomware-gang-targeting-local-governments/) **=== 2021 ===** **Вариант от 5 января 2021:** **DrWeb -> Trojan.Encoder.32290** [Сообщение >>](https://twitter.com/GrujaRS/status/1346408893388349448) Расширение: .pysa Записка: Readme.README.txt Дата компиляции: 1 декабря 2020. [Результаты анализов: VT +](https://www.virustotal.com/gui/file/4dc802894c45ec4d119d002a7569be6c99a9bba732d0057364da9350f9d3659b/detection) **[HA](https://www.hybrid-analysis.com/sample/4dc802894c45ec4d119d002a7569be6c99a9bba732d0057364da9350f9d3659b/5ff43cedac12f719391b247a)** **С марта 2020 участились атаки вымогателей с использованием Pysa Ransomware на** американские и канадские правительственные учреждения, образовательные учреждения, частные компании и сектор здравоохранения. По последним данным, ----- вымогатели специально нацелены на высшее образование и общеобразовательные школы K-12 (название включает 12 лет начального и среднего образования). ФБР рекомендует не выплачивать выкуп вымогателям, поскольку уступка их требованиям, скорее всего, профинансирует их будущие атаки в этой и других областях. ФБР понимает ущерб, который образовательные учреждения могут понести после таких атак, и призывает их как можно скорее сообщать об атаках в местное отделение ФБР или в Центр жалоб на преступления в Интернете (IC3), независимо от решения платить выкуп или нет. **=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===** ``` Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as Mespinoza) Write-up, Topic of Support * Thanks: Michael Gillespie, quietman7 Andrew Ivanov (author) GrujaRS to the victims who sent the samples ``` © Amigo-A (Andrew Ivanov): All blog articles. -----