понедельник, 10 августа 2020 г.

DarkSide

DarkSide Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей и предприятий с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: DarkSide. Написан на Python. 

Обнаружения:
DrWeb -> Trojan.Encoder.32305
BitDefender -> Gen:Trojan.Heur.RP.bmGfbKkIF@n
ALYac -> 
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 -> 
Kaspersky -> Trojan-Ransom.Win32.Gen.xyl
Malwarebytes -> Ransom.DarkSide
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Crypt.Edxi
TrendMicro -> TROJ_GEN.R002H09H820
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> DarkSide


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Началом распространения можно считать появление на форумах кибер-андеграунда в начале августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.<random>.TXT

Пример записки от вымогателей: README.97866000.TXT

Содержание записки о выкупе:
----------- [ Welcome to Dark ] ------------->
What happend?
----------------------------------------------
Your computers and servers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt your data.
But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network.
Follow our instructions below and you will recover all your data.
Data leak
----------------------------------------------
First of all we have uploaded more then 100 GB data.
Example of data:
 - Accounting data
 - Executive data
 - Sales data
 - Customer Support data
 - Marketing data
 - Quality data
 - And more other...
Your personal leak page: http://darksidedxcftmqa.onion/blog/article/id/***
The data is preloaded and will be automatically published if you do not pay.
After publication, your data will be available for at least 6 months on our tor cdn servers.
We are ready:
- To provide you the evidence of stolen data
- To give you universal decrypting tool for all encrypted files.
- To delete all the stolen data.
What guarantees?
----------------------------------------------
We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.
All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.
We guarantee to decrypt one file for free. Go to the site and contact us.
How to get access on website? 
----------------------------------------------
Using a TOR browser:
1) Download and install TOR browser from this site: https://torproject.org/
2) Open our website: http://darksidfqzcuhtk2.onion/***
When you open our website, put the following data in the input form:
Key:
*** [всего 567 знаков]
!!! DANGER !!!
DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them. 
!!! DANGER !!!

Перевод записки на русский язык:
----------- [Добро пожаловать в Dark] ------------->
Что случилось?
----------------------------------------------
Ваши компьютеры и серверы зашифрованы, резервные копии удалены. Мы используем надежные алгоритмы шифрования, поэтому вы не cможете расшифровать свои данные.
Но вы можете все восстановить, купив у нас специальную программу - универсальный дешифратор. Эта программа восстановит всю вашу сеть.
Следуйте нашим инструкциям ниже и вы восстановите все свои данные.
Утечка данных
----------------------------------------------
Во-первых, мы загрузили более 100 ГБ данных.
Пример данных:
 - Данные бухгалтерского учета
 - Исполнительные данные
 - Данные о продажах
 - Данные службы поддержки
 - Маркетинговые данные
 - Данные о качестве
 - И многое другое ...
Ваша личная страница утечки: http://darksidedxcftmqa.onion/blog/article/id/***
Данные предварительно загружены и будут автоматически опубликованы, если вы не заплатите.
После публикации ваши данные будут доступны не менее 6 месяцев на наших серверах tor cdn.
Мы готовы:
- Чтобы предоставить вам доказательства украденных данных
- Чтобы предоставить вам универсальный инструмент для дешифрования всех зашифрованных файлов.
- Удалить все украденные данные.
Какие гарантии?
----------------------------------------------
Мы дорожим своей репутацией. Если мы не будем выполнять свою работу и обязательства, нам никто не будет платить. Это не в наших интересах.
Все наши программы для дешифрования отлично протестированы и расшифруют ваши данные. Мы также окажем поддержку при возникновения проблем.
Мы гарантируем бесплатную расшифровку одного файла. Зайдите на сайт и свяжитесь с нами.
Как получить доступ на сайт?
----------------------------------------------
Используя браузер TOR:
1) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
2) Откройте наш сайт: http://darksidfqzcuhtk2.onion/***
Когда вы открываете наш веб-сайт, введите в форму ввода следующие данные:
Ключ:
*** [всего 567 знаков]
!!! ОПАСНОСТЬ !!!
НЕ ИЗМЕНЯЙТЕ и НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ файлы самостоятельно. Мы НЕ сможем их ВОССТАНОВИТЬ.
!!! ОПАСНОСТЬ !!!



Технические детали

Распространяется как RaaS на форумах кибер-андеграунда. Использует сеть Tor для сайта и публикации там же украденной информации компаний-жертв. 


Текст со скриншота: 
Darkside
Let's start
We are a new product on the market, but that does not mean that we have no experience and we came from nowhere.
We received millions of dollars profit by partnering with other well-known cryptolockers.
We created DarkSide because we didn't find the perfect product for us. Now we have it
Based on our principles, we will not attack the following targets:
• Medicine (hospitals, hospices).
• Education (schools, universities).
• Non-profit organizations.
• Government sector.
We only attack companies that can pay the requested amount, we do not want to kill your business.
Before any attack, we carefully analyze your accountancy and determine how much you can pay based on your net income.
You can ask all your questions in the chat before paying and our support will answer them.
We provide the following guarantees for our targets:
• We guarantee decryption of one test file.
• We guarantee to provide decryptors after payment, as well as support in case of problems.
• We guarantee deletion of all uploaded data from TOR CDNs after payment.
If you refuse to pay:
• We will publish all your data and store it on our TOR CDNs for at least 6 months.
• We will send notification of your leak to the media and your partners and customers.
• We will NEVER provide you decryptors.
We take our reputation very seriously, so if paid, all guarantees will be fulfilled.
If you don't want to pay, you will add to the list of published companies on our blog and become an example for others.

Перевод на русский язык: 
Darkside
Давайте начнем
Мы новый продукт на рынке, но это не значит, что у нас нет опыта и мы пришли из ниоткуда.
Мы получили прибыль в миллионы долларов, сотрудничая с другими известными крипто-локерами.
Мы создали DarkSide, потому что не нашли для себя идеального продукта. Теперь у нас он есть
Исходя из наших принципов, мы не будем атаковать следующие цели:
• Медицина (больницы, хосписы).
• Образование (школы, университеты).
• Некоммерческие организации.
• Государственный сектор.
Мы атакуем только компании, которые могут заплатить запрошенную сумму, мы не хотим губить ваш бизнес.
Перед любой атакой мы тщательно анализируем вашу бухгалтерию и определяем, сколько вы можете заплатить, исходя из вашего чистого дохода.
Вы можете задать все интересующие вас вопросы в чате перед оплатой, и наша служба поддержки ответит на них.
Мы предоставляем следующие гарантии для наших целей:
• Мы гарантируем расшифровку одного тестового файла.
• Мы гарантируем предоставление дешифраторов после оплаты, а также поддержку в случае возникновения проблем.
• Мы гарантируем удаление всех загруженных данных из TOR CDN после оплаты.
Если вы отказываетесь платить:
• Мы опубликуем все ваши данные и будем хранить их на наших TOR CDN в течение как минимум 6 месяцев.
• Мы отправим уведомление о вашей утечке средствам массовой информации, вашим партнерам и клиентам.
• Мы НИКОГДА не предоставим вам дешифраторы.
Мы очень серьезно относимся к своей репутации, поэтому в случае оплаты все гарантии будут выполнены.
Если вы не хотите платить, вы добавитесь в список опубликованных компаний в нашем блоге и станете примером для других.


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует пару методов для проверки принадлежности ПК к некоторым странам СНГ (проверяет GetSystemDefaultUILanguage - язык системы, GetUserDefaultLangID - язык пользователя по умолчанию). Таким образом, не должен шифровать файлы из этих стран.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
acer.exe - исполняемый файл
README.<random>.TXT - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://darksidedxcftmqa.onion/
Email: - 
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 августа 2020:
Пост в Твиттере >>
Расширение: .2b026f49
Записка: README.2b026f49.TXT
Результаты анализов: VT + HA
➤ Содержание записки от вымогателей:
----------- [ Welcome to Dark ] ------------->
What happend?
----------------------------------------------
Your computers and servers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt your data.
But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network.
Follow our instructions below and you will recover all your data.
Data leak
----------------------------------------------
First of all we have uploaded more then 100 GB data.
Example of data:
 - Accounting data
 - Executive data
 - Sales data
 - Customer Support data
 - Marketing data
 - Quality data
 - And more other...
Your personal leak page: http://darksidedxcftmqa.onion/blog/article/id/6/dQDclB_6Kg-c-6fJesONyHoaKh9BtI8j9Wkw2inG8O72jWaOcKbrxMWbPfKrUbHC
The data is preloaded and will be automatically published if you do not pay.
After publication, your data will be available for at least 6 months on our tor cdn servers.
We are ready:
- To provide you the evidence of stolen data
- To give you universal decrypting tool for all encrypted files.
- To delete all the stolen data.
What guarantees?
----------------------------------------------
We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.
All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.
We guarantee to decrypt one file for free. Go to the site and contact us.
How to get access on website? 
----------------------------------------------
Using a TOR browser:
1) Download and install TOR browser from this site: https://torproject.org/
2) Open our website: http://darksidfqzcuhtk2.onion/K71D6P88YTX04R3ISCJZHMD5IYV55V9247QHJY0HJYUXX68H2P05XPRIR5SP2U68
When you open our website, put the following data in the input form:
Key:
pr9gzRnMz6qEwr6ovMT0cbjd9yT56NctfQZGIiVVL [всего 567 знаков]
!!! DANGER !!!
DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them. 
!!! DANGER !!!
---
➤ Ссылки на сообщение для пострадавшего:
http://darksidedxcftmqa.onion/blog/article/id/6
http://darksidedxcftmqa.onion/blog/article/id/6/dQDclB_6Kg-c-6fJesONyHoaKh9BtI8j9Wkw2inG8O72jWaOcKbrxMWbPfKrUbHC
➤ Сообщение для пострадавшей компании:
EBSCO.com - More then 100 GB sensitive data.
Automatic leak publication:
We downloaded a lot of interesting data from your network.
Included:
    Accounting data
    Executive data
    Sales data
    Customer Support data
    Marketing data
    Quality data
    And more other...
if you need proofs, we are ready to provide you with it.
The data is preloaded and will be automatically published if you do not pay.
After publication, your data will be available for at least 6 months on our tor cdn servers.
---
➤ Сообщение для пострадавшей компании до и после ввода ключа:
 
 

Сумма выкупа:  $ 2,000,000 / 193.247 BTC / 22810.219 XMR 
Monero-кошелек: 86R5YKD3DbMTJ1mgqiYjjsVULxwcxN5h5YyJt7Sz4B2oZEpZCnGBDZY4DG293xeeZSeF6iaDJqAoRVMeQXgUNM5x3fzyZru
BTC-кошелек: bc1qena2vfl7xhc5ad7q06eeuyd563ykxmwardnt2d
---





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DarkSide)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Ravi
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 4 августа 2020 г.

Django

Django Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Django


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .djang0unchain3d


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt



Содержание записки о выкупе:
!!ATTENTION!!
Your ID bcf45e5fc9
YOUR FILES ARE ENCRYPTED!
Your documents, photos, database, backups, configurations and other important data was encrypted.
Data recovery the necessary interpreter. To get the interpreter, should send an email to djangounchained@cock.li or djang0unchain3d@protonmail.com
If you dont get answear in 24 hours, please write to XMPP client
sohigh@jabb.im
In a letter to include Your personal ID (see the beginning of this document).
In response to the letter You will receive the address of your Bitcoin wallet to which you want to perform the transfer.
When money transfer is confirmed, You will receive the decrypter file for Your computer.
If you need proofs, you can send us up to 3 files for free decryption.
After starting the programm-interpreter, all your files will be restored.
Attention! Do not attempt to remove a program or run the anti-virus tools.

Перевод записки на русский язык:
!!ВНИМАНИЕ!!
Ваш ID bcf45e5fc9
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваши документы, фотографии, база данных, резервные копии, конфигурации и другие важные данные зашифрованы.
Для восстановление данных нужен интерпретатор. Чтобы получить интерпретатор, нужно отправить email на адрес djangounchained@cock.li или djang0unchain3d@protonmail.com.
Если вы не получите ответ в течение 24 часов, напишите клиенту XMPP
sohigh@jabb.im
В письме укажите Ваш личный ID (см. начало этого документа).
В ответ на письмо Вы получите адрес своего биткойн-кошелька, на который нужно сделать перевод.
Когда денежный перевод будет подтвержден, Вы получите файл дешифратора для своего компьютера.
Если вам нужны доказательства, вы можете отправить нам до 3 файлов для бесплатной расшифровки.
После запуска программы-интерпретатора все ваши файлы будут восстановлены.
Внимание! Не пытайтесь удалить программу или запустить антивирусные инструменты.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: djangounchained@cock.li, djang0unchain3d@protonmail.com
Jabber: sohigh@jabb.im
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 27 июля 2020 г.

Ensiko

Ensiko Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель является компонентом многофункционального ПО Ensiko и может шифровать данные сайтов и серверов с помощью Rijndael-128 в режиме CBC, а затем, как и обычный Ransomware требовать выкуп в # BTC, чтобы вернуть файлы. Предположительно распространяется из Индонезии или одной из сопредельных стран. 

© Генеалогия: Ensiko Malware >> Ensiko Ransomware


Изображение — логотип статьи

Ensiko - это главным образом PHP-веб-оболочка с программой-вымогателем внутри, предназначенная для различных платформ, таких как Linux, Windows, macOS или любой другой платформы, на которой установлен PHP. Вредоносное ПО имеет возможность удаленно управлять системой и принимать и выполнять команды для выполнения вредоносных действий на зараженной машине, отправлять результаты злоумышленнику, сканировать серверы на наличие других веб-оболочек, портить веб-сайты, отправлять массовые электронные письма, загружать удаленные файлы, раскрывать информацию о затронутом сервере, атаковать грубой силой протокол передачи файлов (FTP), cPanel и Telnet, перезаписывать файлы с заданными расширениями и пр.пр.



Список функций и описание:
Priv Index: Download ensikology.php from pastebin
Ransomeware: Encrypt files using RIJNDAEL 128 with CBC mode
CGI Telnet: Download CGI-telnet version 1.3 from pastebin; CGI-Telnet is a CGI script that allows you to execute commands on your web server.
Reverse Shell: PHP Reverse shell
Mini Shell 2: Drop Mini Shell 2 webshell payload in ./tools_ensikology/
IndoXploit: Drop IndoXploit webshell payload in ./tools_ensikology/
Sound Cloud: Display sound cloud
Realtime DDOS Map: Fortinet DDoS map
Encode/Decode: Encode/decode string buffer
Safe Mode Fucker: Disable PHP Safe Mode
Dir Listing Forbidden: Turn off directory indexes
Mass Mailer: Mail Bombing
cPanel Crack: Brute-force cPanel, ftp, and telnet
Backdoor Scan: Check remote server for existing web shell
Exploit Details: Display system information and versioning
Remote Server Scan: Check remote server for existing web shell
Remote File Downloader: Download file from remote server via CURL or wget
Hex Encode/Decode: Hex Encode/Decode
FTP Anonymous Access Scaner: Search for Anonymous FTP
Mass Deface: Defacement
Config Grabber: Grab system configuration such as “/etc/passwd”
SymLink: link
Cookie Hijack: Session hijacking
Secure Shell: SSH Shell
Mass Overwrite: Rewrite or append data to the specified file type.
FTP Manager: FTP Manager
Check Steganologer: Detects images with EXIF header
Adminer: Download Adminer PHP database management into the ./tools_ensikology/
PHP Info: Information about PHP’s configuration
Byksw Translate: Character replacement
Suicide: Self-delete

Вредоносная программа может быть защищена паролем. Для аутентификации вредоносная программа отображает страницу "Not Found" со скрытой формой входа, как показано на следующих скриншотах.


Страница "Not Found" скрытая форма входа


PHP-код для аутентификации по паролю

Пароль для этого образца - RaBiitch, а на следующем рисунке показан перехваченный сетевой трафик для запроса аутентификации на панели веб-оболочки. 

Перехваченный сетевой трафик


К зашифрованным файлам добавляется расширение: .bak


 
Код, показывающий поведение при шифровании
Код шифрования и дешифрования


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Анализ этого крипто-вымогателя был представлен специалиcтами из TrendMicro во второй половине июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

➤ Кроме того, Ensiko Ransomware удаляет файл index.php и устанавливает его в качестве страницы по умолчанию, используя файл .htaccess; злоумышленник также получает уведомление об этом действии по email. Следующий фрагмент кода демонстрирует это поведение.


Фрагмент кода для оставленной страницы .htaccess


Уведомление, которое появляется при обращении к index.php


Внешний вид страницы index.php

Так выглядит закодированный index.php

 Так выглядит декодированный index.php

Чтобы выполнять больше задач в зараженной системе, вредонос может загрузить в зараженную систему различные дополнительные инструменты. Большинство из них загружаются из Pastebin. Вредонос создает каталог tools_ensikology для хранения этих инструментов.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://www.mmbuilders.org/ - сайт BlackHell Team - RaBiitch
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Aliakbar Zahravi (TrendMicro)
 Ionut Ilascu (Bleeping Computer)
 Andrew Ivanov (author)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *