Если вы не видите здесь изображений, то используйте VPN.

четверг, 14 сентября 2023 г.

3AM

3AM Ransomware

Three-AM-time Ransomware

3AM Doxware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


3AM Ransomware

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы расшифровать и вернуть украденные файлы. Оригинальное название: 3AM ("3 часа ночи"). Написан на языке программирования Rust. Специалисты Symantec Threat Hunter Team, описавшие атаку 3AM, не предоставили публичный образец для изучения и описания. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство не выявлено >> 
3AM


Сайт "ID Ransomware" идентифицирует это как 3AM (с 13-14 сентября 2023). 



Информация для идентификации

Ранняя активность этого крипто-вымогателя была обнаружена гораздо раньше, но рассказано о ней было только 13 сентября 2023 г. в отчете Symantec Threat Hunter Team, описавших единственный инцидент, но не предоставивших публичный образец для исследования. 
По утверждению Symantec THT, атакующие сначала пытались использовать один из вариантов LockBit Ransomware, но когда LockBit был заблокирован, они запустили неизвестный на том момент 3AM Ransomware. Злоумышленникам удалось развернуть его только на трех компьютерах в сети организации, но и он был заблокирован на двух из трех компьютеров.
Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .threeamtime


Записка с требованием выкупа называется: RECOVER-FILES.txt 

3AM Ransomware note, записка о выкупе


Содержание записки о выкупе:

Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more.
We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used.
Please contact us as soon as possible, using Tor-browser:
hxxx://threeam7***.onion/recovery 
Access key:
[32 CHARS SPECIFIED BY -k COMMAND LINE PARAMETER]


Перевод записки на русский язык:
Привет. "3 часа ночи" Время мистики, не так ли?
Все ваши файлы загадочным образом зашифрованы, а системы "не подают признаков жизни", резервные копии исчезли. Но мы можем очень быстро это исправить и вернуть все ваши файлы и работу систем в исходное состояние.
Все ваши попытки восстановить данные самостоятельно приведут к их порче и невозможности восстановления. Мы не рекомендуем Вам делать это самостоятельно!!! (или делаете на свой страх и риск).
Есть еще один важный момент: мы украли из вашей локальной сети довольно большой объем конфиденциальных данных: финансовые документы; персональные данные ваших сотрудников, клиентов, партнеров; рабочая документация, почтовая корреспонденция и многое другое.
Мы предпочитаем держать это в секрете, у нас нет цели разрушить ваш бизнес. Поэтому с нашей стороны утечки быть не может.
Предлагаем договориться и заключить сделку.
В противном случае ваши данные будут проданы в DarkNet/DarkWeb. Можно только догадываться, как они будут использоваться.
Напишите нам как можно скорее, используя Tor-браузер:
hxxx://threeam7***.onion/recovery 
Ключ доступа:
[32 СИМВОЛА ***]


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Программа-вымогатель сначала пытается настроить атакованный компьютер под себя, удалить бэкапы и теневые копии файлов, остановить несколько служб на зараженном компьютере, прежде чем начнет шифровать файлы. Подробности ниже. 

➤ Настраивает под себя файервол Windows: 
"netsh.exe" advfirewall firewall set rule "group=”Network Discovery”" new enable=Yes

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:
"wbadmin.exe" delete systemstatebackup -keepVersions:0 -quiet
"wbadmin.exe" DELETE SYSTEMSTATEBACKUP
"wbadmin.exe" DELETE SYSTEMSTATEBACKUP -deleteOldest
"bcdedit.exe" /set {default} recoveryenabled No
"bcdedit.exe" /set {default} bootstatuspolicy ignoreallfailures
"wmic.exe" SHADOWCOPY DELETE /nointeractive

➤ Выполняет команду "net" stop /y для: 
acronis, AcronisAgent, AcrSch, AcrSch2Svc, Afee, AVP, Back, backup, Backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecVSSProvider, BacupExecRPCService, bedbg, CAARCUpdateSvc, CASAD2WebSvc, ccEvtMgr, ccSetMgr, CCSF, DCAgent, EhttpSrv, ekrn, Endpoint, Enterprise, EPSecurity, EPUpdate, Eraser, EsgShKernel, ESHASRV, Exchange, FA_Scheduler, GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, IISAdmin, IMAP4, KAVF, klnagent, MBAM, McShield, memtas, mepocs, mfefire, mfemms, mfevtp, mms, Monitor, MsDts, NetMsmq, ntrt, PDVF, POP3, Report, RESvc, Smcinst, SmcService, SMTP, SNAC, sql, svc$, swi_, task, tmlisten, TrueKey, UIODetect, veeam, Veeam, VeeamNFSSvc, VeeamTransportSvc, vmcomp, vmwp, vss, W3S, wbengine, WRSVC, xchange, YooBackup, YooIT

➤ Атакующие использовали инструмент Cobalt Strike и инициировали разведывательные команды, такие как whoami, netstat, quser и netshare, чтобы облегчить горизонтальное перемещение по сети атакованной организации. Чтобы сохранить устойчивость, злоумышленники добавили нового пользователя. Затем они использовали инструмент wput для передачи файлов на свой FTP-сервер.

➤ Уже после шифрования вредоносная программа пытается выполнить следующую команду для удаления теневых резервных копий тома:
vssadmin.exe delete shadows /all /quiet

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVER-FILES.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Маркеры: 
Зашифрованные файлы содержат строку маркера "0x666", за которой следуют данные, добавленные Ransomware.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://threeam7***.onion/recovery 
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 


Данные с сайта вымогателей


Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA256: 307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Topic of Support ***

Thanks: Threat Hunter Team (Symantec) Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 2 сентября 2023 г.

Magaskosh

Magaskosh Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Magaskosh Ransomware. На файле написано: MagasFinisher.exe. Это не файл шифратора. 
---
Обнаружения:
DrWeb -> Trojan.Badjoke.65
BitDefender -> Gen:Variant.Zusy.485511
ESET-NOD32 -> A Variant Of MSIL/Agent_AGen.BJE
Kaspersky -> HEUR:Trojan.MSIL.Agent.gen
Malwarebytes -> Malware.AI.560909678
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:MSIL/Magaskosh.MA!MTB
Rising -> Trojan.Agent!8.B1E (CLOUD)
Tencent -> Msil.Trojan.Agent.Wmhl, Malware.Win32.Gencirc.13ee22c9
TrendMicro -> TROJ_GEN.R002H07I223, Trojan.MSIL.MAGASKOSH.THIOEBC
---

© Генеалогия: родство выясняется >> 
Magaskosh 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .magaskosh

Записка с требованием выкупа написана на экране блокировки: 



Содержание записки о выкупе:
ALL OF YOUR FILES HAVE BEEN ENCRYPTED BY MAGASKOSH
6 DAYS
to DELETE all of your files..
If you want to restore them, please send an email to 666.accidenthappy.666@tutanota.com
You only have LIMITED time to get back your files!
- if timer runs out and you dont pay us , all of files will be DELETED and yuor hard disk will be seriously DAMAGED.
- you will lose some of your data on day 2 in the timer.
- you can buy more time for pay Just email us .
- THIS IS NOT A JOKE! you can wait for the timer to run out .and watch deletion of your files :)
What is our decryption guarantee?
Before paying you can send us up to 3 test files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information, (databases.backups. large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is buy.bitcoin.com site.You have to register, click 'Buy bitcoins'. and select the seller by payment method and price.
Also you can find other places to buy Bitcoins and beginners guide here: https://www.bitcoin.com/get-started/how-to-buy-bi

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ MAGASKOSH
6 ДНЕЙ
до УДАЛЕНИЯ всех ваших файлов..
Если вы хотите вернуть их, отправьте email по адресу 666.accidenthappy.666@tutanota.com.
У вас есть только ОГРАНИЧЕННОЕ время, чтобы вернуть свои файлы!
- если таймер истечет, а вы не заплатите нам, все файлы будут УДАЛЕНЫ, а ваш жесткий диск будет серьезно ПОВРЕЖДЕН.
- вы потеряете часть своих данных на второй день таймера.
- Вы можете купить больше времени за оплату. Просто напишите нам.
- ЭТО НЕ ШУТКА! вы можете дождаться истечения таймера и наблюдать за удалением ваших файлов :)
Какова наша гарантия расшифровки?
Перед оплатой вы можете отправить нам до 3 тестовых файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 2 Мб (не в архиве), файлы не должны содержать ценной информации (базы данных.резервные копии, большие листы Excel и т. д.).
Как получить биткойны
Самый простой способ купить биткойны — это сайт buy.bitcoin.com. Вам надо зарегистрироваться, нажать "Купить биткойны", и выбрать продавца по способу оплаты и цене.
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь: https://www.bitcoin.com/get-started/how-to-buy-bi


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
MagasFinisher.exe, 2019-08-26.jpg.exe - название файла экрана блокировки;
MagasFinisher.pdb - файл проекта программы-вымогателя. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%USERPROFILE%\Desktop\MagasFinisher - Copy\MagasFinisher\MagasFinisher\obj\Release\MagasFinisher.pdb

Маркер зашифрованных файлов:
rymozvpgflsstrhd


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 666.accidenthappy.666@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 41011bd9af96dc9207533b5b2b819274
SHA-1: 25eae501b9604c2d6bf668d836aa3b96ecf4b127
SHA-256: 1b00ab6aec02a12e61143b6b351ad0d978f701413f02eff948eba397674a0c0e
Vhash: 25503675151140827132012
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: *** Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 31 августа 2023 г.

CiphBit

CiphBit Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


CiphBit Ransomware

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CiphBit. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущий вариант без названия >> 
CiphBit


Сайт "ID Ransomware" идентифицирует это как CiphBit (с 31.08.2023).



Информация для идентификации

Ранняя активность этого крипто-вымогателя была в марте - апреле - середине мая 2023 г. Может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: ***нет данных ***

Исследователь MalwareHunterTeam предоставил только копию "Уведомления о вызове в полицию" на болгарском языке. Вероятно, это говорит о том, что пострадавшие находятся в Болгарии. Из этого следует, что вымогатели выдают себя за правоохранительные органы Болгарии. 

CiphBit Ransomware


Содержание текста на болгарском языке:
Известие за полицейска призовка
Въз основа на компютърно търсене Националната полиция предприема съдебни действия срещу вас за детска порнография, педофилия и киберпорнография. За ваша информация: Законодателят е определил, че престъпленията и простъпките (съгласно определението в Наказателния кодекс), извършени чрез използване на телекомуникационни мрежи, ще подлежат на по-тежко наказание.
Нашите следователи прихванаха комуникации между Вас и непълнолетни лица под 16-годишна възраст, по време на които открихме, че еротични съобщения, сексуални сцени или мастурбационни сесии се предават чрез сесии с уебкамери и незабавни чатове.
Моля, разберете, че съдържанието с недвусмислен сексуален характер и съобщенията със сексуален характер, достъпни за непълнолетни под 16-годишна възраст, представляват престъпления като детска порнография, педофилия и киберпорнография, които се наказват строго от закона. Информацията, получена чрез проникване в киберпространството, е важен източник на доказателства за тези престъпни дейности.
Изпратете ни имейл с обосновката си в рамките на 48 часа, за да я разгледаме. Ако не получим отговор след посочения срок, ще поддържаме обвиненията срещу вас. Следователно ще издадем заповед за арест, ще бъдете отведен в най-близкия полицейски участък и ще бъдете съден от съдебните органи на съда във вашия район.
След това ще бъдете вписан в Националния регистър на сексуалните престъпници и това наказателно дело ще бъде предадено на антипедофилските организации и медиите.  
Моля, изпратете отговора си до генералния директор на Националната полиция: 
Адрес на електронна поща : ***

Перевод текста на русский язык:
Уведомление о вызове в полицию
На основании компьютерного поиска Национальная полиция возбудила против вас судебный иск за детскую порнографию, педофилию и кибер-порнографию. Для справки: законодательный орган постановил, что преступления и проступки (согласно определению Уголовного кодекса), совершенные с использованием телекоммуникационных сетей, подлежат более строгому наказанию.
Наши следователи перехватили общение между вами и несовершеннолетними в возрасте до 16 лет, в ходе которого мы обнаружили, что эротические сообщения, сексуальные сцены или сеансы мастурбации передавались через сеансы веб-камеры и мгновенные чаты.
Пожалуйста, поймите, что откровенно сексуальный контент и сообщения сексуального характера, доступные несовершеннолетним в возрасте до 16 лет, представляют собой такие преступления, как детская порнография, педофилия и кибер-порнография, которые строго наказываются по закону. Информация, полученная посредством кибервторжения, является важным источником доказательств этой преступной деятельности.
Отправьте нам свое обоснование в течение 48 часов, чтобы мы могли его рассмотреть. Если мы не получим ответа по истечении указанного времени, мы сохраним обвинения против вас. Поэтому мы издадим приказ
для ареста вас доставят в ближайший полицейский участок и предстанут перед судебными органами вашего района.
Затем вы будете внесены в Национальный реестр лиц, совершивших сексуальные преступления, и это уголовное дело будет передано в антипедофильские организации и средства массовой информации.
Пожалуйста, отправьте свой ответ Генеральному директору Национальной полиции:
Адрес электронной почты: ***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;
Известие за полицейска призовка.pdf - файл на болгарском языке, который распространяют вымогатели. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ***@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: MalwareHunterTeam Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 10 августа 2023 г.

INC Ransom

INC Ransomware

INC Ransom Ransomware

INC Encryptor Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


INC Ransom Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: INC Ransom. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >>



Сайт "ID Ransomware" идентифицирует это как INC Ransom (с 10.08.2023). 



Информация для идентификации

Активность этого крипто-вымогателя была замечена в начале августа 2023 г., но началась, видимо, на месяц раньше (12 июня 2023). Ориентирован на англоязычных пользователей, может распространяться по всему миру.



К зашифрованным файлам добавляется расширение: .INC


Записки с требованием выкупа называются: 
INC-README.TXT 
INC-README.HTML 

INC Ransom note, записка о выкупе


Содержание записки о выкупе:
Inc. Ransomware
We have hacked you and downloaded all confidential data of your company and its clients.
It can be spread out to people and media. Your reputation will be ruined.
Do not hesitate and save your business.
Please, contact us via: 
http://incpaysp74dphcbjyv***.onion
Your personal ID: 
***
We're the ones who can quickly recover your systems with no losses. Do not try to devalue our tool - nothing will come of it.
Starting from now, you have 72 hours to contact us if you don't want your sensitive data being published in our blog:
http://incblog7vmuq7rktic73***.onion
You should be informed, in our business reputation - is a basic condition of the success.
Inc provides a deal. After successfull negotiations you will be provided:
1. Decryption assistance;
2. Initial access;
3. How to secure your network;
4. Evidence of deletion of internal documents;
5. Guarantees not to attack you in the future.

Перевод записки на русский язык:
Inc. Ransomware
Мы взломали вас и скачали все конфиденциальные данные вашей компании и ее клиентов.
Их можно распространить среди людей и СМИ. Ваша репутация будет испорчена.
Не медлите и спасите свой бизнес.
Свяжитесь с нами через:
http://incpaysp74dphcbjyv***.onion
Ваш личный ID:
***
Мы — те, кто сможет быстро и без потерь восстановить ваши системы. Не пытайтесь обесценить наш инструмент — ничего не выйдет.
Начиная с этого момента, у вас есть 72 часа для связи с нами, если вы не хотите, чтобы ваши конфиденциальные данные были опубликованы в нашем блоге:
http://incblog7vmuq7rktic73***.onion
Вы информированы, что в нашей деловой репутации – это основное условие успеха.
Inc предлагает сделку. После успешных переговоров вам будут предоставлены:
1. Помощь в расшифровке;
2. Первоначальный доступ;
3. Как защитить свою сеть;
4. Доказательства удаления внутренних документов;
5. Гарантии не атаковать вас в будущем.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с использованием скомпрометированных действительных учетных записей, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует инструментов из арсенала Windows: net.exe, nltest.exe, Wordpad, Notepad, MSPaint, Internet Explorer, Windows Explorer, mstsc.exe, msdt.exe

➤ Использует дополнительные инструменты: 7-Zip, MEGASync, Advanced IP Scanner, PuTTY, lsassy.py, PSExec
PSExec используется для запуска исполняемого файла шифрования. Перед запуском переименовывается в файл winupdь при запуске на удаленном узле. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;
INC Encryptor.pdb - файл проекта шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\source\INC Encryptor\Release\INC Encryptor.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor URL: incpaysp74dphcbjyv***.onion
Tor URL: incblog7vmuq7rktic73***.onion
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA256: accd8bc0d0c2675c15c169688b882ded17e78aed0d914793098337afc57c289c


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: MalwareHunterTeam, Huntress, S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 2 августа 2023 г.

Trash Panda

Trash Panda Ransomware

Trash Panda Cover-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Trash Panda Ransomware

Этот крипто-вымогатель от имени мнимой "Team Trash Panda" (Команда "Мусорная панда") шифрует или делает вид, что шифрует данные пользователей, а затем требует "освободить его народ", якобы взамен они вернут файлы, но тут же заявляют, что файлы "trashed" (выброшены в мусор). Оригинальное название программы-вымогателя: Trash Panda. Используется язык программирования Python. 
---
Не стоит обращать внимания на мнимые "патриотические" заявления "юного дарования", который не может отличить панду от енота. Причем дважды: на картинке, заменяющей обои Рабочего стола и в записке о мнимом выкупе. 


Учи биологию, двоечник!

---
Обнаружения:
DrWeb -> Python.Encoder.88
BitDefender -> ***
ESET-NOD32 -> Python/Filecoder.WG
Kaspersky -> Trojan-Ransom.Win32.Cryrar.hzf
Malwarebytes -> Ransom.Filecoder
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> ***
Tencent -> Win32.Trojan-Ransom.Cryrar.Ncnw
TrendMicro -> Ransom.Win32.TRASHPANDA.THHAFBC
---

© Генеалогия: более ранний вариант >> 
Trash Panda


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была замечена в начале августа 2023 г., но мы видели более ранний вариант без названия, который также передан в сервисы анализа вредоносных программ. 
Trash Panda, судя по тексту, ориентирован на англоязычных пользователей, поэтому может распространяться по всему миру. 
Системы анализа вредоносных программ указывают на присутствие модулей, которые могут воровать данные (Spyware, Stealer). Вероятно это и является главной задачей Trash Panda, а программа-вымогатель служит прикрытием и самолюбованием для "юного дарования". 

К зашифрованным файлам добавляется расширение: .monochromebear



При всем этом, юный вымогатель придумал расширение "монохромный медведь" для зашифрованных файлов, которое подходит к панде , как чёрно-белому медведю, но на картинках всё равно изобразил енота. 

Записка с требованием выкупа называется: 0639ae7ecaa9de9e311da9c399a2da79-readme.html




И этот чудо-зверь больше похож на енота, чем на панду. 


Содержание записки о выкупе:
Team Trash Panda was Here
All your files have been trashed by our
7r45H P4ND4 Asomeware
Let's make a D341. You free our people. We free your data.
Do not try to recover any file. All files were trashed using a very advanced encryption standard established by U.S. National Institute of Standards and Technology (NIST). You can check the following link to learn how your files were trashed. https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
We don't care your data. We don't care money. We want our family to return back to us and YOU GET OUT OFF OUR MOTHERLAND.
Oh, BTW, you have limted time to make decision. We will delete the master key after the countdown clock expires. Hurry ~ Hurry ~
***
YOUR KEY HAS BEEN DELETED
You can contact us at cA7PfY5EqWNy***
If you want your files back, put the following key in the input form. We will contact you later
3og56oHqcYid***MiuUR0=

Перевод записки на русский язык:
Команда Trash Panda была здесь
Все ваши файлы были уничтожены нашим
7r45H P4ND4 Asomeware
Давайте сделаем D341. Вы освобождаете наш народ. Мы освобождаем ваши данные.
Не пытайтесь восстановить какой-либо файл. Все файлы были уничтожены с использованием очень продвинутого стандарта шифрования, установленного Национальным институтом стандартов и технологий США (NIST). Вы можете проверить следующую ссылку, чтобы узнать, как ваши файлы были удалены. https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Нам не важны ваши данные. Нам плевать на деньги. Мы хотим, чтобы наша семья вернулась к нам, а ВЫ УШЛИ С НАШЕЙ РОДИНЫ.
О, кстати, у вас ограничено время на принятие решения. Мы удалим главный ключ после истечения времени обратного отсчета. Спешите ~ Спешите ~
***
ВАШ КЛЮЧ УДАЛЕН
Вы можете написать нам на ca7PfY5EqWNy***
Если вы хотите вернуть свои файлы, введите следующий ключ в форму ввода. Мы напишем вам позже
3og56oHqcYid***MiuUR0=


Еще одна записка. но без требования выкупа написана на картинке, заменяющей обои Рабочего стола: 






Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых расширений: 
.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthe, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .key, .ldf, .lnk, .lock, .mepack, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf .idx, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx

Файлы, связанные с этим Ransomware:
0639ae7ecaa9de9e311da9c399a2da79-readme.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\0639ae7ecaa9de9e311da9c399a2da79-readme.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: a0fea954561663f60059420e6c78fa5c
SHA-1: d5d37ae269008e9bfddc171c3b05bd3d43a5cd4d
SHA-256: ce5cf3b964e636d546bf2c52423296bda06b7fe47e6f8a757f165a3be93c88db
Vhash: 066056656d15657048z5d!z
Imphash: 22604f514dda14fc9e9e932cbc54e1b0


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант от 19 апреля 2022:
Возможно, что этот образец тоже связан с "разработкой" Trash Panda.
Файл: pond.exe
IOC: VT, IA
MD5: 492126a6d718eeb3c70310a51bc1b840
SHA-1: ab0dcbdb255e71b13803ae662f244e221d8b960f
SHA-256: 40fcbb47fa036b775210b8ec3db99654fbe0b9a145408c88ed73ef0b84ff4310
Vhash: 066056656d15756048z5d!z
Imphash: 8b72d7f075b0a8f57a432556bd1a4873




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: Fortinet Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *