Если вы не видите здесь изображений, то используйте VPN.

суббота, 21 апреля 2018 г.

BlackHeart, BlackRouter

BlackHeart Ransomware

Variants: BlackRouter, Pay2me, M@r1a (Mariacbc), BlackHat, Prodecryptor, Tor+, Tsar, Badboy, Alix1011RVA

BlackHeart NextGen: BlackDream, BlackLegion


(шифровальщик-вымогатель, RaaS) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальные названия: BlackHeart и BlackRouter. На файлах разных вариантов написано: SF.exe, TR.exe, BLACKROUTER.EXE. Разработчик: Javad. Страна: Иран.

Обнаружение: 
DrWeb -> Trojan.Encoder.25193, Trojan.Encoder.26976, Trojan.Encoder.28032, Trojan.MulDrop2.39589, Trojan.MulDrop8.9170, Trojan.MulDrop8.11479, Trojan.Encoder.32008, Trojan.Encoder.32388, Trojan.Encoder.32594,  Trojan.Encoder.32813, Trojan.EncoderNET.31365
ALYac -> Trojan.Ransom.BlackHeart, Trojan.Ransom.SF
BitDefender -> Gen:Variant.Ransom.BlackHeart.4, Dropped:Trojan.GenericKD.30639318, Trojan.GenericKD.40528175, Generic.Ransom.WCryG.*
ESET-NOD32 -> Win32/TrojanDropper.Binder.NBH, A Variant Of MSIL/Filecoder.OI, A Variant Of MSIL/Filecoder.IX
Malwarebytes -> Ransom.BlackRouter, Ransom.BlackHeart
TrendMicro -> Ransom_BLACKHEART.THDBCAH, Ransom.MSIL.FILELOCK.SM

© Генеалогия: Общий крипто-строитель SF Ransomware >> SpartacusSatyrBlackRouter, BlackHeart > M@r1a, BlackHat, Prodecryptor, Tor+, Tsar, Badboy и другие

BlackHeart Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения (в разных вариантах):
.BlackRouter или .pay2me

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadME-BLackHeart.txt

BlackHeart Ransomware note


Содержание записки о выкупе:
All your data has been locked us. You want to return? Contact to:
vahidkhaz123@qmail.com Your Personal key:
Vz**********************************************q==

Перевод записки на русский язык:
Ваши данные блокированы нами. Вы хотите вернуть? Связь на:
vahidkhaz123@qmail.com Ваш персональный ключ:
Vz**********************************************q==

Запиской с требованием выкупа также выступает экран блокировки:




Своеобразное приложение к экрану блокировки

Разработчик-вымогатель, видимо, фанат новых Star Wars. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов с помощью команды:
vssadmin.exe  delete shadows /all /quiet

➤ Вместе с шифровальщиком на компьютер жертвы внедряется программа AnyDesk и кейлоггеры. 

➤ Зашифрованный файл в версиях BlackHeart и BlackRouter немного отличается. 


Оригинальный файл и зашифрованный BlackHeart и BlackRouter

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
SF.pdb
TR.exe (TR.EXE)
BLACKROUTER.EXE - исполняемый файл шифровальщика
ANYDESK.EXE - может выдавать себя за файл программы Anydesk




ReadME-BLackHeart.txt
<random>.exe - случайное название
aut3.tmp, aut4.tmp, aut5.tmp
jrw.gif

Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\BLACKROUTER.EXE
\Temp\TR.EXE
\Temp\aut3.tmp
\Temp\aut4.tmp
\Temp\aut5.tmp
\AppData\Local\temp\tmp\jrw.gif
C:\Users\admin\AppData\Local\Temp\BLACKROUTER.EXE
C:\Users\admin\AppData\Local\Temp\ANYDESK.EXE
C:\Users\Javad\Desktop\Source Code2\SF\obj\Debug\SF.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vahidkhaz123@qmail.com
Telegram. 
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >> VT>> VT>> VT>>
ANY.RUN анализ (.BlackRouter)>>  AR (.pay2me) >>
🐞 Intezer анализ >> IA>> IA>> IA>> 
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Общий крипто-строитель SF Ransomware - апрель 2018 или раньше
Spartacus Ransomware - 15 апреля 2018
BlackRouter Ransomware  - 15 апреля 2018, январь 2019
Satyr Ransomware  - 18 апреля 2018
RansomAES Ransomware - 7 мая 2018
BlackHeart Ransomware - 21 апреля 2018, июнь 2020
M@r1a Ransomware - 3 ноября 2018, май 2019
BlackHat Ransomware - 4 декабря 2018
Prodecryptor Ransomware - апрель 2019
Tor+ Ransomware - декабрь 2019
Tsar Ransomware - февраль 2020
Badboy Ransomware - июнь 2020
Alix1011RVA Ransomware - сентябрь 2020
Prodecryptor - январь 2021 или раньше



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 3 ноября 2018:
Пост в Твиттере >>
Самоназвание: M@r1a
См. отдельную статью M@r1a Ransomware
Расширение: .mariacbc
Записка: ReadME-M@r1a.txt
Telegram: @MAF420
Email: farhani.ma98@gmail.com
BTC: 1EME4Y8zHLGQbzjs9YZ5fnbaSLt4ggkRso
Результаты анализов: VT + HA + VMR

Обновление от 4 декабря 2018:
Пост в Твиттере >>

🎥 Видеообзор >>
Расширение: .BlackHat
Email: mehtihack051@qmail.com 
Telegram: @C3NTER
Файл EXE: SF.exe с иконкой с большой красной буквой "B".
Результаты анализов: VT + VMRay




=== 2019 ===

Обновление от 7 января 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .BlackRouter
Записка: ReadME-BlackRouter.txt
Telegram: t.me/MOH3EN2
Результаты анализов: VT + HA + VMR + AR




➤ Вместе с шифровальщиком BlackRouter на компьютер жертвы внедряется программа AnyDesk и кейлоггеры. 
 
 

Этот вариант рекламируется как RaaS в хакерском канале Telegram иранским разработчиком. Аффилированные партнеры, которые заплатили за RaaS и распространяют BlackRouter, получают 80% от уплаченных выкупов, а 20% получает разработчик BlackRouter. Подробнее в статье BC >>

Обновление от 29 апреля 2019:
Пост в Твиттере >>
Видеообзор >>
Расширение: .Prodecryptor
Записка: ReadME-Prodecryptor@gmail.com.txt 
Email: Prodecryptor@gmail.com
Результаты анализов: VT + VMR





Обновление от 2 мая 2019:
Пост в Твиттере >>
Пост в Твитере >>
Расширение: .mariacbc
Записка: ReadME-Encryptor.txt
BTC: 1AnAZFK93T6xWfWHajwjtYeqQwVRMYFd2b
Email: Encrypt0rvps@gmail.com
Telegram: @@EncryptorVps
Результаты анализов: VT + VMR + AR





Обновление от 5 декабря 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .Tor+
Записка: ReadME-Unlockme501@protonmail.ch.txt
Email: Unlockme501@protonmail.ch
Результаты анализов: VT + VMR + AR

 



➤ Содержание txt-записки: 
All your data has been locked us. You want to return? Contact to Email: Unlockme501@protonmail.ch Your Personal KEY: EfSDHYq8uvBqyO7FTzHaB4fuol4FWB4wM0bI*** [всего 344 знака]


=== 2020 ===

Обновление от 26 февраля 2020:
Пост в Твиттере >>
Расширение: .Tsar
Записка: ReadME-Tsar.txt
Email: Decrypt.Russ©protonmail.com
Результаты анализов: VT + AR + VMR + IA



Обновление от 12 июня 2020:
Топик на форуме >>
Расширение (предположительно): .blackheart
Записка: readme.txt
Email: recover10@tutanota.com, recoverunknown@aol.com


➤ Содержание записки: 
All your files have been encrypted due to security problem with your PC. 
If you want to restore them, write us to the email recover10@TUTANOTA.COM
In case of no answer in 24 hour write us to this email: RECOVERUNKNOWN@aol.com
Note that your email must contain your ID and Unique Key.
Your ID: 54A5D***
Your Unique Key: d6S+bBXefileuQmOmWr9iDzS5EnT0QH9V*** [всего 684 знака]

Обновление от 15 июня 2020:
Пост в Твиттере >>
Самоназвание: Badboy, Badboymnb
Расширение: .Badboy
Записка: ReadME-BadboyEncryption.txt
Email: alix1011@protonmail.com
Email: Aryan.mo@yahoo.com
Файл EXE: Badboymnb.exe
Размещение файла: C:\Users\User\AppData\Local\Temp\Badboymnb.exe
Файл проекта: C:\Users\ali\Desktop\MUSIC\obj\Debug\Badboymnb.pdb 
Команда на удаления теневых копий: 
"cmd.exe" /c vssadmin.exe delete shadows /all /quiet
vssadmin.exe delete shadows /all /quiet
Результаты анализов: VT + TG + IA + VMR


➤ Обнаружения:
DrWeb -> Trojan.Encoder.32008, Trojan.Encoder.32813
ALYac -> Trojan.Ransom.BlackHeart
BitDefender -> Generic.Ransom.WCryG.B214A5E3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LK
TrendMicro -> Ransom.MSIL.FILELOCK.SM

---
➤ Содержание txt-записки:
All your data has been locked us. 
You want to return? Contact to Email: alix1011@protonmail.com 
Your Personal Key : 
XAprJY8ac0+cVEBkFYgVr+VkOi202U1+SQ*** [всего з44 знака]


➤ Содержание текста с экрана:
Your System Has Been Hacked
Personal Key :
***
Warning: Please Don't Restart or Shutdown Your PC ,
If do it Your Pesonal Files Permanently Crypted.
For Decrypt Your Personal Just Pay Btc, After Pay You Can send personal key to
My Email: alix1011@protonmail.com
My Wallet In Blockchain For Pay Contact Me: alix1011@protonmail.com
Contact Me : alix1011@protonmail.com

 


Обновление от 6 августа 2020:
Пост в Твиттере >>
Расширение (без точки): Drheshi@protonmail.com.3tp2PDRJuaNSGk1c и другие
Email: Drheshi@protonmail.com
Email: ellenfabiana01@protonmail.com
Email: MREncptor@protonmail.com
Файл проекта: C:\Users\mlios\Desktop\Zero\SF\obj\Debug\SF.pdb

 

Результаты анализов: VT + VT

Обновление от 24-31 августа 2020:
Пост в Твиттере >>
Расширение (без точки): support@lzt.design.3tp2pdrjuansgk1c


Записка: ReadME-Decrypt.txt
Email: support@lzt.design
Файл: SF.exe
Результаты анализов: VT + VMR
 


Обновление от 22 августа 2020:
Расширение (без точки): Drheshi@protonmail.com.3tp2PDRJuaNSGk1c
Email: Drheshi@protonmail.com
Результаты анализов: VT + IA



Обновление от 14 сентября 2020:
Расширение (без точки): mrheshi@protonmail.com.3tp2PDRJuaNSGk1c
Email: mrheshi@protonmail.com
Проект: C:\Users\Asus\Desktop\Zero\Zero\SF\obj\Debug\SF.pdb
Результаты анализов: VT + IA


Обновление от 18 сентября 2020:
Расширение: .Alix1011RVA
Записка: ReadME-Alix1011RVAEncryption
Email: alix1011@protonmail.com
Проект: C:\Users\ali\Desktop\MUSIC\obj\Debug\Alix1011RVA.pdb
Файл: SF.exe
Результаты анализов: VT + IA
➤ Обнаружения >>
DrWeb -> Trojan.Encoder.32594
BitDefender -> Generic.Ransom.WCryG.*
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LK
Tencent -> Msil.Trojan.Encoder.Gbr
TrendMicro -> Ransom.MSIL.FILELOCK.SM


Вариант от 30 января 2020:
Расширение: .Prodecryptor
Email: Prodecryptor@gmail.com
Файл проекта: dotnet\Prodecryptor\SF\obj\Debug\SF.pdb
Результаты анализов: VT + IA
➤ Обнаружения >>
DrWeb -> Trojan.EncoderNET.31365
ALYac -> Trojan.Ransom.BlackHeart
BitDefender -> Generic.Ransom.Spora.08B3B542
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LK
Malwarebytes -> Malware.AI.4166999267
Tencent -> Msil.Trojan.Encoder.Ajvl
TrendMicro -> Ransom.MSIL.FILELOCK.SM


Прошли годы... 2021, 2022. 
Я не отслеживал новые варианты. Оказывается они были. 


=== 2023 ===

Вариант от 22 октября 2023: 
Доп. название: BlackDream Ransomware
Расширение: .BlackDream
Список вариантов расширений: 
.BlackDream
.Blackdream
.blackDream
.blackdream
Полное расширение (пример): .[644F1DCB].[Blackdream01@zohomail.eu].BlackDream
Записка: ReadME-Decrypt.txt
Telegram: @blackdream_support
Email-1: Blackdream01@zohomail.eu
Email-2: Blackdream01@skiff.com
Файл проекта: Windows Security.pdb
Исходный проект: SF.pdb
Путь к файлу нового проекта: C:\Users\asghar\Desktop\MyProject\Zero\SF\obj\Debug\Windows Security.pdb
Файл exe: Windows Security.exe
IOC: VT, IA
MD5: 4c1665f1516ff9d28d583160e88996e0 
SHA-1: 86894c005222d728b842d4e4b33f11db563e8da3 
SHA-256: 9c242c9ba6744d37141831a823cbe4e3fa4c5a3394979048b066ff01e0191a14 
Vhash: 215036151512208412b0026 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
Обнаружения: 
BitDefender -> Gen:Heur.Ransom.Imps.3
DrWeb -> Trojan.EncoderNET.31365
ESET-NOD32 -> A Variant Of MSIL/WannaScream.B
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Backdoor:Win32/Bladabindi!ml
TrendMicro -> Ransom.MSIL.BLCKDREAM.THJBEBC
---
➤ Строки из записки: 
Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !
Please put your Unique ID as the title of the email or as the starting title of the conversation.
* Note that your files have not been harmed in any way they have only been encrypted by our algorithm. Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !
* For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *
Telegram Id : @blackdream_support
Mail 1 : Blackdream01@zohomail.eu
Mail 2 : Blackdream01@skiff.com
You will receive btc address for payment in the reply letter
--------------------------------
! Important !
Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us , it will rеsult оnly priсе incrеаsе!
Plеаsе nоte that we are professionals and just doing our job !
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu !
"
UniqueID: ********
Your Personal ID:
***

Вариант от 28 ноября 2023: 
Доп. название: BlackLegion Ransomware
Расширение: .BlackLegion
Полное расширение (пример): .[644F1DCB].[BlackLegion@zohomail.eu].BlackLegion
Записка: DecryptNote.txt
Telegram: @blackdream_support
Email-1: Blackdream01@zohomail.eu
Email-2: Blackdream01@skiff.com
Файл: svchost.exe
Фальш-копирайт: Microsoft, Windows
---
IOC: VT, IA
MD5: 105d4038a3514df2766eb7e6a1d045e9 
SHA-1: 92d4a99c61348697ccd787569b6ad971886b9091 
SHA-256: 300121b54db8642063566ad60392a985208ccf344774334b5f5041887fd8b3a0 
Vhash: 215036151512209712b0027 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
Обнаружения: 
BitDefender -> Gen:Heur.Ransom.Imps.3
DrWeb -> Trojan.MulDrop24.45839
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BAY
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Ransom:MSIL/BlackLegion.DA!MTB
TrendMicro -> Ransom.MSIL.BLACKLEGION.THLOFBC






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (1st ID as Spartacus, 2nd ID as BlackHeart)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek, Bart, Michael Gillespie, MalwareHunterTeam
 S!Ri, GrujaRS, dnwls0719, Kangxiaopao
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *