суббота, 19 октября 2019 г.

ABCD, LockBit

ABCD Ransomware

LockBit Ransomware

Lock2Bits Ransomware

LuckyDay Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью AES + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в ранних вариантах в записке не было указано. Потому для этой статьи было выбрано название ABCD по используемому расширению .abcd.
Позже, в конце декабря 2019, в коде и названии появилось слово LockBit, потом стало использоваться расширение .lockbit. Дальше — больше. Похоже на то, что вымогатели не знают как себя назвать и постоянно меняют названия. 

Обнаружения:
DrWeb -> Trojan.Encoder.29662, Trojan.Encoder.30295, Trojan.Encoder.30886, Trojan.Encoder.31783
BitDefender -> Gen:Heur.Ransom.Imps.3, Gen:Heur.Ransom.Imps.1, Trojan.GenericKD.33815280, A Variant Of Win32/Kryptik.HDGL
Malwarebytes -> Ransom.LockBit
McAfee -> RDN/Ransom, Ransom-Lkbot!75C039742AFD
Microsoft -> Ransom:Win32/LockBit.A!MTB, Ransom:Win32/LokiBot!MSR
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXQ
Avira (no cloud) -> TR/Downloader.Gen, TR/Crypt.ZPACK.Gen
Symantec -> ML.Attribute.HighConfidence, Downloader

© Генеалогия: LockerGoga > MegaCortex > Good (Goodmen), ABCD (LockBit), PhobosImposter > Lock2Bits


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .abcd


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность раннего вариант этого крипто-вымогателя пришлась на середину октября 2019 г. Позже вымогатели придумали этому "чуду" название и стали распространять это как LockBit. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В январе 2020 пострадавшие были из США, Германии, Франции, Китая. 

Записка с требованием выкупа называется: Restore-My-Files.txt

Содержание записки о выкупе:
All your important files are encrypted!
There is  only one way to get your files back:
1. Contact with us
2. Send us 1 any encrypted your file and your personal key
3. We will decrypt 1 file for test(maximum file size - 1 MB), its guarantee what we can decrypt your files
4. Pay
5. We send for you decryptor software
We accept Bitcoin
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased  price(they add their fee to our)
Contact information: goeila@countermail.com
Be sure to duplicate your message on the e-mail: gupzkz@cock.li
Your personal id: 
DR2JZobWr9AxQofCDEkqc8wZxBVcgqHrwHxURb/Ty6zmkjUAbPlY6QpYLTlnhROL
*****

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы!
Есть только один способ вернуть ваши файлы:
1. Свяжитесь с нами
2. Отправьте нам 1 любой зашифрованный файл и ваш личный ключ
3. Мы расшифруем 1 файл для теста (максимальный размер файла - 1 МБ), это гарантирует, что мы можем расшифровать ваши файлы
4. Оплатить
5. Мы вышлем вам программу расшифровки
Мы принимаем биткойны
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать с помощью сторонних программ, это может привести к постоянной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей)
Контактная информация: goeila@countermail.com
Не забудьте продублировать ваше сообщение на email: gupzkz@cock.li
Ваш личный id: 
DR2JZobWr9AxQofCDEkqc8wZxBVcgqHrwHxURb / Ty6zmkjUAbPlY6QpYLTlnhROL
*****
[всего 1708 знаков]


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует технологию обхода UAC. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Очищает журналы Windows.

vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
C:\Windows\System32\cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

➤ Использует белый список стран и языковых локализаций стран СНГ, в которых шифрование не должно осуществляться. Список прилагается. 
Азербайджанский (кириллица)
Азербайджанский (латиница)
Армянский
Белорусский
Грузинский
Казахский
Киргизский (кириллица)
Русский
Русский (Молдова)
Таджикский
Туркменский
Узбекский (кириллица)
Узбекский (латиница)
Украинский

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Restore-My-Files.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: goeila@countermail.com, gupzkz@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 ноября 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .abcd
Записка: Restore-My-Files.txt
Email: supportpc@cock.li, goodsupport@cock.li
➤ Содержание записки: 
All your important files are encrypted!
There is  only one way to get your files back:
1. Contact with us
2. Send us 1 any encrypted your file and your personal key
3. We will decrypt 1 file for test(maximum file size - 1 MB), its guarantee what we can decrypt your files
4. Pay
5. We send for you decryptor software
We accept Bitcoin
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased  price(they add their fee to our)
Contact information: supportpc@cock.li
Be sure to duplicate your message on the e-mail: goodsupport@cock.li
Your personal id: 
 ceipl0Z10GtMlyTWzHn0YOT7T2+KrRjZDspX3+6*** [всего 1708 знаков]

Обновление от 4 декабря 2019:
Пост в Твиттере >>
Расширение: .abcd
Записка: Restore-My-Files.txt
Email: abcd-help@countermail.com, supportpc@cock.li
Результаты анализов: VT
➤ Содержание записки: 
All your important files are encrypted!
There is only one way to get your files back:
1. Contact with us
2. Send us 1 any encrypted your file and your personal key
3. We will decrypt 1 file for test(maximum file size - 1 MB), its guarantee what we can decrypt your files
4. Pay
5. We send for you decryptor software
We accept Bitcoin
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price(they add their fee to our)
abcd-help@countermail.com
Contact information:
Be sure to duplicate your message on the e-mail: supportpc@cock.li
Your personal id:
DsEj52CLMwaPyDAR95szCVtqlViG4g2zBK5j57X46gPEI2Ox/Z77***


Обновление от 30-31 декабря 2019:
Пост в Твиттере >>
Откопали слово "LockBit". 
Добавил это как второе название статьи, т.к. в ID Ransomware для идентификации также стало использоваться это слово.  
 
 


Обновление от 23-30 января 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .lockbit
Записка: Restore-My-Files.txt
Обход UAC: CMSTPLUA, ColorDataProxy, ICMCalibration
Раздел реестра: HKEY_CURRENT_USER\Software\LockBit
➤ Команда удаления теневых копий и путей восстановления: 
C:\Windows\System32\cmd.exe" /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
Файл: C:\Users\Admin\AppData\Local\Temp\Lockbit.exe
Результаты анализов: VT + AR + AR + IA + IA + HA + VMR + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30886
Avast -> Win32:Fraudo [Trj]
BitDefender -> Gen:Heur.Ransom.Imps.1, Generic.Ransom.LockBit.91CBD888
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXQ
Malwarebytes -> Ransom.LockBit
McAfee -> Ransom-Lkbit!889328E2CF5F
Microsoft -> Ransom:Win32/LokiBot!MSR
Rising -> Trojan.Crypto!8.364 (CLOUD)
TrendMicro -> Trojan.Win32.WACATAC.THABGBO, Ransom.Win32.LOCKBIT.A
➤ Содержание записки:
All your important files are encrypted!
Any attempts to restore your files with the thrid-party software will be fatal for your files!
RESTORE YOU DATA POSIBLE ONLY BUYING private key from us.
There is only one way to get your files back:
| 1. Download Tor browser - https://www.torproject.org/ and install it.
| 2. Open link in TOR browser - http://lockbitks2tvnmwk.onion/?D0407AC9D97C78CB9C256CA4731DB5D5
This link only works in Tor Browser! 
| 3. Follow the instructions on this page
 ###  Attention! ###
 # Do not rename encrypted files.
 # Do not try to decrypt using third party software, it may cause permanent data loss.
 # Decryption of your files with the help of third parties may cause increased price(they add their fee to our)
 # Tor Browser may be blocked in your country or corporate network. Use https://bridges.torproject.org 
 # Tor Browser user manual https://tb-manual.torproject.org/about
---
 
 
 


Обновление от 6 февраля 2020:

Расширение: .abcd
Записка: 
Restore-My-Files.txt
Email: pcabcd@countermail.com, recoverymanager@cock.li
➤ Содержание записки:
All your important files are encrypted!
There is  only one way to get your files back:
1. Contact with us
2. Send us 1 any encrypted your file and your personal key
3. We will decrypt 1 file for test(maximum file size - 1 MB), its guarantee what we can decrypt your files
4. Pay
5. We send for you decryptor software
We accept Bitcoin
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased  price(they add their fee to our)
Contact information: pcabcd@countermail.com
Be sure to duplicate your message on the e-mail: recoverymanager@cock.li
Your personal id: 
*** [всего 1708 знаков]



Обновление от 14 февраля 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .lockbit
Записка: Restore-My-Files.txt
Tor-URL: http://lockbitks2tvnmwk.onion/*
Файл: sh1.exe
Использует сертификат от Sectigo. 
Результаты анализов: VT + ARCSB

Обновление от 24 марта 2020:
Расширение: .lockbit
Записка: Restore-My-Files.txt
Результаты анализов: VT + VMR

Обновление от 4 апреля 2020:
Расширение: .lockbit
Записка: Restore-My-Files.txt
➤ Содержание записки:
All your important files are encrypted!
Any attempts to restore your files with the thrid-party software will be fatal for your files!
RESTORE YOU DATA POSIBLE ONLY BUYING private key from us.
There is only one way to get your files back:
| 1. Download Tor browser - https://www.torproject.org/ and install it.
| 2. Open link in TOR browser - http://lockbitks2tvnmwk.onion/?962823C4EBE6623DCA2071AC9B8BA4BD
This link only works in Tor Browser! 
| 3. Follow the instructions on this page
 ###  Attention! ###
 # Do not rename encrypted files.
 # Do not try to decrypt using third party software, it may cause permanent data loss.
 # Decryption of your files with the help of third parties may cause increased price(they add their fee to our).
 # Tor Browser may be blocked in your country or corporate network. Use https://bridges.torproject.org or use Tor Browser over VPN.
 # Tor Browser user manual https://tb-manual.torproject.org/about 
!!! We also download huge amount of your private data, including finance information, clients personal info, network diagrams, passwords and so on.
Don't forget about GDPR.
---
Содержание сайта, открываемого по ссылке:
xxxx://lockbitks2tvnmwk.onion/?962823C4EBE6623DCA2071AC9B8BA4BD
Две картинки из чата с характерными названиями. 


Обновление от 10-13 мая 2020:

Пост в Твиттере >>
Расширение: .lockbit
Записка: Restore-My-Files.txt
URL: xxxx://lockbit-decryptor.com/***
Tor-URL: xxxx://lockbitks2tvnmwk.onion/***
Также используется изображение, заменяющее обои Рабочего стола. 
 
Результаты анализов: VT + HA + IA + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31783
BitDefender -> Trojan.GenericKD.33815280
ESET-NOD32 -> A Variant Of Win32/Kryptik.HDGL
Malwarebytes -> Ransom.LockBit
TrendMicro -> TROJ_GEN.R011C0WEB20


Обновление от 12 мая 2020:
Идентифицируется как Lock2Bits
Расширение: .lock2bits
Записки и зашифрованные форматы файлов LockBit и Lock2Bit отличаются. 


Обновление от 22 июля 2020 или раньше:
Пост на форуме >>
Расширение: .lockbit
Записка: Restore-My-Files.txt 
 
➤ Содержание записки:
All your important files are encrypted!
Any attempts to restore your files with the thrid-party software will be fatal for your files!
RESTORE YOU DATA POSIBLE ONLY BUYING private key from us.
There is only one way to get your files back:
1) Through a standard browser(FireFox, Chrome, Edge, Opera)
| 1. Open link http://lockbit-decryptor.com/?A206EAF373BB05F8CAD0F191390CB897
| 2. Follow the instructions on this page
2) Through a Tor Browser - recommended
| 1. Download Tor browser - https://www.torproject.org/ and install it.
| 2. Open link in TOR browser - http://lockbitks2tvnmwk.onion/?A206EAF373BB05F8CAD0F191390CB897
This link only works in Tor Browser! 
| 3. Follow the instructions on this page
 ###  Attention! ###
 # lockbit-decryptor.com may be blocked. We recommend using a Tor browser to access the site
 # Do not rename encrypted files.
 # Do not try to decrypt using third party software, it may cause permanent data loss.
 # Decryption of your files with the help of third parties may cause increased price(they add their fee to our).
 # Tor Browser may be blocked in your country or corporate network. Use https://bridges.torproject.org or use Tor Browser over VPN.
 # Tor Browser user manual https://tb-manual.torproject.org/about
---
Обновление от 16 августа 2020:
Пост в Твиттере >>
URL: xxxx://lockbit-decryptor.com/***
Tor-URL: xxxx://lockbitks2tvnmwk.onion/***
Результаты анализов: VT + VT
 


Обновление от 5 ноября 2020:
Lock2Bits переименовывается в LuckyDay. 
Расширение: .luckyday
Записка: File Recovery.txt
Tor-URL: luckydaynywoklzy.onion
  


Обновление от 17 ноября 2020:
Расширение: .lockbit 
Tor-URL: xxxx://lockbitks2tvnmwk.onion/*
Результаты анализов: VT + IA


Вариант от 6 января 2021:




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (1st ID as ABCD, 2nd ID as LockBit, Lock2Bits)
 Write-up, Topic of Support
 *
Adder later:
Description of LockBit by Albert Zsigovits (on April 7, 2020)
Write-up by Albert Zsigovits from Sophos (on April 24, 2020)
Write-up
Внимание!
В некоторых случаях файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>
 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie, Vitali Kremez, Albert Zsigovits
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *