воскресенье, 13 октября 2019 г.

Netwalker-2

Netwalker-2 Ransomware

Aliases: Mailto-2, Kazkavkovkiz

NetWalker Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные обычных пользователей и бизнес-пользователей  с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Позже появилась записка от вымогателей, в которой они решили назвать свое "творение" Netwalker ("сетевой ходок"). 

Вымогатели, распространяющие Netwalker, позже стали угрожать опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Как известно из других Ransomware, для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. Об этих акциях вымогателей сообщалось в СМИ. На момент публикации статьи, не было известно о публикациях украденных данных, вымогатели только угрожали. Возможно, что они реализовали свои угрозы, чтобы доказать, что это не шутки.  

Обнаружения:
DrWeb -> Trojan.Encoder.29998, Trojan.Encoder.31232
BitDefender -> Gen:Variant.Razy.553720, Gen:Trojan.Heur.FU.fuW@aKB239, Gen:Variant.Ransom.Netwalker.4
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXP, A Variant Of Win32/Filecoder.NetWalker.B
Kaspersky -> Trojan-Ransom.Win32.Mailto.a
Microsoft -> Trojan:Win32/Nemty.PD!MTB
TrendMicro -> Ransom.Win32.MAILTO.ADC
Symantec -> ML.Attribute.HighConfidence, Downloader

© Генеалогия: Mailto (Netwalker) > Mailto-2 (Netwalker-2)
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random>

Фактически используется составное расширение по шаблону: 
.mailto[<email>].<ID> - общий вариант шаблона
.mailto[<email>].<random{4}> - на момент напсиания статьи
.mailto[<email>].<random{5}> - после написания статьи

Под .<random> или <>ID могут находиться цифры и буквы в нижнем регистре.
Сначала использовались 4 знака, потом 5, но со временем это может измениться. 

Например: 
.1401
.fbf2u

Примеры зашифрованных файлов (с 4-мя и 5-ю знаками в расширении):
.mailto[kazkavkovkiz@cock.li].1401
.mailto[kkeessnnkkaa@cock.li].fbf2u


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону 
<ID>-Readme.txt

Пример записок (цифры и заглавные буквы из расширения): 
1401-Readme.txt
FBFC-Readme.txt


Содержание записки о выкупе:
Hi!
Your files are encrypted.
All encrypted files for this computer has extension: .1401
--
If for some reason you read this text before the encryption ended,
this can be understood by the fact that the computer slows down, 
and your heart rate has increased due to the ability to turn it off,
then we recommend that you move away from the computer and accept that you have been compromised,
rebooting/shutdown will cause you to lose files without the possibility of recovery and even god will not be able to help you,
it could be files on the network belonging to other users, sure you want to take that responsibility?
--
Our encryption algorithms are very strong and your files are very well protected, you can't hope to recover them without our help.
The only way to get your files back is to cooperate with us and get the decrypter program.
Do not try to recover your files without a decrypt program, you may damage them and then they will be impossible to recover.
We advise you to contact us as soon as possible, otherwise there is a possibility that your files will never be returned.
For us this is just business and to prove to you our seriousness, we will decrypt you some files for free, 
but we will not wait for your letter for a long time, mail can be abused, we are moving on, hurry up with the decision.
Сontact us:
1.kazkavkovkiz@cock.li
2.Hariliuios@tutanota.com
Don't forget to include your code in the email:
{code_1401:smjErehmmb8LN/ANr+7IThQKwUq3HbWCnh6hI5U0QmCXxlLi+E
vx5Fcfp3p4q8GUCIEw9pQzIHugCWZqozxmIES39ohGqXRDXKkv
Ri/rJHtNC3J8BRvrrbqFYkJrDrwLLBBK7127c3qEyJf8EyOXhn
WNQ7dH6oAO6qAejWIE0XH73AqHeQ1hiAeiB3U7vviDKLzYTG9z
V/DoxL9iM4CUbz8ZtVpqeIO7mw0OWcsx5oHkXVqGXg1SziRPKT
d58WyzVj5niEeKrAlRhd9eJb00pEtFcw==}

Перевод записки на русский язык:
Привет!
Ваши файлы зашифрованы.
Все зашифрованные файлы для этого компьютера имеют расширение: .1401
-
Если по какой-то причине вы прочитали этот текст до того, как шифрование закончилось, это можно понять по тому, что компьютер замедлился, а частота сердечных сокращений увеличилась из-за возможности его выключить, поэтому мы рекомендуем вам отойти от компьютера и принять, что вы были скомпрометированы, перезагрузка / выключение приведет к потере файлов без возможности восстановления, и даже бог не сможет вам помочь, это могут быть файлы в сети, принадлежащие другим пользователям, обязательно взять на себя эту ответственность?
-
Наши алгоритмы шифрования очень сильны, и ваши файлы очень хорошо защищены, вы не можете надеяться восстановить их без нашей помощи.
Единственный способ вернуть ваши файлы - это сотрудничать с нами и получить программу расшифровки.
Не пытайтесь восстановить ваши файлы без расшифровки программы, вы можете повредить их, и тогда их будет невозможно восстановить.
Мы рекомендуем вам связаться с нами как можно скорее, в противном случае есть вероятность, что ваши файлы никогда не будут возвращены.
Для нас это просто бизнес, и чтобы доказать вам нашу серьезность, мы расшифруем некоторые файлы бесплатно, но мы не будем долго ждать вашего письма, почта может быть заблокирована, мы идем дальше, поторопитесь с решение.
Свяжитесь с нами:
1.kazkavkovkiz@cock.li
2.Hariliuios@tutanota.com
Не забудьте указать свой код в письме:
{code_1401:smjErehmmb8LN/ANr+7IThQKwUq3HbWCnh6hI5U0QmCXxlLi+E
vx5Fcfp3p4q8GUCIEw9pQzIHugCWZqozxmIES39ohGqXRDXKkv
Ri/rJHtNC3J8BRvrrbqFYkJrDrwLLBBK7127c3qEyJf8EyOXhn
WNQ7dH6oAO6qAejWIE0XH73AqHeQ1hiAeiB3U7vviDKLzYTG9z
V/DoxL9iM4CUbz8ZtVpqeIO7mw0OWcsx5oHkXVqGXg1SziRPKT
d58WyzVj5niEeKrAlRhd9eJb00pEtFcw==}



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов. Использует API-интерфейс отладки WaitForDebugEvent для внедрения вредоносного кода в Проводник Windows (explorer.exe) и запуска его отлаженного защищенного процесса вместе с системой. После шифрования explorer.exe завершает родительский процесс и удаляет исходный образец, файл сбрасывается в "ProgramFiles", а также в запись RUN, уничтожая следы его существования.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаются системные директории и многие директории программных файлов: 
*system volume information
*windows.old
*:\users\*\*temp
*msocache
*:\winnt
*$windows.~ws
*perflogs
*boot
*:\windows
*:\program file*
\vmware
\\*\users\*\*temp
\\*\winnt nt
\\*\windows
*\program file*\vmwaree
*appdata*microsoft
*appdata*packages
*microsoft\provisioning
*dvd maker
*Internet Explorer
*Mozilla
*Old Firefox data
*\program file*\windows media*
*\program file*\windows portable*
*windows defender
*\program file*\windows nt
*\program file*\windows photo*
*\program file*\windows side*
*\program file*\windowspowershell
*\program file*\cuas*
*\program file*\microsoft games
*\program file*\common files\system em
*\program file*\common files\*shared
*\program file*\common files\reference ass*
*\windows\cache*
*temporary internet*
*media player
*:\users\*\appdata\*\microsoft
\\*\users\*\appdata\*\microsoft

Файлы, связанные с этим Ransomware:
<EXTENSION>-Readme.txt:
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kazkavkovkiz@cock.li, Hariliuios@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 ноября 2019:
Пост в Твиттере >>
Расширение: .<random{5}>
Составное расширение (шаблон): .mailto[<email>].<random{5}>
Составное расширение (пример): .mailto[2Hamlampampom@cock.li].82a80
Email: 2Hamlampampom@cock.li, Galgalgalgalk@tutanota.com
Записка (шаблон): "расширение"-Readme.txt
Записка (пример): 82A80-Readme.txt
Результаты анализов: VT + VMR
---
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29998
BitDefender -> Gen:Variant.Razy.553720
McAfee -> Ransom-CWall!B0008E752F48
Microsoft -> Trojan:Win32/Nemty.PD!MTB
Rising -> Ransom.Mailto!1.BC36 (CLOUD)
TrendMicro -> Ransom.Win32.MAILTO.ADC
➤ Содержание записки:
Hi!
Your files are encrypted.
All encrypted files for this computer has extension: .82a80
--
If for some reason you read this text before the encryption ended,
this can be understood by the fact that the computer slows down, 
and your heart rate has increased due to the ability to turn it off,
then we recommend that you move away from the computer and accept that you have been compromised,
rebooting/shutdown will cause you to lose files without the possibility of recovery and even god will not be able to help you,
it could be files on the network belonging to other users, sure you want to take that responsibility?
--
Our encryption algorithms are very strong and your files are very well protected, you can't hope to recover them without our help.
The only way to get your files back is to cooperate with us and get the decrypter program.
Do not try to recover your files without a decrypt program, you may damage them and then they will be impossible to recover.
We advise you to contact us as soon as possible, otherwise there is a possibility that your files will never be returned.
For us this is just business and to prove to you our seriousness, we will decrypt you some files for free, 
but we will not wait for your letter for a long time, mail can be abused, we are moving on, hurry up with the decision.
Сontact us:
1.2Hamlampampom@cock.li
2.Galgalgalgalk@tutanota.com
Don't forget to include your code in the email:
{code_3289ad72_82a80:
TdbC2z2sDmbynrNfz+/MNXPnOFfoaKCO6n5oOcE9BmdZ+V7rpm
Vk8nf4/uqvCi+PcmAes5oFDKnY6wqXAJzs1g6QqwvBDhRwcq2J
MpggWFeJjL9SmYxDvGsesTN9VyP2FfgHkhbhQzBb5KGSg7C4S0
YOACdiplxm/8qkdVgESTDoGmAE7ZtM0QB2SvByB3eE0Cm64Au8
TIpo1+9enkvgfv1oQotXH5d2/BFLMGFUeiR5pFKeZNWBVU3WrI
gWVZ6NTSCNCEVruFBGMewtI6c8O9ADyks=}



Обновление от 3 января 2020:
Пост в Твиттере >>
Расширение: .mailto[<email>].<random{5}>
Примеры расширений: b0ae6, .c3f7e
Составное расширение (шаблон): .mailto[<email_ransom>].<random{5}>
Составное расширение (пример): .mailto[kkeessnnkkaa@cock.li].c3f7e
Примеры записок: C3F7E-Readme.txt, B0AE6-Readme.txt
Email: kkeessnnkkaa@cock.li, hhaaxxhhaaxx@tuta.io
Файл: wwllww.vexe
Дата компиляции: 6 декабря 2019
Результаты анализов: VT + HA + IA + AR + VMR
---
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29998
BitDefender -> Gen:Trojan.Heur.FU.fuW@aKB239
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXP
McAfee -> Ransom-CWall!73DE5BABF166
Rising -> Ransom.Mailto!1.BC36 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
---
➤ Содержание записки:
Hi!
Your files are encrypted.
All encrypted files for this computer has extension: .b0ae6
--
If for some reason you read this text before the encryption ended,
this can be understood by the fact that the computer slows down, 
and your heart rate has increased due to the ability to turn it off,
then we recommend that you move away from the computer and accept that you have been compromised,
rebooting/shutdown will cause you to lose files without the possibility of recovery and even god will not be able to help you,
it could be files on the network belonging to other users, sure you want to take that responsibility?
--
Our encryption algorithms are very strong and your files are very well protected, you can't hope to recover them without our help.
The only way to get your files back is to cooperate with us and get the decrypter program.
Do not try to recover your files without a decrypt program, you may damage them and then they will be impossible to recover.
We advise you to contact us as soon as possible, otherwise there is a possibility that your files will never be returned.
For us this is just business and to prove to you our seriousness, we will decrypt you some files for free, 
but we will not wait for your letter for a long time, mail can be abused, we are moving on, hurry up with the decision.
Сontact us:
1.kkeessnnkkaa@cock.li
2.hhaaxxhhaaxx@tuta.io
Don't forget to include your code in the email:
{code_345f15fb_b0ae6:
qLLViWHEEjy2NZnRRmMjfHyyMyN55ePylVs***nsf/KUM55Y=}


Обновление от 23 января 2020:
Расширение (шаблон): .mailto[<email>].<random{5}>
Расширение (пример): .mailto[sevenoneone@cock.li].25b0a
➤ Содержание записки:
Hi!
Your files are encrypted.
All encrypted files for this computer has extension: .1a2b3
--
If for some reason you read this text before the encryption ended,
this can be understood by the fact that the computer slows down, 
and your heart rate has increased due to the ability to turn it off,
then we recommend that you move away from the computer and accept that you have been compromised,
rebooting/shutdown will cause you to lose files without the possibility of recovery and even god will not be able to help you,
it could be files on the network belonging to other users, sure you want to take that responsibility?
--
Our encryption algorithms are very strong and your files are very well protected, you can't hope to recover them without our help.
The only way to get your files back is to cooperate with us and get the decrypter program.
Do not try to recover your files without a decrypt program, you may damage them and then they will be impossible to recover.
We advise you to contact us as soon as possible, otherwise there is a possibility that your files will never be returned.
For us this is just business and to prove to you our seriousness, we will decrypt you some files for free, 
but we will not wait for your letter for a long time, mail can be abused, we are moving on, hurry up with the decision.
Сontact us:
1.sevenoneone@cock.li
2.kavariusing@tutanota.com
Don't forget to include your code in the email:
{code***}


Обновление от 12 марта 2020:
Пост в Твиттере >>
Пример расширения: .d2723e
Пример записки: D2723E-Readme.txt
На странице сайта оплаты появилось самоназвание: NetWalker
Результаты анализов: VT + HA + VMR
Обнаружения: 
BitDefender -> Gen:Variant.Ransom.Netwalker.4
ESET-NOD32 -> A Variant Of Win32/Filecoder.NetWalker.B
Symantec -> ML.Attribute.HighConfidence
---
➤ Содержание записки:
Hi!
Your files are encrypted.
All encrypted files for this computer has extension: .531c5d
--
If for some reason you read this text before the encryption ended,
this can be understood by the fact that the computer slows down,
 and your heart rate has increased due to the ability to turn it off,
then we recommend that you move away from the computer and accept that you have been compromised.
Rebooting/shutdown will cause you to lose files without the possibility of recovery.
--
Our encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to cooperate with us and get the decrypter program.
Do not try to recover your files without a decrypter program, you may damage them and then they will be impossible to recover.
For us this is just business and to prove to you our seriousness, we will decrypt you one file for free.
Just open our website, upload the encrypted file and get the decrypted file for free.
--
Steps to get access on our website:
1.Download and install tor-browser: https://torproject.org/
2.Open our website: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion
3.Put your personal code in the input form:{code_04b069:OOoaN/OUOKbN9XH4t***JeVqg==}
---
Скриншоты сайта оплаты: 
 
 



Обновление от 13 марта 2020:
Пост в Твиттере >>
Впервые в записке появилось самоназвание: NetWalker 

Обновление от 12 мая 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Вымогатели выпустили крупное обновление, включающее автоматическую публикацию данных о жертвах, разблокировку процессов (с помощью API Restart Manager), сборки PowerShell, демонстрацию заработка на вымогательстве в миллион долларов (например, 1 038 491 доллар от одной жертвы).



Обновление от 19 мая 2020:
Статья на сайте BleepingComputer >>
Netwalker полностью переходят на атаки крупных предприятий, чтобы вывести свой бизнес на новый уровень. Стараются избегать российские предприятия и цели в странах СНГ. 

Схема, характеризующая новую структуру Netwalker




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Kazkavkovkiz (1st), Mailto (2nd) Netwalker (3rd) )
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie
 GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

У вас есть Совесть? Получите здесь!

У вас есть Совесть? Получите здесь!
Официальная ссылка на получение карты "Совесть" с бонусом для нас двоих!

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *