Если вы не видите здесь изображений, то используйте VPN.

вторник, 28 апреля 2020 г.

Light

Light Ransomware

Light Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные серверов и компаний с помощью AES+RSA, а затем требует выкуп в 50.000 долларов, чтобы вернуть файлы и угрожает обнародовать некоторые украденные данных, которые компрометируют сотрудников компании. Оригинальное название: Light. Также называют себя сами хакеры. 

Вымогатели, распространяющие Light, угрожают опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Как известно из других Ransomware, для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. О подобных акциях вымогателей сообщалось в СМИ. На момент публикации статьи, не было известно о публикации украденных данных, вымогатели пока только угрожали. 

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---

© Генеалогия: предыдущие разработки >> Light


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину-вторую половину апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи известно только об одной компании, пострадавшей от этих вымогателей, это Zaha Hadid Architects (ZHA). Руководство ZHA проигнорировало требования хакеров, взломавших их сеть и специалисты компании восстановили данные из резервных копий на прошлой неделе.

Запиской с требованием выкупа выступает сообщение вымогателей, оставленное на взломанном сервере. Оригинальную записку получить не удалось. 

Другим информатором жертвы выступает Tor-сайт вымогателей. 

Содержание страницы сайта о выкупе:
Welcome to Light
Those who cry to hide breach and pretend it do not happen will appear on list.
Zaha-Hadid.com
Data stolen: Finance data, project data, email dumps, active directory dump, client information, employee information, visa information.
A sample of this data is below. More to be released if not payment
Take extra notice to email dump. It contains information on Zaha-Hadid employees engaging in extra marital affairs in work and flying the mistress to China for sex all while allowing the customer to pay for this. When Zaha-Hadid found out they all agreed to keep this quiet and not tell the customer. Total cost of over $50,000 to customer.
Payroll.7z
Bonus scheme for directors.7z
Bank: Exports.7z
Active Directory dump.7z
Zaha-Hadid.com SSL certificate and password
***'s private email dump

Перевод страницы сайта на русский язык:
Добро пожаловать в Light
Те, кто плачет, чтобы скрыть нарушение и сделать вид, что этого не произошло, появятся в списке.
Zaha-Hadid.com
Похищенные данные: финансовые данные, данные проекта, дампы электронной почты, дамп активного каталога, информация о клиентах, информация о сотрудниках, информация о визах.
Образец этих данных ниже. Больше будет выпущено, если не оплата
Получите дополнительное уведомление, чтобы отправить дамп по электронной почте. Он содержит информацию о сотрудниках Zaha-Hadid, которые занимаются внебрачными отношениями на работе и вывозят любовницу в Китай для секса, позволяя клиенту заплатить за это. Когда Zaha-Hadid узнал, они все согласились хранить молчание и не говорить клиенту. Общая стоимость для клиента более 50 000 $.
Payroll.7z
Бонусная схема для директоров.7z
Банк: Экспорт.7z
Дамп активной директории.7z
Zaha-Hadid.com SSL сертификат и пароль
*** личный email


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
  myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 ***
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *