CobraLocker Ransomware
Aliases: Cobra_Locker, Cobra Locker, Cobra
CobraLocker NextGen: IT, DaVinci, Cobra_Locker2.0, Cobra_Locker3.0, Cobra_Locker4.0, DaVinci, Lock, BlackMamba, CoronaCrypt0r, Niros, LegionLocker 2.0, 2.1, 3.0, WannaMad
CobraLocker CryptoToys (сборник разных вариантов)
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. В некоторых вариантах замечены ошибки в работе, в таких случаях уплата выкупа бесполезна. Оригинальное название: Cobra_Locker. На файле написано: Ransomware.exe.
Обнаружения:
DrWeb -> Trojan.Encoder.31957, Trojan.Encoder.32077, Trojan.Encoder.32188
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.avuwe
BitDefender -> Gen:Heur.Ransom.RTH.1, Trojan.GenericKD.43441079
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YQ, A Variant Of MSIL/Filecoder.AAX
Malwarebytes -> Ransom.FileCryptor, Ransom.CobraLocker
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Wtod
TrendMicro -> TROJ_GEN.R002H09FE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: BB Ransomware > CobraLocker, CobraLocker NextGen
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .Cobra
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на середину июня 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание текста о выкупе:
All your important files were encrypted on this PC.
All files with .Cobra extension are encrypted.
Encryption was produced using unique private key generated for this computer.
To decrypt your files, you need to obtain private key.
To retrieve the private key you need to contact us by email
Cobra_Locker@protonmail.com send us an email and wait for further instructions.
E-mail address to contact us:
Cobra_Locker@protonmail.com
If you want decrypt your files you must have decryption code
Перевод текста на русский язык:
Все ваши важные файлы зашифрованы на этом ПК.
Все файлы с .Cobra расширением зашифрованы.
Шифрование сделано с уникальным закрытым ключом, сгенерированным для этого компьютера.
Чтобы расшифровать ваши файлы, вам надо получить закрытый ключ.
Чтобы получить закрытый ключ, вам нужно связаться с нами по email
Cobra_Locker@protonmail.com отправьте нам письмо и ждите инструкций.
Адрес email для контакта с нами:
Cobra_Locker@protonmail.com
Если вы хотите расшифровать ваши файлы, вам нужен код расшифровки
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\FD1HVy\Desktop\Ransomware.exe
C:\Users\User\Desktop\Ransomware\Ransomware\obj\Debug\Ransomware.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Cobra_Locker@protonmail.com
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 - адрес известен в WannaCry: NSA Exploit Edition (2017 г.)
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 4-5 июля 2020:
Пост в Твиттере >>
Расширение: .IT
Самоназвание: IT ransomware
Email: Cobra_Locker@protonmail.com
Располоежение: C:\Users\User\AppData\Local\Temp\IT.exe
Автозагрузка: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\IT.exe
Файл проекта: C:\Users\xxx\source\repos\IT\IT\obj\Debug\IT.pdb
Результаты анализов: VT + TG + IA + VMR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32077
BitDefender -> Trojan.GenericKD.43441079
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AAX
Malwarebytes -> Ransom.CobraLocker
Symantec -> ML.Attribute.HighConfidence
Обновление от 10 июля 2020:
Самоназвание: CobraLocker ransomware
Расширение: .cobra
Email: Cobra_Locker@protonmail.com
Обновление от 17 июля 2020:
Самоназвание: CobraLocker ransomware
Расширение: .c0br4
Email: Cobra_Locker@protonmail.com
Обновление от 22 июля 2020:
Пост в Твиттере >>
Мой пост в Твиттере >>
Самоназвание: DaVinci Ransomware
Расширение: .DaVinci
Email: Cobra_Locker2.0@protonmail.com
Сумма выкупа в BTC: $300
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 - адрес известен в WannaCry: NSA Exploit Edition (2017 г.)
Файл проекта: C:\Users\xxx\source\repos\DaVinci\DaVinci\obj\Debug\DaVinci.pdb
Файл EXE: DaVinci.exe
Результаты анализов: VT + IA + VMR
➤ Содержание текста вымогателей:
Hello I'm DaVinci I have encrypted all your important files!
if you want to recover them follow the instructions
Instructions:
Subscribe me on youtube (DaVinci)
Follow me on instagram (dvsvmvk_x)
Send $300 in bitcoin to this adress: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
and contact us: Cobra_Locker2.0@protonmail.com
---
➤ Обнаружения: DrWeb -> Trojan.Encoder.32188
BitDefender -> Trojan.GenericKD.34217957
Emsisoft -> Trojan.Ransom.DaVinci (A)
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ABD
Malwarebytes -> Ransom.Davinci
Symantec -> Trojan Horse
TrendMicro -> Trojan.MSIL.WACATAC.THGBBBO
---
Использует Slayer RDP Scanner Admin Tool: VT + HA + IA / VT + HA + IA
Обновление от 13 августа 2020:
Пост в Твиттере >>
Email: Cobra_Locker2.0@protonmail.com
Файл: DaVinci.exe
Результаты анализов: VT + VMR + HA + IA
Вариант от 26 августа 2020:
Самоназвание: CoronaCrypt0r
Расширение: .Lock
Email: CoronaDecrypt0r@protonmail.com
BTC: 13am4vw2dhxygxeqepohkhsquy6ngaeb94
Файл проекта: C:\Users\xxx\source\repos\CoronaCrypt0r\CoronaCrypt0r\obj\Debug\CoronaDecrypt0r.pdb
Файл: CoronaCrypt0r.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32363
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ABD
Malwarebytes -> Ransom.Corona
Microsoft -> Ransom:MSIL/CovitseCryptor.MA!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Dztj
TrendMicro -> Ransom.MSIL.CORONACRYPTOR.A
Варианты от 20-21 декабря 2020:
Самоназвание: BlackMamba 2.0 Ransomware
Файлы не шифруются, хотя это возможно при определённых условиях.
Файл: BlackMamba2.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33330
BitDefender -> Gen:Variant.MSILHeracles.8668
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CobraLocker.A
Malwarebytes -> Ransom.FileCryptor
TrendMicro -> Ransom_Cobra.R002C0DLO20
---
Другой вариант:
Email: Cobra_Locker666@protonmail.ch
Ключ для разблокировки: "DaVinci"
Файл проекта: C:\Users\xxx\source\repos\BlackMamba2\BlackMamba2\obj\Debug\BlackMamba2.pdb
Файл: ransomware.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33355
BitDefender -> Trojan.GenericKD.45179543
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CobraLocker.A
Malwarebytes -> Ransom.BlackMamba
TrendMicro -> Ransom.MSIL.COBRALOCKER.C
=== 2021 ===
Вариант от 3 января 2021:
Email TorBox: CobraLocker@torbox3uiot6wchz.onion
На русском и английском языках.
Файлы не шифруются, хотя это возможно при определённых условиях.
Файл: AmongUs.exe
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CobraLocker.D
Malwarebytes -> Ransom.Winlock
Microsoft -> Ransom:MSIL/Cryptolocker.PDO!MTB
Tencent -> Msil.Trojan.Encoder.Efuj
TrendMicro -> Ransom.MSIL.COBRALOCKER.B
Вариант от 8 января 2021:
Самоназвание: Niros
BTC: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Этот BTC известен из NSMF Ransomware
Файл проекта: C:\Users\xxx\source\repos\Niros\Niros\obj\Debug\Niros.pdb
Файл: Niros.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33371, Trojan.Encoder.33372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CobraLocker.E
Malwarebytes -> Ransom.Niros.MSIL
Microsoft -> Ransom:MSIL/Filecoder.FI!MTB
Tencent -> Msil.Trojan.Encoder.Eibh, Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_Filecoder.R002C0DAB21, Ransom_Filecoder.R002C0DAC21
Вариант от 7 апреля 2021:
Самоназвание: LegionLocker 2.0
Записка: @LegionReadMe@.hta
BTC: 131fjhrB4wH8j6adZXudp1Wn23pR33tpAh
Файл проекта: C:\Users\xxx\source\repos\Launcher\Launcher\obj\Debug\TGVnaW9uTG9ja2VyMi4w.pdb
Используемый файл: window.bat
Файл: TGVnaW9uTG9ja2VyMi4w.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33780
BitDefender -> Trojan.GenericKD.36645382
ESET-NOD32 -> A Variant Of MSIL/TrojanDropper.Agent.FEH
Malwarebytes -> Ransom.CobraLocker
Rising -> Dropper.Agent!8.2F (CLOUD)
Вариант от 29-30 апреля 2021:
Расширение: .Legion
Файл: LegionLocker2.1.exe
Вариант от 9 мая 2021:
Самоназвание: LegionLocker 3.0
Расширение: .LGNLCKD
Записка: LegionReadMe.txt
Email: legionlocker@mail2tor.com, cobralocker@mail2tor.com
Файл: LegionLocker3.0
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33929
ALYac -> Trojan.Ransom.Filecoder
BitDefender -> Gen:Variant.Ransom.LegionLocker.1
ESET-NOD32 -> A Variant Of Win32/Packed.Themida.HTV
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Trojan.Generic!8.C3 (CLOUD)
TrendMicro -> TROJ_GEN.R002C0WEC21
Вариант от 12 июля 2021:
Самоназвание: WannaMad
Расширение: .hacked
Файл проекта: C:\Users\polem\source\repos\WannaMad\WannaMad\obj\Debug\WannaMad.pdb
Файл: WannaMad.exe
Расположение: C:\Users\Admin\AppData\Local\Temp\WannaMad.exe
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.12
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YQ
Kaspersky -> UDS:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> MachineLearning/Anomalous.94%
Microsoft -> Trojan:Win32/Wacatac.B!ml
SymantecML.Attribute.HighConfidence
Вариант от 1 сентября 2021:
Расширение: .aes
Записка: Readme.txt
Записка зашифрована: Readme.txt.aes
BTC: 16b8cf29760341ed35ca72cb722aab79
E:\Fiverr\jrackz\ClickApp\Click\obj\Release\Click.pdb
C:\Users\Admin\AppData\Local\Temp\Click.exe
Результаты анализов: IOS: VT, IA, TG
MD5: 16b8cf29760341ed35ca72cb722aab79
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34300
BitDefender -> Gen:Heur.Ransom.RTH.1
Malwarebytes -> Malware.AI.3863244583
Microsoft -> Ransom:MSIL/WannaCrypt.PA!MTB
Symantec -> ML.Attribute.HighConfidence
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as CobraLocker) Write-up, Topic of Support *
Thanks: dnwls0719, Michael Gillespie, Petrovic Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
