Hansom Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
Обнаружения:
DrWeb -> Trojan.DownLoader34.50536
BitDefender -> Trojan.GenericKD.34670003
ALYac -> Trojan.Agent.4081152A
Avira (no cloud) -> BDS/Androm.avuvt
ESET-NOD32 -> Win64/Filecoder.Hansom
Malwarebytes -> ***
Rising -> ***
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R011C0WJ520
© Генеалогия: ??? >> Hansom
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .hansom
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на вторую половину июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HANSOM_README.txt
Содержание записки о выкупе:
======================
What happened to My Computer?
======================
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time.
Nobody can recover your files without my decryption service.
Do not attempt to decrypt the data yourself, you might corrupt your files.
Don't Delete Encrypted Files.
Don't Modify Encrypted Files.
Don't Rename Encrypted Files.
======================
Can I Recover My Files?
======================
Sure. I guarantee that you can recover all your files safely and easily.
If you want to decrypt all of your files, you need to pay.
Hurry up! You only have 1 day(24 hours) of payment. After the deadline the price will be doubled.
If you do NOT pay in 3 days, you lose the chance to recover your files FOREVER.
======================
How Do I Pay?
======================
Payment is accepted in Bitcoin only.
The price of your valuable data will be determined as a result of the negotiation between you and me.
After negotiation, please buy that amount of bitcoin, and send it to my address below.
Please buy that amount of bitcoin, and send it to my address below.
For more informations, please google "How to buy bitcoin".
My bitcoin wallet address is
--------------------------------------
bc1q3tdfzfjngzdlup7x50x3tkfs2mx90a85en9z74
--------------------------------------
WARNING: Please check my bitcoin address carefully, even if you type one incorrect character, I can not receive your payment.
After you send the bitcoin to my adress, you must send email with your bitcoin wallet address and your ransom id.
Your ransom ID is
***
And my email addresses are below.
--------------------------------------
keepcredit015@protonmail.com
honestman0023@protonmail.com
--------------------------------------
WARNING: If all of my email addresses are blocked by cyber security teams, you will never be able to contact with me forever.
Перевод записки на русский язык:
======================
Что случилось с моим компьютером?
======================
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов теперь недоступны, т.к. они зашифрованы.
Возможно, вы ищете способ восстановить свои файлы, но не теряйте зря время.
Никто не сможет восстановить ваши файлы без моей службы дешифрования.
Не пытайтесь расшифровать данные сами, вы можете повредить свои файлы.
Не удаляйте зашифрованные файлы.
Не изменяйте зашифрованные файлы.
Не переименовывайте зашифрованные файлы.
======================
Могу ли я восстановить свои файлы?
======================
Конечно. Я гарантирую, что вы сможете легко и безопасно восстановить все свои файлы.
Если вы хотите расшифровать все свои файлы, вам нужно заплатить.
Поторопись! У вас есть только 1 день (24 часа) оплаты. По истечении указанного срока цена будет увеличена вдвое.
Если вы НЕ заплатите в течение 3 дней, вы потеряете шанс восстановить файлы НАВСЕГДА.
======================
Как мне платить?
======================
Оплата принимается только в биткойнах.
Цена ваших ценных данных будет определена в результате переговоров между вами и мной.
После переговоров, пожалуйста, купите это количество биткойнов и отправьте их на мой адрес, указанный ниже.
Пожалуйста, купите это количество биткойнов и отправьте их на мой адрес, указанный ниже.
Для получения информации, пожалуйста, гуглите "Как купить биткойн".
Адрес моего биткойн-кошелька
--------------------------------------
bc1q3tdfzfjngzdlup7x50x3tkfs2mx90a85en9z74
--------------------------------------
ВНИМАНИЕ: внимательно проверьте мой биткойн-адрес, если вы введете неверный символ, я не смогу получить ваш платеж.
После того, как вы отправите биткойн на мой адрес, вы должны отправить email со своим адресом биткойн-кошелька и id выкупа.
Ваш ID выкупа
***
И мои адреса email ниже.
--------------------------------------
keepcredit015@protonmail.com
fairman0023@protonmail.com
--------------------------------------
ВНИМАНИЕ! Если все мои адреса email будут заблокированы группами кибербезопасности, вы никогда не сможете связаться со мной.
Другим информатором выступает изображение hansom.jpg, заменяющее обои Рабочего стола.
На втором скриншоте есть открытое окно Hansom Decryptor.exe
Если запустить файл Hansom Decryptor.exe, то он подскажет, как восстановить файлы с использованием приобретенного закрытого ключа.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует оффлайн-шифрование.
Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .ace, .ai, .alz, .apk, .arc, .arj, .asm, .asp, .aspx, .au3, .bak, .bat, .bmp, .bz2, .bzip2, .c, .cad, .cer, .chm, .cka, .cmd, .conf, .config, .cpp, .crt, .cs, .csr, .css, .csv, .dat, .db, .dbf, .der, .dll, .doc, .docx, .dwg, .eml, .eps, .epub, .exe, .fla, .frm, .gif, .gz, .h, .hst, .htm, .html, .hwp, .hwpml, .inf, .ini, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .ldf, .log, .lz, .m, .max, .mdb, .mdf, .msi, .myd, .myi, .ocx, .ods, .odt, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pl, .png, .ppm, .pps, .ppt, .pptx, .psd, .py, .rar, .reg, .rtf, .sdf, .show, .sql, .sqlite3, .tar, .tgz, .tiff, .txt, .vbs, .war, .xbm, .xls, .xlsx, .xml, .xz, .zip (110 типов файлов).
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует оффлайн-шифрование.
Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .ace, .ai, .alz, .apk, .arc, .arj, .asm, .asp, .aspx, .au3, .bak, .bat, .bmp, .bz2, .bzip2, .c, .cad, .cer, .chm, .cka, .cmd, .conf, .config, .cpp, .crt, .cs, .csr, .css, .csv, .dat, .db, .dbf, .der, .dll, .doc, .docx, .dwg, .eml, .eps, .epub, .exe, .fla, .frm, .gif, .gz, .h, .hst, .htm, .html, .hwp, .hwpml, .inf, .ini, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .ldf, .log, .lz, .m, .max, .mdb, .mdf, .msi, .myd, .myi, .ocx, .ods, .odt, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pl, .png, .ppm, .pps, .ppt, .pptx, .psd, .py, .rar, .reg, .rtf, .sdf, .show, .sql, .sqlite3, .tar, .tgz, .tiff, .txt, .vbs, .war, .xbm, .xls, .xlsx, .xml, .xz, .zip (110 типов файлов).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HANSOM_README.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Файлы, связанные с этим Ransomware:
HANSOM_README.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
hansom.jpg - изображение, заменяющее обои Рабочего стола
Hansom Decryptor.exe
Private.hansomkey
Public.hansomkey
StSess.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Public\Pictures\hansom.jpg
C:\Users\User\AppData\Local\Private.hansomkey
C:\Users\User\AppData\Local\Public.hansomkey
C:\Users\User\AppData\Roaming\StSess.exe
C:\Users\User\Desktop\Hansom_Sample
C:\Users\User\Desktop\Hansom Decryptor.exe
C:\Users\User\Desktop\Private.hansomkey
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: keepcredit015@protonmail.com
honestman0023@protonmail.com
BTC: bc1q3tdfzfjngzdlup7x50x3tkfs2mx90a85en9z74См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 12 ноября 2020:
Cisco Talos обнаружила новую версию семейства троянских программ удаленного доступа (RAT), известную как CRAT.
RAT состоит из нескольких методов обфускации, чтобы скрыть строки, имена API, URL-адреса команд и управления (C2) и инструментальные функции, а также уклонение от статического обнаружения.
Атака также использует множество антиинфекционных проверок для обхода систем обнаружения на основе песочницы.
Кроме встроенного станартного для RAT функционала, может загружать и развертывать дополнительные вредоносные плагины на зараженной конечной точке.
Один из таких плагинов — программа-вымогатель, известная как Hansom.
В статье есть образцы вредоносного ПО и его модулей.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as Hansom) Write-up, Topic of Support Added later: Write-up by Cisco Talos >>
Video demo of the attack
Thanks: Michael Gillespie, CheckMAL Andrew Ivanov (author) Cisco Talos to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.