MountLocker Ransomware
Aliases: Mount Locker, Cbtucyny
Variants: SunRise Locker, AstroLocker, XingLocker, Quantum Locker
(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью ChaCha20 + RSA-2048 для шифрования ключа шифрования, а затем требует выкуп в $2 миллиона в BTC, чтобы вернуть файлы. Оригинальное название: Mount Locker. Вымогатели называют себя: сначала MountLocker Team, потом — SunRise Locker Team.
Обнаружения:
DrWeb -> Trojan.Encoder.32761, Trojan.Encoder.33086
BitDefender -> Generic.Ransom.GarrantDecrypt.B.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODN
Malwarebytes -> Ransom.MountLocker
Rising -> Trojan.Generic@ML.82 (RDML:*
Symantec -> ML.Attribute.HighConfidence, Ransom.MountLocker, Ransom.MountLocker!g1
TrendMicro -> Ransom.Win32.MOUNTLOCKER.YPAJV
---
© Генеалогия: ??? >> MountLocker > Astro Locker, XingLocker > SunRise Locker > Quantum Locker
Этимология названия:
На самом деле вымогатели были так ленивы, что не написали название своей программы. Даже в названии сайта был бессмысленный набор букв и цифр:
hxxx://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/
Поэтому для названия статьи я сначала взял первые 8 цифр адреса этого сайта — Cbtucyny. Но потом Майкл Джиллеспи сообщил мне, что вымогатели называют свою программу MountLocker или Mount Locker. В декабре 2020 команда вымогателей решила переменоваться и назвать себя SunRise Locker Team.
К зашифрованным файлам добавляется расширение: .ReadManual.<random_ID>
Примеры такого расширения:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: RecoveryManual.html
Содержание записки о выкупе:
Your ClientId:
8639cec5218d00e91df44a7ea0113a05753cf89*************************
/!\ YOUR COMPANY' NETWORK HAS BEEN HACKED /!\
All your important documents have been encrypted and transferred to our premises!
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
However there is a solution for your problem!
We can support you with your data decryption for a monetary reward.
Also we will destroy your private data from our premises.
And we can prove our decryption capabilities by decrypting couple of your files free of charge.
Here are the next steps to get your valuable data back and get it wiped out from our premises:
http://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/?cid=8639cec5218d00e91df44a7ea0113a05753cf89*************************
* Note that you need installed Tor Browser to open this kind of links.
Follow the instructions to install/run Tor Browser:
1. Go to TOR Project website https://www.torproject.org using your usual browser (Chrome, Firefox, Internet Explorer or Edge)
2. Click "Download Tor Browser" and pick right version for your Operation System (this is Windows in 99.9% of cases)
3. Download and Install Tor Browser
4. After installation finished, click on "Tor Browser" link from your Desktop
5. By using Tor Browser visit http://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/?cid=8639cec5218d00e91df44a7ea0113a05753cf89*************************
6. Copy your client id from the top of this document and paste it into Authorization window if requested
7. This will start a chat with our security experts.
Please note, sometimes our team is away from keyboard, but make sure they will reply you back as soon as possible.
Also, we kindly request you to contact with us as soon as possible.
We will start publishing your private data to the Internet if you don't get in touch with us within next few days.
Перевод записки на русский язык:
Ваш ClientId:
8639cec5218d00e91df44a7ea0113a05753cf89 *************************
/!\ СЕТЬ ВАШЕЙ КОМПАНИИ ВЗЛОМАНА /!\
Все ваши важные документы были зашифрованы и переданы нам!
ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ ПРОГРАММ ТРЕТЬИХ СТОРОН НАВСЕГДА ПОВРЕДИТ ИХ.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
Однако решение вашей проблемы есть!
Мы можем помочь вам с расшифровкой ваших данных за денежное вознаграждение.
Также мы уничтожим ваши личные данные из наших мест.
И мы можем доказать наши возможности дешифрования, бесплатно расшифровав несколько ваших файлов.
Вот следующие шаги, чтобы вернуть ваши ценные данные и удалить их из наших мест:
http://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/?cid=8639cec5218d00e91df44a7ea0113a05753cf89**********************************
* Обратите внимание, что для открытия таких ссылок вам нужно установить браузер Tor.
Следуйте инструкциям по установке / запуску Tor Browser:
1. Перейдите на сайт проекта TOR https://www.torproject.org, используя свой обычный браузер (Chrome, Firefox, Internet Explorer или Edge).
2. Нажмите "Загрузить Tor Browser" и выберите версию, подходящую для вашей операционной системы (в 99,9% случаев это Windows).
3. Загрузите и установите Tor Browser.
4. После завершения установки щелкните ссылку "Tor Browser" на рабочем столе.
5. Используя Tor Browser, посетите http://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/?cid=8639cec5218d00e91df44a7ea0113a05753cf89********************************
6. Скопируйте свой клиент-ID из верхней части этого документа и вставьте его в окно авторизации, если потребуется.
7. Откроется чат с нашими экспертами по безопасности.
Обратите внимание, что иногда наша команда находится вдали от клавиатуры, но поверьте, они ответят вам как можно быстро.
Также просим Вас как можно скорее связаться с нами.
Мы начнем публиковать ваши личные данные в Интернете, если вы не свяжетесь с нами в течение следующих нескольких дней.
---
Содержание чата "с экспертами по безопасности", точнее сказать с "экспертами по вымогательству".
Содержания чата с вымогателями:
SUPPORT
Greetings! We are ready to help you! What are your problems?
2020-08-17 15:40:06
CLIENT: MRYE-4641
ok, you got us, we need the encryption removed asap
2020-08-17 15:53:26
CLIENT: MRYE-4641
hello?
2020-08-17 16:18:25
CLIENT: MRYE-4641
I am waiting at my desk
2020-08-17 17:08:39
SUPPORT
Thank you for contacting us.
You can get your decrypted files back and we'll keep your private information in secret.
Just one thing is necessary - you have to pay $2 millions in Bitcoin regarding the instructions we'll provide to you on demand.
Please, note: all your attempts to decrypt files, change them can cause unpredictable damage to your information.
We hope we can reach an agreement as soon as possible.
In case you won't make a payment, your information will be made public, your clients and business partners can be involved in a huge scandal and lose sensitive data.
2020-08-17 17:21:05
CLIENT: MRYE-4641
I will pass this information on to my managers. They will want to know how they know this will not happen again in a few weeks or a few months.
2020-08-17 17:30:53
SUPPORT
You'll receive full information about this attack and some recommendation how to avoid it in the future. Also , I hope, your System administrator will be more attentive to protect your network.
2020-08-17 22:06:19
CLIENT: MRYE-4641
OK , Management is discussing now
2020-08-20 22:07:25
SUPPORT
Hello. We understand your situation and we patiently gave you 3 days to discuss the matter and make your decision. But, your time is running out, so:
- if you won't contact us tomorrow, we're going to start company in the media to inform all about your leak;
- we will contact your competitors with all your information we already have and offer to buy it;
- also we're going to contact your partners, suppliers etc with the information about the attack, because they also could lose their data.
So, we hope we can reach an agreement before all this sh....t happens.
Have a nice day
2020-08-21 22:02:11
CLIENT: MRYE-4567
OK . On which site can the published information be read?
2020-08-21 22:05:35
CLIENT: MRYE-4567
Probably, it will take us more days since the weekend is ahead.
2020-08-22 00:25:05
SUPPORT
We'll do our best to publish info all over the Internet. But you should understand - our goal is money, so as soon as you'll pay a ransom, we all can forget about this matter.
Yes, weekend is coming, so you have some time to decide. But don't think too long, our patience is not endless.
Перевод содержания на русский:
СЛУЖБА ПОДДЕРЖКИ
Приветствую! Мы готовы вам помочь! Какие у вас проблемы?
2020-08-17 15:40:06
КЛИЕНТ: MRYE-4641
хорошо, вы нас поймали, нам нужно как можно скорее удалить шифрование
2020-08-17 15:53:26
КЛИЕНТ: MRYE-4641
Привет?
2020-08-17 16:18:25
КЛИЕНТ: MRYE-4641
Я жду за своим столом
2020-08-17 17:08:39
СЛУЖБА ПОДДЕРЖКИ
Благодарим Вас за обращение к нам.
Вы можете вернуть свои расшифрованные файлы, и мы сохраним вашу личную информацию в секрете.
Необходимо только одно - вы должны заплатить 2 миллиона долларов в биткойнах за инструкции, которые мы предоставим вам по запросу.
Обратите внимание: все ваши попытки расшифровать файлы, изменить их могут нанести непредсказуемый ущерб вашей информации.
Мы надеемся, что сможем прийти к соглашению как можно скорее.
Если вы не сделаете платеж, ваша информация будет обнародована, ваши клиенты и деловые партнеры могут быть вовлечены в огромный скандал и потерять конфиденциальные данные.
2020-08-17 17:21:05
КЛИЕНТ: MRYE-4641
Я передам эту информацию своим менеджерам. Они захотят знать, откуда они знают, что это не повторится через несколько недель или несколько месяцев.
2020-08-17 17:30:53
СЛУЖБА ПОДДЕРЖКИ
Вы получите полную информацию об этой атаке и некоторые рекомендации, как ее избежать в будущем. Также я надеюсь, что ваш системный администратор будет внимательнее защищать вашу сеть.
2020-08-17 22:06:19
КЛИЕНТ: MRYE-4641
ОК, руководство сейчас обсуждает
2020-08-20 22:07:25
СЛУЖБА ПОДДЕРЖКИ
Привет. Мы понимаем вашу ситуацию и терпеливо дали вам 3 дня на то, чтобы обсудить этот вопрос и принять решение. Но ваше время на исходе, поэтому:
- если вы завтра не свяжетесь с нами, мы создадим компанию в СМИ, чтобы проинформировать всех о вашей утечке;
- мы свяжемся с вашими конкурентами, сообщим всю имеющуюся у нас информацию и предложим ее купить;
- также мы собираемся связаться с вашими партнерами, поставщиками и т. д. с информацией об атаке, потому что они также могут потерять свои данные.
Итак, мы надеемся, что сможем прийти к соглашению до того, как все это дерьмо произойдет.
Хорошего дня
2020-08-21 22:02:11
КЛИЕНТ: MRYE-4567
ХОРОШО . На каком сайте можно прочитать опубликованную информацию?
2020-08-21 22:05:35
КЛИЕНТ: MRYE-4567
Возможно, нам понадобится больше дней, так как впереди выходные.
2020-08-22 00:25:05
СЛУЖБА ПОДДЕРЖКИ
Мы постараемся публиковать информацию по всему Интернету. Но вы должны понимать - наша цель - деньги, поэтому, как только вы заплатите выкуп, мы все забудем об этом.
Да, скоро выходные, так что у вас есть время определиться. Но не думайте слишком долго, наше терпение небезгранично.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RecoveryManual.html - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
В реестре регистрируется расширение, добавленное к зашифрованным файлам. После этого при открытии зашифрованного файла откроется сообщение с требованием выкупа.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Обновление от 24 сентября:
Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as MountLocker) Write-up, Topic of Support Added later: Write-up by BleepingComputer >>
Thanks: Andrew Ivanov (author) Michael Gillespie, S!Ri *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Название которое придумал Джиллеспи очень тупое. Дело в том, что адреса которые сейчас используют в TOR - Onion v3. Там уже ссылки длинные, хоть и путем подбора можно сделать себе "красивый адрес". Соответственно, "Mount Locker" более целесообразнее, чем придумал всеми уважаемый исследователь.
ОтветитьУдалить