пятница, 21 августа 2020 г.

MountLocker

MountLocker Ransomware

Aliases: Mount Locker, Cbtucyny 

(шифровальщик-вымогатель, публикатор) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью ChaCha20 + RSA-2048 для шифрования ключа шифрования, а затем требует выкуп в $2 миллиона в BTC, чтобы вернуть файлы. Оригинальное название: Mount Locker. Вымогатели называют себя: MountLocker Team.

Вымогатели дают взломанной компании 3 дня и угрожают опубликовать украденные данные "по всему Интернету" с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. На момент публикации статьи еще не было известно о публикациях украденных данных, вымогатели только угрожали, что данные будут опубликованы в СМИ и у них не было сайта для утечек. Немного позже у MountLocker появился сайт для публикации украденных данных. 

Обнаружения:
DrWeb -> Trojan.Encoder.32761, Trojan.Encoder.33086
BitDefender -> Generic.Ransom.GarrantDecrypt.B.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODN
Malwarebytes -> ***
Rising -> Trojan.Generic@ML.82 (RDML:*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Hpk
TrendMicro -> ***
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> MountLocker (
Cbtucyny)

Этимология названия:
На самом деле вымогатели были так ленивы, что не написали название своей программы. Даже в названии сайта был бессмысленный набор букв и цифр: 
http://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/
Поэтому для названия статьи я сначала взял первые 8 цифр адреса этого сайта — Cbtucyny. Но потом Майкл Джиллеспи сообщил мне, что вымогатели называют свою программу 
MountLocker или Mount Locker. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ReadManual.<random_ID>

Примеры такого расширения: 
.ReadManual.5B975F6B
.ReadManual.64BD3273

MountLocker регистрирует это расширение в реестре, чтобы при нажатии на зашифрованный файл автоматически загружалась записка с требованием выкупа.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RecoveryManual.html
Cbtucyny Ransomware

Содержание записки о выкупе:
Your ClientId:
8639cec5218d00e91df44a7ea0113a05753cf89*************************
/!\ YOUR COMPANY' NETWORK HAS BEEN HACKED /!\
All your important documents have been encrypted and transferred to our premises!
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
However there is a solution for your problem!
We can support you with your data decryption for a monetary reward.
Also we will destroy your private data from our premises.
And we can prove our decryption capabilities by decrypting couple of your files free of charge.
Here are the next steps to get your valuable data back and get it wiped out from our premises:
http://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/?cid=8639cec5218d00e91df44a7ea0113a05753cf89*************************
* Note that you need installed Tor Browser to open this kind of links.
Follow the instructions to install/run Tor Browser:
1. Go to TOR Project website https://www.torproject.org using your usual browser (Chrome, Firefox, Internet Explorer or Edge)
2. Click "Download Tor Browser" and pick right version for your Operation System (this is Windows in 99.9% of cases)
3. Download and Install Tor Browser
4. After installation finished, click on "Tor Browser" link from your Desktop
5. By using Tor Browser visit http://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/?cid=8639cec5218d00e91df44a7ea0113a05753cf89*************************
6. Copy your client id from the top of this document and paste it into Authorization window if requested
7. This will start a chat with our security experts.
Please note, sometimes our team is away from keyboard, but make sure they will reply you back as soon as possible.
Also, we kindly request you to contact with us as soon as possible.
We will start publishing your private data to the Internet if you don't get in touch with us within next few days.

Перевод записки на русский язык:
Ваш ClientId:
8639cec5218d00e91df44a7ea0113a05753cf89 *************************
/!\ СЕТЬ ВАШЕЙ КОМПАНИИ ВЗЛОМАНА /!\
Все ваши важные документы были зашифрованы и переданы нам!
ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ ПРОГРАММ ТРЕТЬИХ СТОРОН НАВСЕГДА ПОВРЕДИТ ИХ.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
Однако решение вашей проблемы есть!
Мы можем помочь вам с расшифровкой ваших данных за денежное вознаграждение.
Также мы уничтожим ваши личные данные из наших мест.
И мы можем доказать наши возможности дешифрования, бесплатно расшифровав несколько ваших файлов.
Вот следующие шаги, чтобы вернуть ваши ценные данные и удалить их из наших мест:
http://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/?cid=8639cec5218d00e91df44a7ea0113a05753cf89**********************************
* Обратите внимание, что для открытия таких ссылок вам нужно установить браузер Tor.
Следуйте инструкциям по установке / запуску Tor Browser:
1. Перейдите на сайт проекта TOR https://www.torproject.org, используя свой обычный браузер (Chrome, Firefox, Internet Explorer или Edge).
2. Нажмите "Загрузить Tor Browser" и выберите версию, подходящую для вашей операционной системы (в 99,9% случаев это Windows).
3. Загрузите и установите Tor Browser.
4. После завершения установки щелкните ссылку "Tor Browser" на рабочем столе.
5. Используя Tor Browser, посетите http://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/?cid=8639cec5218d00e91df44a7ea0113a05753cf89********************************
6. Скопируйте свой клиент-ID из верхней части этого документа и вставьте его в окно авторизации, если потребуется.
7. Откроется чат с нашими экспертами по безопасности.
Обратите внимание, что иногда наша команда находится вдали от клавиатуры, но поверьте, они ответят вам как можно быстро.
Также просим Вас как можно скорее связаться с нами.
Мы начнем публиковать ваши личные данные в Интернете, если вы не свяжетесь с нами в течение следующих нескольких дней.

---
Содержание чата "с экспертами по безопасности", точнее сказать с "экспертами по вымогательству". 
Cbtucyny Ransomware

Содержания чата с вымогателями:
SUPPORT
Greetings! We are ready to help you! What are your problems?
2020-08-17 15:40:06
CLIENT: MRYE-4641
ok, you got us, we need the encryption removed asap
2020-08-17 15:53:26
CLIENT: MRYE-4641
hello?
2020-08-17 16:18:25
CLIENT: MRYE-4641
I am waiting at my desk
2020-08-17 17:08:39
SUPPORT
Thank you for contacting us.
You can get your decrypted files back and we'll keep your private information in secret.
Just one thing is necessary - you have to pay $2 millions in Bitcoin regarding the instructions we'll provide to you on demand.
Please, note: all your attempts to decrypt files, change them can cause unpredictable damage to your information.
We hope we can reach an agreement as soon as possible. 
In case you won't make a payment, your information will be made public, your clients and business partners can be involved in a huge scandal and lose sensitive data.
2020-08-17 17:21:05
CLIENT: MRYE-4641
I will pass this information on to my managers.  They will want to know how they know this will not happen again in a few weeks or a few months.
2020-08-17 17:30:53
SUPPORT
You'll receive full information about this attack and some recommendation how to avoid it in the future. Also , I hope, your System administrator will be more attentive to protect your network.
2020-08-17 22:06:19
CLIENT: MRYE-4641
OK , Management is discussing now
2020-08-20 22:07:25
SUPPORT
Hello. We understand your situation and we patiently gave you 3 days to discuss the matter and make your decision. But, your time is running out, so:
- if you won't contact us tomorrow, we're going to start company in the media to inform all about your leak;
- we will contact your competitors with all your information we already have and offer to buy it;
- also we're going to contact your partners, suppliers etc with the information about the attack, because they also could lose their data. 
So, we hope we can reach an agreement before all this sh....t happens.
Have a nice day
2020-08-21 22:02:11
CLIENT: MRYE-4567
OK . On which site can the published information be read?
2020-08-21 22:05:35
CLIENT: MRYE-4567
Probably, it will take us more days since the weekend is ahead.
2020-08-22 00:25:05
SUPPORT
We'll do our best to publish info all over the Internet. But you should understand - our goal is money, so as soon as you'll pay a ransom, we all can forget about this matter.
Yes, weekend is coming, so you have some time to decide. But don't think too long, our patience is not endless.

Перевод содержания на русский:
СЛУЖБА ПОДДЕРЖКИ
Приветствую! Мы готовы вам помочь! Какие у вас проблемы?
2020-08-17 15:40:06
КЛИЕНТ: MRYE-4641
хорошо, вы нас поймали, нам нужно как можно скорее удалить шифрование
2020-08-17 15:53:26
КЛИЕНТ: MRYE-4641
Привет?
2020-08-17 16:18:25
КЛИЕНТ: MRYE-4641
Я жду за своим столом
2020-08-17 17:08:39
СЛУЖБА ПОДДЕРЖКИ
Благодарим Вас за обращение к нам.
Вы можете вернуть свои расшифрованные файлы, и мы сохраним вашу личную информацию в секрете.
Необходимо только одно - вы должны заплатить 2 миллиона долларов в биткойнах за инструкции, которые мы предоставим вам по запросу.
Обратите внимание: все ваши попытки расшифровать файлы, изменить их могут нанести непредсказуемый ущерб вашей информации.
Мы надеемся, что сможем прийти к соглашению как можно скорее.
Если вы не сделаете платеж, ваша информация будет обнародована, ваши клиенты и деловые партнеры могут быть вовлечены в огромный скандал и потерять конфиденциальные данные.
2020-08-17 17:21:05
КЛИЕНТ: MRYE-4641
Я передам эту информацию своим менеджерам. Они захотят знать, откуда они знают, что это не повторится через несколько недель или несколько месяцев.
2020-08-17 17:30:53
СЛУЖБА ПОДДЕРЖКИ
Вы получите полную информацию об этой атаке и некоторые рекомендации, как ее избежать в будущем. Также я надеюсь, что ваш системный администратор будет внимательнее защищать вашу сеть.
2020-08-17 22:06:19
КЛИЕНТ: MRYE-4641
ОК, руководство сейчас обсуждает
2020-08-20 22:07:25
СЛУЖБА ПОДДЕРЖКИ
Привет. Мы понимаем вашу ситуацию и терпеливо дали вам 3 дня на то, чтобы обсудить этот вопрос и принять решение. Но ваше время на исходе, поэтому:
- если вы завтра не свяжетесь с нами, мы создадим компанию в СМИ, чтобы проинформировать всех о вашей утечке;
- мы свяжемся с вашими конкурентами, сообщим всю имеющуюся у нас информацию и предложим ее купить;
- также мы собираемся связаться с вашими партнерами, поставщиками и т. д. с информацией об атаке, потому что они также могут потерять свои данные.
Итак, мы надеемся, что сможем прийти к соглашению до того, как все это дерьмо произойдет.
Хорошего дня
2020-08-21 22:02:11
КЛИЕНТ: MRYE-4567
ХОРОШО . На каком сайте можно прочитать опубликованную информацию?
2020-08-21 22:05:35
КЛИЕНТ: MRYE-4567
Возможно, нам понадобится больше дней, так как впереди выходные.
2020-08-22 00:25:05
СЛУЖБА ПОДДЕРЖКИ
Мы постараемся публиковать информацию по всему Интернету. Но вы должны понимать - наша цель - деньги, поэтому, как только вы заплатите выкуп, мы все забудем об этом.
Да, скоро выходные, так что у вас есть время определиться. Но не думайте слишком долго, наше терпение небезгранично.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RecoveryManual.html - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
AzamatOutDll.dll

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
В реестре регистрируется расширение, добавленное к зашифрованным файлам. После этого при открытии зашифрованного файла откроется сообщение с требованием выкупа. 
HKCU\Software\Classes\.5B975F6B\shell\Open\command\ @="explorer.exe RecoveryManual.html" 
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://cbtucyny2z53bievhlz3rgavup3vqilryzhxpjaa35sw25p4k6742iad.onion/
Cbtucyny Ransomware Cbtucyny Ransomware
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 сентября:
Статья на сайте BleepingComputer >>


Расширение: .ReadManual.<random_ID>
Записка: RecoveryManual.html
Результаты анализов: VT + IA


Результаты анализов: VT + HA + IA


Расширение: .ReadManual.5A595***  (под *** разные цифры)
Tor-URL: xxxx://lhvqpdydwvtgy2ficsvamluobvonnitji5jgpfvc7c5pj6ci35gurjyd.onion/*
Файл: QuantumQuditSimulator.exe
Результаты анализов: VT + HA + VMR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33163
BitDefender -> Gen:Variant.Johnnie.292389
ESET-NOD32 -> A Variant Of Win32/GenKryptik.EWOG


Обновление от 26 ноября 2020:
Новый сайт для новостей и утечек Tor-URL: xxxx://mountnewsokhwilx.onion


***



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as MountLocker)
 Write-up, Topic of Support
 Added later: Write-up by BleepingComputer >> 
 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

1 комментарий:

  1. Название которое придумал Джиллеспи очень тупое. Дело в том, что адреса которые сейчас используют в TOR - Onion v3. Там уже ссылки длинные, хоть и путем подбора можно сделать себе "красивый адрес". Соответственно, "Mount Locker" более целесообразнее, чем придумал всеми уважаемый исследователь.

    ОтветитьУдалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *