вторник, 25 августа 2020 г.

Suncrypt 2020

Suncrypt 2020 Ransomware

Haywood Ransomware

Suncrypt DDoS-attack-Ransomware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компаний, бизнес-пользователей и учебных заведений с помощью AES (режим CFB) + RSA, а затем требует перейти на сайт вымогателей, чтобы узнать, как заплатить выкуп в # BTC и вернуть файлы. Угрожает опубликовать файлы в Интернете или продать конкурентам. Оригинальное название: в записке не указано. На сайте в чате названо как Suncrypt. На исполняемом файле написано: haywood.ps1. Для других жертв название файла и тип может быть другим. Написан на языке C++. Вымогатели, стоящие за этим вымогательством, используют DDoS-атаки, чтобы заставить жертву связаться с ними и договориться о выкупе.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32409, Trojan.Encoder.33270, Trojan.Encoder.32575
BitDefender -> Trojan.PowerShell.Ransom.E, Gen:Variant.Razy.797458
ESET-NOD32 -> PowerShell/Kryptik.AX
Kaspersky -> Trojan-Ransom.PowerShell.Agent.z
Malwarebytes -> *** / A Variant Of Win32/Filecoder.ODM, Ransom.SunCrypt
Microsoft -> Ransom:Win32/Sncupte, Ransom:Win32/Sncupte.STA, Ransom:Win32/SunCrypt.PB!MTB
Qihoo-360 -> Virus.powershell.qexvmc.1
Rising -> *** / Trojan.Filecoder!8.68 (TFE:5*
Symantec -> Ransom.Gen, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Wsah, Win32.Trojan.Filecoder.Sxxu
TrendMicro -> Ransom.PS1.SUNCRYPT.A, Ransom.Win32.SUNCRYPT.SM
---

© Генеалогия: Sun (SunCrypt) 2019 
QNAPCrypt ⇒ Suncrypt 2020 (Haywood)
Значок "⇒" означает переход на другую разработку. 
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random{64}>
При этом у разных файлов разный код в расширении. 

Примеры зашифрованных файлов с таким расширением:
Desert.jpg.2A712E73A8B0DFA3B7B565C25FDD22076411904E023E9A4CA8DF8DF69843DF26
Lighthouse.jpg.A876A6829E840ECB19626281F8C5B812DAD9D6FF0F41C6C4A74255A483313A53
Chrysanthemum.jpg.D17D0832089C5A2A897EC9E87C37E2F080BBB8344C54ACA5FD446B133A0A421D

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, может распространять его по всему миру. 
Записка и сайт в сети Tor включают перевод текста на немецкий, французский, испанский, японский языки. Неизвестно, проводятся ли атаки против жителей этих стран или это просто перевод текста на всякий случай. 


➤ Как стало известно позже, школа округа Хейвуд (Haywood) в штате Северная Каролина (США) 24 августа 2020 подверглась атаке этого вымогателя. В результате этой атаки округ отключил свою сеть и прекратил дистанционное обучение, которое началось 17 августа, на 1 неделю. Не получи выкупа операторы вымогателей опубликовали украденные данные на сайте утечек данных. Эти просочившиеся данные содержат многочисленные конфиденциальные документы и личную информацию, относящуюся к школе округа Хейвуд, ученикам и учителям. 

Записка с требованием выкупа называется: YOUR_FILES_ARE_ENCRYPTED.HTML

Содержание записки о выкупе:
EN | DE | FR | ES | JP
---
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we�re not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
How do I access the website?
Get TOR browser here
Go to our website
In case you decide not to cooperate, your private data will be published here or sold.
Offline how-to
Copy & Paste this secret message to this page textarea field
11b1072e3743d7079a5c869d0f2d3f0093 [96 characters in total]

Перевод записки на русский язык:
EN | DE | FR | ES | JP
---
Что случилось?
Мы зашифровали ваши документы и файлы, и вы не можете получить к ним доступ. Чтобы убедиться, что мы не обманываем, просто просмотрите свои файлы. Хотите их восстановить? Просто делайте то, что мы вам говорим. Если вы не будете следовать нашим рекомендациям, вы больше никогда не увидите свои файлы. Во время каждой атаки мы копируем ценные коммерческие данные. Если пользователь не платит нам, мы либо отправим эти данные конкурентам, либо опубликуем их. GDPR. Не хочешь платить нам, плати государству в 10 раз больше.
Какие гарантии?
Мы занимаемся своим делом и не заботимся о том, что делаете вы. Все, что нам нужно, это заработать. Если бы мы были несправедливыми, с нами никто бы не работал. Поэтому, если вы откажетесь от нашего предложения, мы не обидимся, но вы потеряете все свои данные и файлы. Сколько времени потребуется для возмещения убытков? Вы можете только догадываться.
Как мне получить доступ к сайту?
Загрузите браузер TOR здесь
Перейти на наш сайт
Если вы решите не сотрудничать, ваши личные данные будут опубликованы здесь или проданы.
Офлайн-инструкции
Скопируйте и вставьте это секретное сообщение в текстовое поле этой страницы
11b1072e3743d7079a5c869d0f2d3f0093 [всего 96 знаков]

Другим информатором жертвы выступает сайт в сети Tor. 

Содержание текста на сайте:
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we’re not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
In case you decide not to cooperate, your private data will be published here or sold.
Put the secret message here:
[                                         ]
[Go]

Перевод текста на сайте на русский язык:
Что случилось?
Мы зашифровали ваши документы и файлы, и вы не можете получить к ним доступ. Чтобы убедиться, что мы не блефуем, просто просмотрите свои файлы. Хотите их восстановить? Просто делайте то, что мы вам говорим. Если вы не будете следовать нашим рекомендациям, вы больше никогда не увидите свои файлы. Во время каждой атаки мы копируем ценные коммерческие данные. Если пользователь не платит нам, мы либо отправим эти данные конкурентам, либо опубликуем их. GDPR. Не хочешь платить нам, плати государству в 10 раз больше.
Какие гарантии?
Мы занимаемся своим делом и не заботимся о том, что делаете вы. Все, что нам нужно, это заработать. Если бы мы были несправедливыми, с нами никто бы не работал. Поэтому, если вы откажетесь от нашего предложения, мы не обидимся, но вы потеряете все свои данные и файлы. Сколько времени потребуется для возмещения убытков? Вы можете только догадываться.
Если вы решите не сотрудничать, ваши личные данные будут опубликованы здесь или проданы.
Поместите секретное сообщение сюда:
[                                         ]
[Иди]
---
После ввода секретного кода открывается "чат поддержки".
Мы приводит здесь его содержание, так как именно там указывается название программы-вымогателя Suncrypt ransomware и сумма выкупа в $400000


 
 

Содержание чата: 
Please what's going on, my files are locked?
Hello, yes your files were encrypted.
If we will make an agreement you will receive following : 1) Decryption for all stations 2) All your leaked data will be removed with no ways to restore it. 3) Full file tree of leaked data 4) Security report to avoid future attacks.
I searched the internet a bit, mention is made of ransomware infection. Which ransomware ..
Which ransomware encrypted my files?I would like to recover my files ..
Yes it was performed using ransomware infection. It is done using high level encryption and you will not be able to decrypt the files without a special encryption key.
The best way you can do at the moment is to inform the management about this situation.
What kind of ransomware is it? Does it have a name.Yes but I need to have more information
We can provide you screenshots of leaked data. Also we may decrypt one of your stations as a proof.
Yes I would like some proof. You still haven't answered which ransomware it is..
You were locked using Suncrypt ransomware.
Ok.Thank you. What do you suggest next?
Ok, i will get a couple of screenshots ready for you. Full file tree will be available after you will make a btc transaction. Also you are welcome to provide a not from one your encrypted stations and i will get back to you with insturctions and decryption key.
"not" - "note"
Ok
I will check up the amount of ransom for you and will get back to you with it in 10 minutes. The best way to solve this situation is to communicate with somebody from the management. So please inform them.
Ok I'll let you know..
The amount for your network is 400. 000. USD The COVID discount is available up to 15%
Ok.I expect an emergency board meeting...
It will take a while.
Thank you for prompt notification. You may provide me one note for decryption right now and i will pass it to tech support.
Sure, no problem just check back at least once a day. In case if you will remain silent for 3 days or fail to negotiate the leaked data will be published online.
Ok
Hello
Hello
Do you have any updates?
https://postimg.cc/gallery/XjBwWmM
As long as you've already contacted meedia we are ready for a mirror move. Please speed up with your decision. In 2 days we will contact media to prove that your data leaked. Please name yourself next time, i have to understand that you are interested in getting this resolved, i don't want to waste my time speaking to white hats.
ok
tell me where I have to pay
and how much you want?
is 400usd fixed or negotiable?
are you there?
Hello
It is 400k USD and it is negotiable.
You have to transfer this amount using bitcoin.

Краткий перевод на русский язык (только суть):
Что происходит, мои файлы заблокированы?
Привет, да, ваши файлы были зашифрованы.
Если мы заключим соглашение, вы получите следующее: 1) Расшифровка для всех станций 2) Все ваши утекшие данные будут удалены без возможности их восстановления. 3) Полное дерево файлов с утечкой данных 4) Отчет о безопасности для предотвращения будущих атак.
Какой вымогатель зашифровал мои файлы? Я хочу вернуть свои файлы.
Вы были заблокированы Suncrypt ransomware.
Сумма для вашей сети - $400000. Скидка COVID до 15%.
Вы должны перевести эту сумму в биткойнах.

---
Одна из ссылок с первого сайта ведет на второй сайт. 
Его содержание оставим без комментариев. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск PowerShell. 


➤ Использует Windows PowerShell для вредоносных целей — запускает 
haywood.ps1 на выполнение с помощью команды: 
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" -ep bypass -file "C:\Users\5p5NrGJn0jS HALPmcxz\Desktop\haywood.ps1

➤ Определяет IP-адрес ПК, страну, в которой работает ПК и локализацию системы. В числе стран, в которых шифрование не производится:
Россия, Беларусь. Украины, Киргизия и Сирия. 

Список файловых расширений, подвергающихся шифрованию:
Список состоит из 589 расширений. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
haywood.ps1 - сценарий PowerShell, названный так по имени округа Хейвуд 
YOUR_FILES_ARE_ENCRYPTED.HTML - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
qvx1kaxo.0.cs
qvx1kaxo.cmdline
qvx1kaxo.out
qvx1kaxo.tmp
qvx1kaxo.pdb
w_ymqo8t.cmdline
w_ymqo8t.out
w_ymqo8t.pdb
profile.ps1
и другие

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.0.cs
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.cmdline
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.out
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\w_ymqo8t.cmdline
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\w_ymqo8t.out
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.tmp
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\qvx1kaxo.pdb
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Local\Temp\w_ymqo8t.pdb
C:\Users\5p5NrGJn0jS HALPmcxz\Documents\WindowsPowerShell\profile.ps1
и другие

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
rrtu(t(%%%( !$p#!%#$s%tr w#w"(! % '(&#&# t&& (u'r)&)t# !!u#(#u'p 'u$ (twrtw!%$#
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://ebwexiymbsib4rmw.onion
http://nbzzb6sa6xuura2z.onion
URL: xxxx://91.218.14.31/
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Sun (SunCrypt) 2019 Ransomware - октябрь 2019
Suncrypt 2020 (Haywood) Ransomware - август 2020


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 октября 2020:
После того, как переговоры зашли в тупик, компаньон вымогателя Suncrypt сделал DDoS-атаку на веб-сайт жертвы для принуждения к переговорам.


Вариант от 1 декабря 2020: 
Расширение (пример): .16A51E88FC127CB6A58BF5B7B296369BCE5A9CFC0A388B489A626390DF077B3F
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML

Содержание записки:
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we're not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
How do I access the website?
Get TOR browser here
Go to our website
In case you decide not to cooperate, your private data will be published here or sold.
Offline how-to
Copy & Paste this secret message to this page textarea field
bfe4796dd0ede443332e47a*** [всего 96 знаков]
---
 
Tor-URL
xxxx://nbzzb6sa6xuura2z.onion/
xxxx://ebwexiymbsib4rmw.onion/
---
 
 

➤ Вымогатели о себе:
Suncrypt greats you again!
We are pleased to inform you about the upcoming update of the news website.
High professionalism and constructive approach of our customers forced us
to face a tough decision : to leave you without updates or to post the data
of low revenue entities. Despite the recent trend to solve issues
in a fast and confidential way we have different cases.
Now we have something interesting coming. High revenue targets and
the information they don't want you to see.
We will post a new entity once in two days so stay tuned!
You are welcome to use "messages" to get in touch with us for
our comments.
Can you trust TrustTeam?
Obviously not!
The company that claims to offer IT solutions and network and security audit services actually offers you the loss of your data and GDPR non compliance responsibility.
As long as they are incapable of protecting their own network.
TrustTeam :
Don't worry, with Trust team you are in the right place for your hardware, software, telephony and/or cloud solutions. You can sleep on both sides: our solutions will perfectly support your general business objectives.
In fact being informed of the data leak and cyber breach the strategy of the company was to act like nothing has happened. Irresponsible behavior of so called security and network specialists endangers your business and information of people who have trusted your companies. SunCrypt tried to build up a dialog multiple times to avoid impact on 3rd parties but we were never heard.
You have TRUSTED them and they FAILED you.
Check our news website for detailed information. SunCrypt reminds that there is always a chance to build up security report/bug-bounty format of communication.
Stay tuned! More to come!
---
Результаты анализов: VT + IA + HA + TG 
➤ Обнаружения: 
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.jdntn
BitDefender -> Gen:Variant.Razy.797458
DrWeb -> Trojan.Encoder.33270
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODM
Malwarebytes -> Ransom.SunCrypt
Microsoft -> Ransom:Win32/SunCrypt.PB!MTB
Rising -> Trojan.Filecoder!8.68 (TFE:5*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Sxxu
TrendMicro -> Ransom.Win32.SUNCRYPT.SM


Вариант от 21 января 2021:
Расширение: с тем же шаблоном, как в основной статье. 
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML
Tor-URL Leaks: nbzzb6sa6xuura2z.onion
Tor-URL Chat: ebwexiymbsib4rmw.onion/chat.html***
Результаты анализов: VT + AR + IA

 



Вариант от 15 февраля 2021:
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML
Результаты анализов: VT + AR
Сайты: nbzzb6sa6xuura2z.onion
ebwexiymbsib4rmw.onion


Вариант от 15 апреля 2021:
Записка: YOUR_FILES_ARE_ENCRYPTED.HTML
Tor-URL: nbzzb6sa6xuura2z.onion
Tor-URL: ebwexiymbsib4rmw.onion
Результаты анализщов: VT + VMR




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SunCrypt)
 Write-up, Write-up, Topic of Support *
Added later: Write-up by Sapphire (om November 12, 2020)
  Added later: Write-up by Intezer (on 2 March, 2021)
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *