Hentai Oniichan

Hentai Oniichan Ransomware

Variants: Berserker, King Engine

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Rijndael, а затем требует выкуп в 10 BTC (~ $130000), чтобы вернуть файлы. Оригинальное название: Hentai Oniichan Ransomware. На файле написано: recent_invoice_view.exe или что-то другое. Использует библиотеку Crypto++. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33369
BitDefender -> Gen:Variant.Johnnie.274191
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Injector.wktxz
ESET-NOD32 -> A Variant Of Generik.HKOKDPH
Kaspersky -> Trojan.Win32.Inject.anhmr
Malwarebytes -> Ransom.Quimera
Microsoft -> Trojan:Win32/Ymacco.AA44
Qihoo-360 -> Generic/HEUR/QVM10.2.E5CB.Malware.Gen
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Falsesign.Hsrw
TrendMicro -> TROJ_FRS.0NA103IE20
---

© Генеалогия: ??? >> Hentai Oniichan

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .HOR
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Ориентирован на англоязычных пользователей финансового и энергетического секторов, может распространяться по всему миру.

Записка от вымогателей называется: warning.htm

Содержание записки: 
If you end task/kill our program, your data will gone forever, which mean "YOU CANNOT RECOVER YOUR DATA!"

Перевод записки на русский язык: 
Если вы завершите нашу программу, ваши данные пропадут, т.е. ВЫ УЖЕ НЕ НЕ ВЕРНЕТЕ СВОИ ДАННЫЕ!

Другим информатором выступает изображение, заменяющее обои рабочего стола. 

Содержание записки с требованием выкупа: 

HENTAI ONICHAN RANSOMWARE VERSION BERSERKER

TO RECOVER DATA:

- PAY 10 BTC (BITCOIN).

- SEND/PAY ONLY TO THIS BITCOIN WALLET "ONLY TO THIS BITCOIN ADDRESS"

= bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu

- NO NEGOTIABLE OFFER MY ENGLISH IS BAD SO STOP WASTING TIME.

- SEND EMAIL TO hidalgoroberto859@gmail.com WITH SUBJECT YOUR COMPUTER/PC/IP NAME AND WITH BODY/MESSAGE "I'M DONE WITH PAYMENT".

- AFTER YOU FINISH WITH PAYMENT, I SEND DECRYPTOR PROGRAM.

- TIME EXPIRED IN 30 DAYS FROM NOW.

HOR

HentaiOniichanRansomware<HOR>

Перевод записки на русский язык: 

HENTAI ONICHAN RANSOMWARE VERSION BERSERKER

ДЛЯ ВОССТАНОВЛЕНИЯ ДАННЫХ:

- ЗАПЛАТИТЕ 10 BTC (BITCOIN).

- ОТПРАВЬТЕ ТОЛЬКО НА ЭТОТ БИТКОИН КОШЕЛЕК "ТОЛЬКО НА ЭТО БИТКОИН АДРЕС"

= bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu

- НЕТ НУЖНЫ ПЕРЕГОВОРЫ, МОЙ АНГЛИЙСКИЙ ПЛОХОЙ, НЕ ТЕРЯТЕ ВРЕМЯ.

- ОТПРАВЬТЕ EMAIL НА hidalgoroberto859@gmail.com, УКАЗАВ В ТЕМЕ ИМЯ ВАШЕГО КОМПЬЮТЕРА /ПК/IP И В ТЕЛЕ/СООБЩЕНИИ "Я СДЕЛАЛ ОПЛАТУ".

- ПОСЛЕ ОПЛАТЫ ПРИШЛЮ ДЕШИФРОВЩИК.

- ВРЕМЯ ПОШЛО, ОСТАЛОСЬ 30 ДНЕЙ.

HOR

HentaiOniichanRansomware <HOR

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама на тему COVID-19 и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует технологии Microsoft Powershell, CMD для осуществления атаки.

➤ Стремится максимально затруднить восстановление за счет удаления резервных копий файлов, созданных в разных программах, ориентированных на создание бэкапов. Для этого производится дополнительное удаление резервных копий и файлов образов дисков по расширениям и каталогам. В частности осуществляется поиск файлов со следующими расширениями: .vhd, .bac, .bak, .wbcat, .bkf, .set, .win, .dsk. 

Список отключаемых служб: 

Acronis VSS Provider

AcronisAgent

AcrSch2Svc

Antivirus

ARSM

AVP

BackupExecAgentAccelerator

BackupExecAgentBrowser

BackupExecDeviceMediaService

BackupExecJobEngine

BackupExecManagementService

BackupExecRPCService

BackupExecVSSProvider

bedbg

ccEvtMgr

ccSetMgr

Culserver

dbeng8

dbsrv12

DCAgent

DefWatch

EhttpSrv

ekrn

Enterprise Client Service

EPSecurityService

EPUpdateService

EraserSvc11710

EsgShKernel

ESHASRV

FA_Scheduler

IISAdmin

IMAP4Svc

KAVFSGT

kavfsslp

klnagent

macmnsvc

masvc

MBAMService

MBEndpointAgent

McAfeeEngineService

McAfeeFrameworkMcAfeeFramework

McShield

McTaskManager

mfefire

mfemms

mfevtp

MMS

mozyprobackup

MsDtsServer100

MsDtsServer110

MSExchangeES

MSExchangeIS

MSExchangeMGMT

MSExchangeMTA

MSExchangeSA

MSExchangeSRS

msftesql$PROD

msmdsrv

MSOLAP$SQL_2008

MSOLAP$SYSTEM_BGC

MSOLAP$TPSAMA

MSSQL$BKUPEXEC

MSSQL$ECWDB2

MSSQL$PRACTICEMGT

MSSQL$PRACTTICEBGC

MSSQL$PROD

MSSQL$PROFXENGAGEMENT

MSSQL$SBSMONITORING

MSSQL$SHAREPOINT

MSSQL$SOPHOS

MSSQL$SQL_2008

MSSQL$SQLEXPRESS

MSSQL$SYSTEM_BGC

MSSQL$TPSAMA

MSSQL$VEEAMSQL2008R2

MSSQL$VEEAMSQL2012

MSSQLFDLauncher$PROFXENGAGEMENT

MSSQLFDLauncher$SBSMONITORING

MSSQLFDLauncher$SHAREPOINT

MSSQLFDLauncher$SQL_2008

MSSQLFDLauncher$SYSTEM_BGC

MSSQLFDLauncher$TPSAMA

MSSQLSERVER

MSSQLServerADHelper100

MSSQLServerOLAPService

MySQL57

MySQL80

NetMsmqActivator

ntrtscan

OracleClientCache80

PDVFSService

POP3Svc

QBCFMonitorService

QBIDPService

QuickBoooks.FCS

ReportServer$SQL_2008

ReportServer$SYSTEM_BGC

ReportServer$TPSAMA

RESvc

RTVscan

SAVAdminService

SavRoam

SAVService

SepMasterService

ShMonitor

Smcinst

SmcService

SMTPSvc

SNAC

SntpService

Sophos Agent

Sophos AutoUpdate Service

Sophos Clean Service

Sophos Device Control Service

Sophos File Scanner Service

Sophos Health Service

Sophos MCS Agent

Sophos MCS Client

Sophos Message Router

Sophos Safestore Service

Sophos System Protection Service

Sophos Web Control Service

sophossps

SQL Backups

sqladhlp

SQLADHLP

sqlagent

SQLAgent$BKUPEXEC

SQLAgent$CITRIX_METAFRAME

SQLAgent$CXDB

SQLAgent$ECWDB2

SQLAgent$PRACTTICEBGC

SQLAgent$PRACTTICEMGT

SQLAgent$PROD

SQLAgent$PROFXENGAGEMENT

SQLAgent$SBSMONITORING

SQLAgent$SHAREPOINT

SQLAgent$SOPHOS

SQLAgent$SQL_2008

SQLAgent$SQLEXPRESS

SQLAgent$SYSTEM_BGC

SQLAgent$TPSAMA

SQLAgent$VEEAMSQL2008R2

SQLAgent$VEEAMSQL2012

sqlbrowser

SQLBrowser

SQLsafe Backup Service

SQLsafe Filter Service

SQLSafeOLRService

sqlserv

SQLSERVERAGENT

SQLTELEMETRY$ECWDB2

sqlwriter

SQLWriter

svcGenericHost

swi_filter

swi_service

swi_update_64

Symantec System Recovery

TmCCSF

tmlisten

tomcat6

TrueKeyScheduler

TrueKeyServiceHelper

UI0Detect

Veeam Backup Catalog Data Service

VeeamBackupSvc

VeeamBrokerSvc

VeeamCatalogSvc

VeeamCloudSvc

VeeamDeploymentService

VeeamDeploySvc

VeeamEnterpriseManagerSvc

VeeamHvIntegrationSvc

VeeamMountSvc

VeeamNFSSvc

VeeamRESTSvc

VeeamTransportSvc

vmware-converter

vmware-usbarbitator64

W3Svc

wrapper

WRSVC

Список файловых расширений, подвергающихся шифрованию:
Все популярные форматы, кроме игнорируемых. 

Это наверяка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и различные резервные копии и пр.

Список игнорируемых расширений:

.bak, .bin, .c, .cmd, .com, .cpp, .dat, .DAT, .db, .dll, .exe, .h, .hpp, .inf, .ini, .ink, .js, .lib, .lnk, .ps1, .sys, .vbs, .ws

Файлы, связанные с этим Ransomware:

update.pdb

2020Q3PH.pdb

warning.htm - название файла с требованием выкупа
recent_invoice_view.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Roberto\Desktop\items\Release\update.pdb

%USERPROFILE%\Desktop\items\Release\update.pdb

%USERPROFILE%\source\repos\2020Q3PH\Release\2020Q3PH.pdb

C:\Users\Vlv1337\Desktop\cryptopp-CRYPTOPP_8_2_0\rijndael_simd.cpp

C:\Users\Vlv1337\Desktop\cryptopp-CRYPTOPP_8_2_0\sha_simd.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Скриншот от исследователя: 

Сетевые подключения и связи:
Email: hidalgoroberto859@gmail.com 
BTC: bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 октября 2020: 
Расширение: .HOR

Новый вариант "King Engine" и нацелен на отрасль здравоохранения. 

Пересылает данные на email-адрес, обнаруженный в исполняемом файле. 

Эта версия шифрует также файлы с расширением .docm

Требует более высокий выкуп в 50 BTC (~ $650000). 

Статья об этом варианте >> 

Вариант от 2 декабря 2020: 
Статья об этом варианте >> 

Расширение: .HOR

Файл: Fatality_DIed.dll

Результаты анализов: VT+ IA + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 VMRay, Cofense
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.