Если вы не видите здесь изображений, то используйте VPN.

среда, 2 сентября 2020 г.

Conti-2, Conti-3

Conti-2 Ransomware

Conti-3 Ransomware

Aliases: IOCP, R3ADM3

Conti Doxware

***

Unnamed ContiStolen-based Ransomware

Different ContiStolen-cloned Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует файлы на серверах, сайтах и локальные сети компаний с помощью ChaCha20/8, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На загружаемом файле написано: IOCP.exe. Использует легитимную программу XColorPickerXPTest.exe для самоназвания. Фальш-название: XColorPickerXPTest. Фальш-копирайт: Copyright 2008 Hans Dietrich. Фальш-контакт: hdietrich@gmail.com. 
Через некоторое время выснилось, что это новая, 2-я версия Conti. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32468, Trojan.Encoder.32474, Trojan.Encoder.32490, Trojan.Encoder.32708, Trojan.Encoder.33199, Trojan.Encoder.33299, Trojan.Encoder.33482
BitDefender -> Gen:Variant.Zusy.312578, Trojan.GenericKD.43777841, A Variant Of Win32/Kryptik.HFYO, Gen:Variant.Cerbu.84170
ALYac -> Trojan.Ransom.Filecoder, Trojan.Ransom.Conti
Avira (no cloud) -> TR/AD.ShellcodeCrypter.zkvgk, TR/Zenpak.cxhrx
ESET-NOD32 -> A Variant Of Win32/GenKryptik.EROG, Win32/Filecoder.NYJ, A Variant Of Win32/Filecoder.Conti.F
Kaspersky -> Trojan-Ransom.Win32.Encoder.kbl, Trojan-Ransom.Win32.Encoder.kbn, Trojan.Win32.Zenpak.avin
Malwarebytes -> Trojan.MalPack.TRE
McAfee -> GenericRXLW-TR!D4F2318BEEC5, Artemis!6F58A5472E3B
Rising -> Trojan.Zenpak!8.10372 (TFE:5:YOgaFs7jzLN), Trojan.Generic@ML.96 (RDML:HepTV26Jt*, Ransom.Conti!8.11736 (TFE:5:*
Symantec -> Trojan.Gen.MBT, Downloader, Trojan.Emotet
Tencent -> Win32.Trojan.Encoder.Wtne, Win32.Trojan.Filecoder.Wrgy
TrendMicro -> TROJ_GEN.R002H09I320, TROJ_GEN.R002C0DI620
---

© Генеалогия: Conti ⇒ 
Conti-2 (IOCP), Conti-3 > NB65 (ContiStolen)
Знак  здесь означает переход группы вымогателей на другую разработку. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<RANDOM{5}>

Примеры таких расширений: 
.COSWH
.UAKXC


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Скриншот с одного из пострадавших сайтов. Дата шифрования файлов - 2 сентября 2020. 

Записка с требованием выкупа называется: R3ADM3.txt


Содержание записки о выкупе:
The network is locked do not try to use other software for decryption tool write here:
***email-1***@protonmail.com
***email-2***@protonmail.com
If you do not pay, we will publish private data on our news site. 

Перевод записки на русский язык:
Сеть блокирована, не пытайтесь использовать другие программы для дешифрования, пишите сюда:
***email-1***@protonmail.com
***email-2***@protonmail.com
Если вы не заплатите, мы опубликуем личные данные на нашем новостном сайте.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Использует PowerShell для начала атаки, в очередной раз подтверждая вредоносной этой технологии в составе Windows.

➤ Удаляет теневые копии файлов, используя WMIC.exe.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IOCP.exe - название вредоносного файла;
R3ADM3.txt - название файла с требованием выкупа;
file-tree.txt - список файлов;
<random>.exe - случайное название вредоносного файла;
XColorPickerXPTest.exe - файл, который выдает себя за полезную утилиту. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
169923hi23qw237721415d66
См. ниже результаты анализов.

Сетевые подключения и связи:
Сайт Conti News: hxxx://continewsnv5otx5kaoje7krkto2qbu3gtqef22mnr7eaxw3y6ncz3ad.onion.ly/


Email: fanlabomos1974@protonmail.com, eranndicuc1978@protonmail.com
Email: guifullcharti1970@protonmail.com, phrasitliter1981@protonmail.com
Email: elsleepamlen1988@protonmail.com, southbvilolor1973@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT> VT> VT>
🐞 Intezer analysis >>  IA>  IA>  IA>
ᕒ  ANY.RUN analysis >>  AR> AR> 
ⴵ  VMRay analysis >>  VMR> VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно. Присылайте образцы.


➤ Дополнения из альтернативных статей-исследований: 
... Обычно хакеры-операторы Conti начинают свои атаки через спам-сообщения с прямой доставкой через бэкдор с помощью маяка Cobalt Strike. Целевые спам-кампании тщательно разрабатываются на основе выборочного исследования предполагаемой цели, негативных СМИ-сообщений о ней, их руководителях и сотрудниках. Эти кампании настроены так, чтобы гарантировать открытие спам-писем и запуск маяков Cobalt Strike... 
... Кража данных обычно осуществляется с помощью Rclone. Создается конфигурация Rclone и устанавливается внешнее расположение (например, MEGA или FTP) для синхронизации (клонирования) данных. Операторы Conti предпочитают данные на основе сетевых ресурсов, а конкретной целью являются документации, связанной с финансами, юриспруденцией, бухгалтерским учетом, страхованием и информационными технологиями...
... Хакеры-операторы Conti добиваются того, чтобы пострадавшая сторона не могла восстановиться, для этого они блокируют систему и резервные копии и следят за тем, чтобы резервные копии были удалены... 
---
Группа хакеров-вымогателей Conti заинтересовалась уязвимостью Log4Shell и протестировала возможности использования эксплойта в своих атаках. 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Фактически это одно семейство, если можно так сказать. Но из-за изменений после первой версии получилось так, что в Дайджесте есть две статьи для ранней и для следующих версий. 
Conti Ransomware
Conti-2 Ransomware


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 19 сентября 2020: 
Расширение: .RHMLM
Записка: R3ADM3.txt
Email: carbedispgret1983@protonmail.com
glocadboysun1978@protonmail.com
Результаты анализов: VT + VMR


Вариант от 21 сентября 2020: 
Расширение: .UAKXC 
Записка: R3ADM3.txt


Email: guifullcharti1970@protonmail.com
phrasitliter1981@protonmail.com
Результаты анализов: VT + IA + AR


Вариант от 14 октября 2020: 
Расширение: .AWSAK
Записка: R3ADM3.txt
Email: maxgary777@protonmail.com, ranosfinger@protonmail.com
Результаты анализов: VT + VMR + IA 


 Обнаружения: 
DrWeb -> Trojan.Encoder.32708
BitDefender -> Generic.Ransom.Conti.57C16005
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.F
Kaspersky -> Trojan-Ransom.Win32.Encoder.kbq
TrendMicro -> Ransom.Win32.CONTI.SMW


Вариант от 19-20 октября 2020: 
Случайное расширение (пример): .TJODT 
Записка: R3ADM3.txt


Мьютекс: lslaif8aisuuugnzxbvmdjk
URL: hxxxs://contirecovery.info/
Tor-URL: hxxx://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid.onion

 

Текст на сайте:
CONTI recovery service
HOW I GOT HERE?
If you are looking at this page right now, that means that your network was succesfully breached by CONTI team.
All of your files, databases, application files etc were encrypted with military-grade algorithms.
If you are looking for a free decryption tool right now - there's none.
Antivirus labs, researches, security solution providers, law agencies won't help you to decrypt the data.
If you are interested in out assistance upon this matter - you should upload README.TXT file
to be provided with further instructions upon decryption.
---
Результаты анализов: VT + VMR + JSB + IA // VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32888
ALYac -> Trojan.Ransom.Conti
Avira (no cloud) -> TR/Crypt.Agent.kuuyw
BitDefender -> Trojan.GenericKD.34820886
ESET-NOD32 -> A Variant Of Win32/Kryptik.HGUR
Rising -> Trojan.Kryptik!1.CD97 (CLASSIC)
Symantec -> Trojan.Gen.2
TrendMicro -> TROJ_GEN.R002H06JJ20


Вариант от 4 декабря 2020: 
Расширение: .SYTCO 
Записка: readme.txt
niggchiphoter1974@protonmail.com
Результаты анализов: VT + VMR 



Вариант от 8-9-13 декабря 2020: 
Расширения: .TJMBK, .FBSYW, .KCWTT
Записка: readme.txt
Результаты анализов: VT + VT + VT


➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33199, Trojan.Encoder.33299
ALYac -> Trojan.Ransom.Conti
ESET-NOD32 -> A Variant Of Win64/Kryptik.CEF, A Variant Of Win32/Kryptik.HHYB, Win32/Filecoder.Conti.F
Malwarebytes -> Ransom.Conti
TrendMicro -> TrojanSpy.Win32.EMOTET.TIOIBOLH, TrojanSpy.Win32.EMOTET.SMD4.hp, Ransom_Encoder.R011C0PLC20


Вариант от 11 декабря 2020:
Версия: v3
Файл проекта: "A:\source\conti_v3\x64\Release\cryptor_dll.pdb"
Текст: "Аll оf уоur filеs аrе currеntlу еncrуptеd bу CОNTI strаin." 
Скриншот от исследователя. 




Вариант от 20 декабря 2020:
Расширение: .KLZUB
Штамп даты: 30 октября 2020:
Email: limistocon1980@protonmail.com
Записка: R3ADM3.txt
Результаты анализов: VT + IA + VMR


=== 2021 ===

Вариант от 22 января 2021:
Расширение: .MBRNY
Записка: readme.txt
URL: hxxxs://contirecovery.best
Tor-URL: hxxx://contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion/
Результаты анализов: VT + AR




Вариант от 1 февраля 2021: 
Расширение: .EXTEN
Записка: readme.txt
Результаты анализов: VT + VT


Вариант от 3 февраля 2021: 
Расширение: .PVVXT
Записка: readme.txt
Tor-URL: hxxx://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid.onion
URL: hxxxs://contirecovery.info 
Результаты анализов: AR + VT



Вариант от 16 февраля 2021: 
Расширение: .ANCIF
Записка: readme.txt


Результаты анализов: VT + IA + VMR + JSB
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33482
ALYac -> Trojan.Ransom.Conti
BitDefender -> Trojan.GenericKD.45742277
Microsoft -> Trojan:Win32/Ymacco.AAA5
TrendMicro -> Trojan.Win32.MALREP.THBAGBA


Вариант от 25 апреля 2021:
Расширение: .GFYPK
Записка: readme.txt
Результаты анализов: VT + HA




Вариант от 26 апреля 2021:
Расширение: .ALNBR
Записка: readme.txt
URL: contirecovery.top
Tor-URL: contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion
Результаты анализов: VT + HA




Вариант от 3 мая 2021: 
Расширение: .HJAWF
Файл: EAGLE.dll
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33892
BitDefender -> Gen:Variant.Razy.844481
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.P


Вариант от 3 мая 2021: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33949
BitDefender -> Trojan.GenericKD.36860772
ESET-NOD32 -> Win32/Filecoder.Conti.R


Вариант от 21 мая 2021: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34231
BitDefender -> Gen:Variant.Ransom.Conti.19
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.N


Вариант от 16 сентября 2021: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34529 - Conti Ransomware+ 
BitDefender -> Gen:Variant.Razy.844459
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.N

Вариант от 31 октября 2021:
Расширение: .BFVEY 
Записка: readme.txt
URL: contirecovery.ws
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34469
BitDefender -> Trojan.GenericKD.37916051
ESET-NOD32 -> A Variant Of Generik.MIUFNQB



=== 2022 ===

Новость от 25 февраля 2022:
Группа Conti Ransomware официально заявила о своей лояльности правительству России и пригрозила атаковать любого, кто решит организовать кибератаку или какую-либо военную деятельность против России. 

---
Потом они изменили текст на нижеследующий. 



Новости марта-апреля 2022: 
Среди вымогателей из группы Conti обнаружился ренегат, который выкрал исходный код одного из вариантов Conti Ransomware и слил его другим кибер-преступникам. На его основе группа украинских хакеров-вымогателей, называющая себя NB65, выпустила NB65 Ransomware

Новость от 15 апреля 2022:
Исследователи выявили связь между Conti Ransomware, Diavol Ransomware и Karakurt

Новость от 19 мая 2022:
Официальный сайт Conti Ransomware закрыт. 
СМИ сообщают о закрытии этого вымогательского проекта. 
Подразделения Conti могут разделиться на более мелкие части и действовать отдельно. 

*** пропущенные варианты ***


Unnamed ContiStolen-based Ransomware

Кто-то стал использовать украденный код Conti-2-3 для проведения собственных вымогательских атак. Есть сведения, что среди них есть украинские хакеры. 

Некоторые группы вымогателей запустили:
Потом они объединились в новых вариантах Meow Ransomware.

Ниже добавлены другие очень похожие варианты, которые тем не менее, я просто оставляю тут. 

Вариант от 8 июля 2022:
Расширение: .RUBEN
Записка: readme.txt
Содержание записки:
Все файлы зашифрованы!  
Свяжись в Telegram @gary_stone чтобы восстановить файлы
Номер: 913******         



Вариант от 18 августа 2022 года:
Расширение: .TOK12
Записка: readme.txt
Telegram: @wilden123
Email: tokaev123@proton.me
Файл: cryptor.exe 
Содержание записки: 
Файлы были зашифрованы. 
Свяжись с нами в Telegram @wilden123 или на почте tokaev123@proton.me
Ваш уникальный номер: 5w6*****



Вариант от 26 сентября 2022:
Сообщение: twitter.com/pcrisk/status/1575445295139266560
Расширение: .T_TEN
Записка: readme.txt
IOC: VT: ad797bd222cddd6aee89937bccdf0544 
Обнаружения: 
DrWeb -> Trojan.Encoder.35972
ESET-NOD32 -> A Variant Of Win64/Filecoder.GB
Kaspersky -> Trojan-Ransom.Win32.Conti.ab


*** пропущенные однотипные варианты ***


Вариант от 3 апреля 2023 или раньше: 
Расширение: .met@n
Записка: README.txt
Telegram: @MetanFiles
Результаты анализов: VT + IA + AR
Обнаружения: 
DrWeb -> Trojan.Encoder.37433
BitDefender -> Gen:Variant.Midie.120073
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Kaspersky -> HEUR:Trojan.Win32.Scar.vho
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Ransom.Conti!1.DF1E (CLASSIC)
TrendMicro -> Ransom.Win32.CONTI.SMYXBBU






Different ContiStolen-cloned Ransomware

Вариант от 8 декабря 2022: 
Самоназвание: Amelia Ransomware V1.61
Расширение: .Amelia
Записка: R3ADM3.txt
Email: Amelia@cyberfear.com, Amelia@onionmail.org






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Conti)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, GrujaRS, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *