Если вы не видите здесь изображений, то используйте VPN.

понедельник, 19 октября 2020 г.

LockDown, Bondy

LockDown Ransomware

Variants: Bondy, Connect, Sext

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $460 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Самый ранний оразец не обнаружен. 
---
Обнаружения (вариант с расширением .bondy):
DrWeb -> Trojan.Encoder.32963, Trojan.DownLoader22.27479
BitDefender -> Generic.Ransom.WCryG.7AD448F9, Dropped:Generic.Ransom.WCryG.FB385AEF
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1104384, TR/Ransom.bojsi
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CS, A Variant Of Generik.NRGUMMQ
Malwarebytes -> Ransom.FileCryptor, Ransom.Lockdown
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Delshad.Fsf, Win32.Trojan.Delshad.Wsjy
TrendMicro -> Ransom_Ryzerlo.R002C0DJT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> LockDown


Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.LockDown
.bondy
.Connect
.sext


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину и конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP_DECRYPT YOUR FILES


Содержание записки о выкупе: 
Oops All Of your important files were encrypted Like document pictures videos etc..
Don't worry, you can return all your files!
All your files, documents, photos, databases and other important files are encrypted by a strong encryption. 
How to recover files?
RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.
The only method of recovering files is to purchase an unique private key.Only we can give you this key and only we can recover your files.
What guarantees you have?
As evidence, you can send us 1 file to decrypt by email We will send you a recovery file  Prove that we can decrypt your file
Please You must follow these steps carefully to decrypt your files:
Send $460 worth of bitcoin to wallet: 3arsmgdD3tukQ7T7Wk9wZGCk24mU7XRR12
after payment,we will send you Decryptor software
contact email: help_recouver@protonmail.com
Your personal ID: u8xenEhnnEYWM2kC4DvEbETTOJlL1I2 [total 172 characters]

Перевод записки на русский язык:
Упс, все ваши важные файлы зашифрованы, например, документы, изображения, видео и т.д.
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы с помощью надежного шифрования.
Как восстановить файлы?
RSA - это асимметричный криптографический алгоритм, вам нужен один ключ для шифрования и один ключ для дешифрования, поэтому вам нужен закрытый ключ для восстановления ваших файлов. Без закрытого ключа восстановить файлы невозможно.
Единственный метод восстановления файлов - это покупка уникального закрытого ключа, который мы можем предоставить вам, и только мы можем восстановить ваши файлы.
Какие гарантии у вас есть?
В качестве доказательства вы можете отправить нам 1 файл для расшифровки по email. Мы отправим вам восстановленный файл. Докажите, что мы можем расшифровать ваш файл.
Пожалуйста, внимательно выполните следующие действия, чтобы расшифровать файлы:
Отправьте биткойны на сумму $460 в кошелек: 3arsmgdD3tukQ7T7Wk9wZGCk24mU7XRR12
после оплаты мы вышлем вам программу Decryptor
контактный email: help_recouver@protonmail.com
Ваш личный ID: u8xenEhnnEYWM2kC4DvEbETTOJlL1I2 [всего 172 символа]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые окпии файлов, пытается обойти UAC через настройки в реестре с помощью команд: 
"cmd.exe" /c vssadmin.exe delete shadows /all /quiet
"C:\Windows\System32\cmd.exe" C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_DECRYPT YOUR FILES - название файла с требованием выкупа
Host Process for Windows Services.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: help_recouver@protonmail.com
BTC: 3arsmgdD3tukQ7T7Wk9wZGCk24mU7XRR12 (фиктивный или некорректный адрес)
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 октября 2020:
Пост в Твиттере >>
Расширение: .bondy
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: bondbond1@protonmail.com
У разных пострадавших одинаковый BTC-адрес.
 
 


➤ Содержание записки:
Oops All Of your important files were encrypted Like document pictures videos etc..
Don't worry, you can return all your files!
All your files, documents, photos, databases and other important files are encrypted by a strong encryption. 
How to recover files?
RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.
The only method of recovering files is to purchase an unique private key.Only we can give you this key and only we can recover your files.
What guarantees you have?
As evidence, you can send us 1 file to decrypt by email We will send you a recovery file  Prove that we can decrypt your file
Please You must follow these steps carefully to decrypt your files:
Send $200 worth of bitcoin to wallet: 3GDa7CcSjsW7Q29b16NiZ6DKxWauhJmKKq
after payment,we will send you Decryptor software
contact email: bondbond1@protonmail.com
Your personal ID: d09TwldPIleGCR2Y1zdbtIoE64jLQ [всего 172 знака]
---

Схема запуска вредоносного файла


---
Открывает следующие адреса: 
xxxx://2no.co/1SHYt7
xxxxs://iplogger.org/1SHYt7
xxxxs://iplogger.org/favicon.ico


Файл EXE: Host Process for Windows Services.exe
Результаты анализов: VT + IA + AR + TG  / VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32963
BitDefender -> Generic.Ransom.WCryG.7AD448F9
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CS


Обновление от 28 октября 2020:
Расширение: .Connect
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: getyourdata@protonmail.com
BTC: 3GDa7CcSjsW7Q29b16NiZ6DKxWauhJmKKq


Файл EXE: Host Process for Windows Services.exe
Результаты анализов: VT + IA 
➤ Обнаружения:
DrWeb -> Trojan.DownLoader22.27479
ALYac -> Generic.Ransom.WCryG.48EE4AE4
Avira (no cloud) -> TR/Ransom.bzuzm
BitDefender -> Generic.Ransom.WCryG.48EE4AE4
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CS
Malwarebytes -> Ransom.Bondy
Rising -> Ransom.Ryzerlo!8.782 (TFE:C*
Tencent -> Msil.Trojan.Delshad.Dygr
TrendMicro -> Ransom_Ryzerlo.R002C0DJU20


Обновление от 3 октября 2020: 
Расширение: .sext
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: getyourdata@protonmail.com
BTC: 15zw6QrCbd5r8CD2eySMoTktstuEgD1Dzs
Файл EXE: Host Process for Windows Services.exe
Результаты анализов: VT +IA + VMR



=== 2022 ===

Вариант от 9 февраля 2022: 
Расширение: .cantopen
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: CCWhite@onionmail.org
BTC: bc1q6ug0vrxz66d564qznclu9yyyvn6zurskezmt64
Результаты анализов: VT + IA + TG



Вариант от 19 мая 2022:
Расширение: .ZareuS
Записка: HELP_DECRYPT_YOUR_FILES.txt
Файл: Host Process for Windows Services.exe
Результаты анализов: VT


Вариант от 20 мая 2022: 
Расширение: .lXXwXXXNQ
Записка: HELP_DECRYPT_YOUR_FILES.txt
Файл: Invoice-9128181.pdf.exe
Результаты анализов: VT + IA

Вариант от 20 мая 2022: 
Расширение: .Ehehehx12
Записка: HELP_DECRYPT_YOUR_FILES.txt
Файл: Host Process for Windows Services.exe
Результаты анализов: VT + IA

Вариант от 14 октября 2022: 
Расширение: .ESCANOR
Записка: HELP_DECRYPT_YOUR_FILES.txt
Результаты анализов: VT + IA

Вариант от 18 октября 2022: 
Расширение: .CMLOCKER
Записка: HELP_DECRYPT_YOUR_FILES.txt
Результаты анализов:  VT + IA


=== 2023 ===

Вариант от 25 января 2023 или раньше: 
Расширение: .PAYFAST
Записка: HELP_DECRYPT_YOUR_FILES.txt
BTC: bc1q6exhemyx28ffqqjzwqrnp332ruvf3tfgpmm9zf






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as LockDown)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 S!Ri, 0x4143, Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *