LockDown Ransomware
Variants: Bondy, Connect, Sext
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $460 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Самый ранний оразец не обнаружен.
---
Обнаружения (вариант с расширением .bondy):
DrWeb -> Trojan.Encoder.32963, Trojan.DownLoader22.27479
BitDefender -> Generic.Ransom.WCryG.7AD448F9, Dropped:Generic.Ransom.WCryG.FB385AEF
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1104384, TR/Ransom.bojsi
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CS, A Variant Of Generik.NRGUMMQ
Malwarebytes -> Ransom.FileCryptor, Ransom.Lockdown
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Delshad.Fsf, Win32.Trojan.Delshad.Wsjy
TrendMicro -> Ransom_Ryzerlo.R002C0DJT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> LockDown
К зашифрованным файлам добавляются расширения:
TrendMicro -> Ransom_Ryzerlo.R002C0DJT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> LockDown
Изображение — логотип статьи
К зашифрованным файлам добавляются расширения:
.LockDown
.bondy
.Connect
.sext
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину и конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HELP_DECRYPT YOUR FILES
Перевод записки на русский язык:
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые окпии файлов, пытается обойти UAC через настройки в реестре с помощью команд:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на середину и конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HELP_DECRYPT YOUR FILES
Содержание записки о выкупе:
Oops All Of your important files were encrypted Like document pictures videos etc..
Don't worry, you can return all your files!
All your files, documents, photos, databases and other important files are encrypted by a strong encryption.
How to recover files?
RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.
The only method of recovering files is to purchase an unique private key.Only we can give you this key and only we can recover your files.
What guarantees you have?
As evidence, you can send us 1 file to decrypt by email We will send you a recovery file Prove that we can decrypt your file
Please You must follow these steps carefully to decrypt your files:
Send $460 worth of bitcoin to wallet: 3arsmgdD3tukQ7T7Wk9wZGCk24mU7XRR12
after payment,we will send you Decryptor software
contact email: help_recouver@protonmail.com
Your personal ID: u8xenEhnnEYWM2kC4DvEbETTOJlL1I2 [total 172 characters]
Перевод записки на русский язык:
Упс, все ваши важные файлы зашифрованы, например, документы, изображения, видео и т.д.
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы с помощью надежного шифрования.
Как восстановить файлы?
RSA - это асимметричный криптографический алгоритм, вам нужен один ключ для шифрования и один ключ для дешифрования, поэтому вам нужен закрытый ключ для восстановления ваших файлов. Без закрытого ключа восстановить файлы невозможно.
Единственный метод восстановления файлов - это покупка уникального закрытого ключа, который мы можем предоставить вам, и только мы можем восстановить ваши файлы.
Какие гарантии у вас есть?
В качестве доказательства вы можете отправить нам 1 файл для расшифровки по email. Мы отправим вам восстановленный файл. Докажите, что мы можем расшифровать ваш файл.
Пожалуйста, внимательно выполните следующие действия, чтобы расшифровать файлы:
Отправьте биткойны на сумму $460 в кошелек: 3arsmgdD3tukQ7T7Wk9wZGCk24mU7XRR12
после оплаты мы вышлем вам программу Decryptor
контактный email: help_recouver@protonmail.com
Ваш личный ID: u8xenEhnnEYWM2kC4DvEbETTOJlL1I2 [всего 172 символа]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые окпии файлов, пытается обойти UAC через настройки в реестре с помощью команд:
"cmd.exe" /c vssadmin.exe delete shadows /all /quiet
"C:\Windows\System32\cmd.exe" C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HELP_DECRYPT YOUR FILES - название файла с требованием выкупа
Host Process for Windows Services.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: help_recouver@protonmail.com
BTC: 3arsmgdD3tukQ7T7Wk9wZGCk24mU7XRR12 (фиктивный или некорректный адрес)
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 28 октября 2020:
Пост в Твиттере >>
Расширение: .bondy
Расширение: .bondy
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: bondbond1@protonmail.com
У разных пострадавших одинаковый BTC-адрес.
➤ Содержание записки:
Oops All Of your important files were encrypted Like document pictures videos etc..
Don't worry, you can return all your files!
All your files, documents, photos, databases and other important files are encrypted by a strong encryption.
How to recover files?
RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key.
The only method of recovering files is to purchase an unique private key.Only we can give you this key and only we can recover your files.
What guarantees you have?
As evidence, you can send us 1 file to decrypt by email We will send you a recovery file Prove that we can decrypt your file
Please You must follow these steps carefully to decrypt your files:
Send $200 worth of bitcoin to wallet: 3GDa7CcSjsW7Q29b16NiZ6DKxWauhJmKKq
after payment,we will send you Decryptor software
contact email: bondbond1@protonmail.com
Your personal ID: d09TwldPIleGCR2Y1zdbtIoE64jLQ [всего 172 знака]
---
Схема запуска вредоносного файла
---
Открывает следующие адреса:
xxxx://2no.co/1SHYt7
xxxxs://iplogger.org/1SHYt7
xxxxs://iplogger.org/favicon.ico
Файл EXE: Host Process for Windows Services.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32963
BitDefender -> Generic.Ransom.WCryG.7AD448F9
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CS
Обновление от 28 октября 2020:
Расширение: .Connect
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: getyourdata@protonmail.com
BTC: 3GDa7CcSjsW7Q29b16NiZ6DKxWauhJmKKq
Файл EXE: Host Process for Windows Services.exe
➤ Обнаружения:
DrWeb -> Trojan.DownLoader22.27479
ALYac -> Generic.Ransom.WCryG.48EE4AE4
Avira (no cloud) -> TR/Ransom.bzuzm
BitDefender -> Generic.Ransom.WCryG.48EE4AE4
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CS
Malwarebytes -> Ransom.Bondy
Rising -> Ransom.Ryzerlo!8.782 (TFE:C*
Tencent -> Msil.Trojan.Delshad.Dygr
TrendMicro -> Ransom_Ryzerlo.R002C0DJU20
Обновление от 3 октября 2020:
Расширение: .sext
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: getyourdata@protonmail.com
BTC: 15zw6QrCbd5r8CD2eySMoTktstuEgD1Dzs
Файл EXE: Host Process for Windows Services.exe
=== 2022 ===
Вариант от 9 февраля 2022:
Расширение: .cantopen
Записка: HELP_DECRYPT_YOUR_FILES.txt
Email: CCWhite@onionmail.org
BTC: bc1q6ug0vrxz66d564qznclu9yyyvn6zurskezmt64
Вариант от 19 мая 2022:
Расширение: .ZareuS
Записка: HELP_DECRYPT_YOUR_FILES.txt
Файл: Host Process for Windows Services.exe
Результаты анализов: VT
Вариант от 20 мая 2022:
Расширение: .lXXwXXXNQ
Записка: HELP_DECRYPT_YOUR_FILES.txt
Файл: Invoice-9128181.pdf.exe
Вариант от 20 мая 2022:
Расширение: .Ehehehx12
Записка: HELP_DECRYPT_YOUR_FILES.txt
Файл: Host Process for Windows Services.exe
Вариант от 14 октября 2022:
Расширение: .ESCANOR
Записка: HELP_DECRYPT_YOUR_FILES.txt
Вариант от 18 октября 2022:
Расширение: .CMLOCKER
Записка: HELP_DECRYPT_YOUR_FILES.txt
=== 2023 ===
Вариант от 25 января 2023 или раньше:
Расширение: .PAYFAST
Записка: HELP_DECRYPT_YOUR_FILES.txt
BTC: bc1q6exhemyx28ffqqjzwqrnp332ruvf3tfgpmm9zf
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as LockDown) Write-up, Topic of Support *
Thanks: Andrew Ivanov (author) S!Ri, 0x4143, Michael Gillespie *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
