Loki

Loki Ransomware

Loki Cover-Ransomware

(шифровальщик-вымогатель, инфостилер) (первоисточник)
Translation into English

Этот крипто-вымогатель распространяется вместе с похитителем информации и после кражи данных может зашифровать файлы, а затем потребовать выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название: Loki и Loki infostealer. На файлах может быть написано: newbuild.exe, gamebooster.exe или что-то другое. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.34678733
ALYac -> Trojan.Downloader.DOC.Gen
Avira (no cloud) -> W97M/Dldr.Agent.qmgeq
ESET-NOD32 -> A Variant Of Generik.HAIVAHF

Kaspersky -> HEUR:Trojan-Downloader.MSOffice.SLoad.gen
Malwarebytes -> ***
Rising -> Malware.ObfusVBA@ML.84 (VBA)
Symantec -> Trojan.Gen.NPE

Tencent -> Heur.Macro.Generic.h.a226e0d
TrendMicro -> TROJ_FRS.0NA103JC20
---

Обнаружения: 
DrWeb -> Trojan.PWS.Siggen2.27515
BitDefender -> Gen:Variant.Razy.617928
ALYac -> Spyware.LokiBot
Avira (no cloud) -> ***
ESET-NOD32 -> A Variant Of Win32/Spy.Agent.PTW

Kaspersky -> Trojan-PSW.Win32.Fareit.fbox
Malwarebytes -> Spyware.LokiStealer.PP
Rising -> Spyware.Agent!8.C6 (TFE:5:MBQQJMAo7nE)
Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan-qqpass.Qqrob.Eanq
TrendMicro -> TROJ_GEN.R007C0DF920
---

To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Loki

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .loki 
 

Этимология названия и пояснения: 

Cover-Ransomware — я ввел новое название для программ-вымогателей, которые являются прикрытием для установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя подобным образом, уже были описаны в нашем Дайджесте, но мы не выделяли это в отдельный вид. 

В различных Cover-Ransomware вредоносным компонентом могут быть трояны различного действия, банковские трояны (банкеры), инфостилеры (здесь — Loki infostealer), стиратели, деструкторы, doxware, майнеры и прочие. Описание смотрите в нашем Глоссарии.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец загружаемого вредоносного документа Word с макросами был найден в начале октября 2020 г. Исполнямый файл относится к августу 2019 года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: HowToDecrypt.txt

Содержание записки о выкупе:

IMPORTANT INFORMATION!!!!

All your files are encrypted with Loki stealer:

To Decrypt: 

- Send 0.02 BTC to: ***

Follow All Steps

***

Перевод записки на русский язык:

ВАЖНАЯ ИНФОРМАЦИЯ!!!!

Все ваши файлы зашифрованы Loki stealer:

Для расшифровки: 

- Отправьте 0.02 BTC на: ***

Следуйте всем шагам

***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Идет в комплексе с Loki++ Stealer 2.0 Coded By Loki (твит MHT)
➤ Использует Powershell, WScript и вредоносные макросы в документах Word. 

➤ По сообщению Майкла Джиллеспи, у этого вредоноса (stealer + ransomware) так много ошибок, что он, скорее всего, не запустится и не зашифрует файлы. 

Скриншоты от исследователей:

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
HowToDecrypt.txt - название файла с требованием выкупа
newbuild.exe - название вредоносного файла

Loki.exe, gamebooster.exe - названия вредоносных файлов

462481872.exe - название загружаемого вредоносного файла

fas.docm - название загружаемого вредоносного файла Word с макросами

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\FD1HVy\AppData\Roaming\newbuild.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

URL: xxxx://anubiscode.fun/***

URL: xxxx://ti5n.andnolikeandtoo.ru/462481872.exe

URL: xxxx://infostealer.com

Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

🔓 Decryptable / Можно расшифровать: Пишите Майклу >>

 Read to links: 
 Tweet on Twitter + Tweet + Tw + myTweet
 ID Ransomware (ID as Loki)
 Write-up, Topic of Support
 * 

 Thanks: 
 Arkbird, Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.