Osno Ransomware
Babax-Osno Ransomware
FakeRansomware
(шифровальщик-вымогатель, ) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей, но отдельно пока не распространяется. Входит в комплект Osno stealer (инфостилер), который сам по себе является вариантом Babax stealer. Оригинальное название: OsnoRansom. На файле написано: Osno.exe, FallGuysStats.exe, Chrome updaters.exe, Tencent, Gamebuddy, CardGame.exe, osno-crypted.exe. На файле Osno Decryptor.exe написано FakeRansomware 1.1.0.0. Использует в описании файлов названия легитимных компаний, программ и приложений, чтобы запутать пользователей. В будущих версиях, после исправления ошибок, для шифрования файлов может начать использоваться алгоритм шифрования XXTEA.
В описанном варианте Osno Decryptor.exe не сможет вернуть файлы тем, кто заплатит. Оплата выкупа бесполезна!
---
Обнаружения:
DrWeb -> Trojan.Siggen10.33440, Trojan.PWS.Stealer.29333
BitDefender -> Trojan.GenericKD.34681455, Trojan.GenericKD.43992759
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> BDS/Androm.kjgjr, HEUR/AGEN.1109526
ESET-NOD32 -> A Variant Of Generik.LDYUKMD
Malwarebytes -> ***
Rising -> Ransom.OnyxLocker!1.C0BA (CLASSIC)
Symantec -> Trojan.Gen.2, Trojan.Gen.MBT
TrendMicro -> Ransom.Win32.OSNO.THJOFBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: Babax > Osno
К зашифрованным файлам добавляется расширение: .osnoed
Обнаружения:
DrWeb -> Trojan.Siggen10.33440, Trojan.PWS.Stealer.29333
BitDefender -> Trojan.GenericKD.34681455, Trojan.GenericKD.43992759
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> BDS/Androm.kjgjr, HEUR/AGEN.1109526
ESET-NOD32 -> A Variant Of Generik.LDYUKMD
Malwarebytes -> ***
Rising -> Ransom.OnyxLocker!1.C0BA (CLASSIC)
Symantec -> Trojan.Gen.2, Trojan.Gen.MBT
TrendMicro -> Ransom.Win32.OSNO.THJOFBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: Babax > Osno
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .osnoed
Маркирует зашифрованные файлы словом OsnoRansom.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец сентября - октября 2020 г. Даты создания разных образцов: 26 сентября, 4 октября, а также более новые и фиктивные. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа помешщается в файл RecInstruct.osnoned
Информатором жертвы или источником информации может быть экран блокировки или то, что его заменяет.
Экран Osno Decryptor.exe с полем для ввода кода дешифрирования.
Технические детали
Распространяется под видом исполняемого игры FallGuysStats.exe на соответствующих сайтах. Использует Discordapp.com для распространения.
После доработки и модификации может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Fallout EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Прописывается в реестре и добавляет Автозагрузку Windows файл Chrome updaters.exe
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RecInstruct.osnoned - специальный файл-записка от вымогателей
OsnoStealer WifiFucker v2
AAhy3Mb.png - загружаемое изображение
Desktop.txt, Documents.txt, Pictures.txt, Videos.txt, Startup.txt, Downloads.txt, processes.txt и другие - создаёт файлы с разными списками
Gamebuddy, CardGame.exe - распространяемый файл
FallGuysStats.exe, Chrome updaters.exe - распространяемый файл
Osno Decryptor.exe - модуль дешифрования
Osno.exe - название вредоносного файла
osno-crypted.bin.exe - название вредоносного файла
Ошибки:
На файле, чей запуск был завершен, написано FakeRansomware 1.1.0.0.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome updaters.exe
C:\Users\User\AppData\Local\Temp\osno-crypted.bin.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL изображения: https://i.imgur.com/AAhy3Mb.png
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Обновление от 28 октября 2020:
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 28 октября 2020:
Пост в Твиттере >>
Обновление от 6 ноября 2020:
Обновление от 5 ноября 2020:
Обновление от 6 ноября 2020:
Osno Builder: VT >>
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + Tweet + myTweet ID Ransomware (ID as Osno) Write-up, Topic of Support Added later: Write-Up by Karsten Hahn (G DATA)
Thanks: Karsten Hahn, Michael Gillespie, James, GrujaRS Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
