Если вы не видите здесь изображений, то используйте VPN.

суббота, 31 октября 2020 г.

SZ40, Lorenz

SZ40 Ransomware

Lorenz Ransomware

Lorenz (SZ40) Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов RSA + AES (режим CBC), а затем требует выкуп в 50 BTC, чтобы вернуть файлы. Угрожает опубликовать украденные данные в Интернете. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> *** / Trojan.Encoder.33931
BitDefender ->  Gen:Variant.Doina.12046
Avira (no cloud) -> TR/Ransom.Agent.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.D
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.THUNDERCRYPT.A, Ransom.Win32.THUNDERCRYPT.SM
---

© Генеалогия: ThunderCrypt >> SZ40 > Lorenz

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sz40

Неизвестно, статическое это название или изменяемое. Это может быть аббревиатура названия ПК или компании. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP_SECURITY_EVENT.html


Содержание записки о выкупе: 
.sz40
Good day!
We have download and encrypted all your company files!
We did this using hybrid RSA-2048 public key encryption. It basically means there is no way to decrypt your files without the private key. The private key is stored on our server.
Indeed, we can recover your files. You just have to pay us before the deadline.
If you don't, the private key will be securely erased from our server, you lose encrypted files forever and we will publish all the contents of your company includes client's databases with personal data on the internet.
Transfer required amount to the Bitcoin address below, wich was generated just for your payment. As soon as the transaction gets confirmed, leave your contact mail to hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (it's Tor site, use Tor Browser hxxxs://www.torproject.org/download/) to get instructions and key to restore all your files.
WARNING! Antivirus software, police or anyone can't decrypt your files. Also any attemps to modify files may damaged them and even we won't be able to recover them.
Bitcoin walet:
***
Amount:
50 Btc
Deadline:
11/03/2020


Перевод записки на русский язык: 
.sz40
Добрый день!
Мы скачали и зашифровали все файлы вашей компании!
Мы сделали это, используя гибридное шифрование с открытым ключом RSA-2048. По сути, это значит, что невозможно расшифровать ваши файлы без закрытого ключа. Закрытый ключ хранится на нашем сервере.
Да, мы можем восстановить ваши файлы. Вы просто должны заплатить нам до истечения срока.
Если вы этого не сделаете, закрытый ключ будет удален с нашего сервера, вы потеряете зашифрованные файлы навсегда, а мы опубликуем все содержимое вашей компании, включая клиентские базы данных с личными данными в Интернете.
Переведите нужную сумму на указанный ниже биткойн-адрес, который был сгенерирован только для вашего платежа. Как только транзакция будет подтверждена, оставьте свой контактный email-адрес на hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (это сайт Tor, используйте браузер Tor hxxxs://www.torproject.org/download/), чтобы получить инструкции и ключ. чтобы восстановить все ваши файлы.
ПРЕДУПРЕЖДЕНИЕ! Антивирусная программа, полиция или кто-то еще не смогут расшифровать ваши файлы. Также любые попытки изменить файлы могут повредить их, и даже мы не сможем их восстановить.
Биткойн-кошелек:
***
Количество:
50 Btc
Крайний срок:
11.03.2020


Скриншот указанного в записке Tor-сайта. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Очищает системыне журналы. 
Регистрируется как системная служба, чтобы обеспечить автоматический запуск вредоносного файла при каждом запуске системы, добавляет в реестр следующий ключ:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускает следующие директории: 
$Recycle.Bin
All Users
Local
Microsoft
Packages
Program Files
Program Files (x86)
ProgramData
Temp
WINDOWS
Windows

Маркер зашифрованных файлов:

Файлы, связанные с этим Ransomware:
HELP_SECURITY_EVENT.html - название файла с требованием выкупа;
<random>.js - вредоносный файл-скрипт;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123

Мьютексы:
sz40

Сетевые подключения и связи:
Tor-URL: hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php
Email:
BTC: скрыт исследователем
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

ThunderCrypt Ransomware - май 2017
SZ40 Ransomware - октябрь 2020
Lorenz Ransomware - март 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 4 марта 2021:
Самоназвание: Lorenz Ransomware
Расширение: аббревиатура названия ПК или компании
Замеченные расширения: .Lorenz или .Lorenz.sz40
Записка: HELP_SECURITY_EVENT.html
Файлы: %User Temp%\MoUsoCoreWorker.exe
%Windows%\dws.exe
%Windows%\tWjdf.js
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33931
BitDefender -> Gen:Variant.Johnnie.310333, Gen:Variant.Doina.12046
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.THUNDERCRYPT.SM
---

Сообщение от 30 июня 2021: 
Tesorion выпустила бесплатный дешифратор для Lorenz Ransomware, который позволяет жертвам бесплатно восстанавить некоторые свои файлы (документы Office, файлы PDF, некоторые типы изображений и видеофайлы) без уплаты выкупа. Другие типы файлов не будут расшифрованы. 
Загрузить дешифровщик можно с сайта NoMoreRansom по ссылке >>


Вариант от 14 ноября 2021: 
Расширение: .Lorenz.sz40
Записка: HELP_SECURITY_EVENT.html
Файл изображения: ECes1Ma81x0h.bmp
Сайт: hxxx://lorenzezzket6afhfqfjagefsrjn44edsgi26kq4sfhqjal6wyneh4yd.onion
Сайт Leaks: hxxx://lorenzmlwpzgxq736jzseuterytjueszsvznuibanxomlpkyxk6ksoyd.onion
Результаты анализов: VT + TG


 


=== 2022 ===

Вариант от 2 марта 2022:
Расширение: .Lorenz.sz40
Записка: HELP.TXT
Tor-URL: hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion
hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion.ly
Результаты анализов: VT + IA + HA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.35136
BitDefender -> Trojan.GenericKD.39120532
ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.F
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypren.gen
Malwarebytes -> Ransom.Lorenz
Microsoft -> Trojan:Win32/Tnega!ml
Rising -> Ransom.Convagent!8.123A1 (CLOUD)
TrendMicro -> Ransom_Crypren.R002C0WC522






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myTweet
 ID Ransomware (ID as ThunderCrypt / Lorenz)
 Write-up, Topic of Support
 * 
Внимание!
В некоторых случаях файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >> 
---
Загрузить дешифровщик для Lorenz можно по ссылке >>
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 Kangxiaopao
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *