SZ40 Ransomware
Lorenz Ransomware
Lorenz (SZ40) Doxware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов RSA + AES (режим CBC), а затем требует выкуп в 50 BTC, чтобы вернуть файлы. Угрожает опубликовать украденные данные в Интернете. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> *** / Trojan.Encoder.33931
BitDefender -> Gen:Variant.Doina.12046
Avira (no cloud) -> TR/Ransom.Agent.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.D
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.THUNDERCRYPT.A, Ransom.Win32.THUNDERCRYPT.SM
---
© Генеалогия: ThunderCrypt >> SZ40 > Lorenz
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .sz40
Неизвестно, статическое это название или изменяемое. Это может быть аббревиатура названия ПК или компании.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HELP_SECURITY_EVENT.html
Скриншот указанного в записке Tor-сайта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Очищает системыне журналы.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HELP_SECURITY_EVENT.html
Содержание записки о выкупе:
Перевод записки на русский язык:
.sz40
Good day!
We have download and encrypted all your company files!
We did this using hybrid RSA-2048 public key encryption. It basically means there is no way to decrypt your files without the private key. The private key is stored on our server.
Indeed, we can recover your files. You just have to pay us before the deadline.
If you don't, the private key will be securely erased from our server, you lose encrypted files forever and we will publish all the contents of your company includes client's databases with personal data on the internet.
Transfer required amount to the Bitcoin address below, wich was generated just for your payment. As soon as the transaction gets confirmed, leave your contact mail to hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (it's Tor site, use Tor Browser hxxxs://www.torproject.org/download/) to get instructions and key to restore all your files.
WARNING! Antivirus software, police or anyone can't decrypt your files. Also any attemps to modify files may damaged them and even we won't be able to recover them.
Bitcoin walet:
***
Amount:
50 Btc
Deadline:
11/03/2020
.sz40
Добрый день!
Мы скачали и зашифровали все файлы вашей компании!
Мы сделали это, используя гибридное шифрование с открытым ключом RSA-2048. По сути, это значит, что невозможно расшифровать ваши файлы без закрытого ключа. Закрытый ключ хранится на нашем сервере.
Да, мы можем восстановить ваши файлы. Вы просто должны заплатить нам до истечения срока.
Если вы этого не сделаете, закрытый ключ будет удален с нашего сервера, вы потеряете зашифрованные файлы навсегда, а мы опубликуем все содержимое вашей компании, включая клиентские базы данных с личными данными в Интернете.
Переведите нужную сумму на указанный ниже биткойн-адрес, который был сгенерирован только для вашего платежа. Как только транзакция будет подтверждена, оставьте свой контактный email-адрес на hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (это сайт Tor, используйте браузер Tor hxxxs://www.torproject.org/download/), чтобы получить инструкции и ключ. чтобы восстановить все ваши файлы.
ПРЕДУПРЕЖДЕНИЕ! Антивирусная программа, полиция или кто-то еще не смогут расшифровать ваши файлы. Также любые попытки изменить файлы могут повредить их, и даже мы не сможем их восстановить.
Биткойн-кошелек:
***
Количество:
50 Btc
Крайний срок:
11.03.2020
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Очищает системыне журналы.
Регистрируется как системная служба, чтобы обеспечить автоматический запуск вредоносного файла при каждом запуске системы, добавляет в реестр следующий ключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
При шифровании пропускает следующие директории:
$Recycle.Bin
All Users
Local
Microsoft
Packages
Program Files
Program Files (x86)
ProgramData
Temp
WINDOWS
Windows
Маркер зашифрованных файлов:
Файлы, связанные с этим Ransomware:
HELP_SECURITY_EVENT.html - название файла с требованием выкупа;
<random>.js - вредоносный файл-скрипт;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123
Мьютексы:
sz40
Сетевые подключения и связи:
Tor-URL: hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123
Мьютексы:
sz40
Сетевые подключения и связи:
Tor-URL: hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php
Email:
BTC: скрыт исследователем
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
BTC: скрыт исследователем
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
ThunderCrypt Ransomware - май 2017
SZ40 Ransomware - октябрь 2020
Lorenz Ransomware - март 2021
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 4 марта 2021:
Самоназвание: Lorenz Ransomware
Расширение: аббревиатура названия ПК или компании.
Замеченные расширения: .Lorenz или .Lorenz.sz40
Записка: HELP_SECURITY_EVENT.html
Файлы: %User Temp%\MoUsoCoreWorker.exe
%Windows%\dws.exe
%Windows%\tWjdf.js
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33931
BitDefender -> Gen:Variant.Johnnie.310333, Gen:Variant.Doina.12046
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.THUNDERCRYPT.SM
---
Сообщение от 30 июня 2021:
Tesorion выпустила бесплатный дешифратор для Lorenz Ransomware, который позволяет жертвам бесплатно восстанавить некоторые свои файлы (документы Office, файлы PDF, некоторые типы изображений и видеофайлы) без уплаты выкупа. Другие типы файлов не будут расшифрованы.
Загрузить дешифровщик можно с сайта NoMoreRansom по ссылке >>
Вариант от 14 ноября 2021:
Расширение: .Lorenz.sz40
Записка: HELP_SECURITY_EVENT.html
Файл изображения: ECes1Ma81x0h.bmp
Сайт: hxxx://lorenzezzket6afhfqfjagefsrjn44edsgi26kq4sfhqjal6wyneh4yd.onion
Сайт Leaks: hxxx://lorenzmlwpzgxq736jzseuterytjueszsvznuibanxomlpkyxk6ksoyd.onion
Результаты анализов: VT + TG
=== 2022 ===
Вариант от 2 марта 2022:
Расширение: .Lorenz.sz40
Записка: HELP.TXT
Tor-URL: hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion
hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion.ly
➤ Обнаружения:
DrWeb -> Trojan.Encoder.35136
BitDefender -> Trojan.GenericKD.39120532
ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.F
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypren.gen
Malwarebytes -> Ransom.Lorenz
Microsoft -> Trojan:Win32/Tnega!ml
Rising -> Ransom.Convagent!8.123A1 (CLOUD)
TrendMicro -> Ransom_Crypren.R002C0WC522
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + myTweet ID Ransomware (ID as ThunderCrypt / Lorenz) Write-up, Topic of Support *
Внимание! В некоторых случаях файлы можно дешифровать! Рекомендую обратиться по этой ссылке к Demonslay335 >> --- Загрузить дешифровщик для Lorenz можно по ссылке >>
Thanks: Michael Gillespie Andrew Ivanov (article author) Kangxiaopao to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
