Если вы не видите здесь изображений, то используйте VPN.

понедельник, 26 октября 2020 г.

RegretLocker

RegretLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.DownLoader35.8955
BitDefender -> Gen:Heur.Ransom.Imps.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Downloader.Gen
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCE
Kaspersky -> Not-a-virus:NetTool.Win32.TorTool.cta
Malwarebytes -> Ransom.Regret
Microsoft -> Ransom:Win32/FileCrypter.MB!MTB
Rising -> Trojan.Generic@ML.95 (RDML:xEq*
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Filecoder.Lhwv
TrendMicro -> Ransom_FileCrypter.R067C0DJU20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> RegretLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .mouse


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RESTORE FILES.TXT

Содержание записки о выкупе:
Hello, friend.
All your files were encrypted.
If you want to restore them, please email us : petro@ctemplar.com
Your hash:
***

Перевод записки на русский язык:
Привет друг.
Все твои файлы зашифрованы.
Если хочешь восстановить их, напиши нам: petro@ctemplar.com
Ваш хеш:
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Схема запуска вредоносного файла.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe /C wmic SHADOWCOPY DELETE & wbadmin DELETE SYSTEMSTATEBACKUP & bcdedit.exe / set{ default } bootstatuspolicy ignoreallfailures & bcdedit.exe / set{ default } recoveryenabled No wmic SHADOWCOPY DELETE

➤ RegretLocker использует особую технику монтирования файла виртуального диска, чтобы 
индивидуально зашифровать каждый из его файлов. Для монтирования виртуальных дисков RegretLocker использует функции Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk, GetVirtualDiskPhysicalPath. Таким образом он специально ищет VHD и монтирует их при обнаружении. После того, как виртуальный диск смонтирован как физический диск в Windows, RegretLocker может зашифровать каждый из них по отдельности, что увеличивает скорость шифрования.
Кроме использования API виртуального хранилища, RegretLocker также использует API диспетчера перезапуска Windows для завершения процессов или служб Windows, которые сохраняют файл открытым во время шифрования.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RESTORE FILES.TXT - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
locker.log
tor-lib.dll
locker.exe
 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\locker.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс:
svchost

Сетевые подключения и связи:
Tor-URL: xxxx://regretzjibibtcgb.onion
Malware-URL: xxxx://344744.cloud4box.ru/files/locker/locker.exe
Email: petro@ctemplar.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
 

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 ноября 2020:
Побробнее о реализации атаки с помощью смонтированных виртуальных дисков. 
 
 








=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as RegretLocker)
 Write-up, Topic of Support
 Added later: Write-up by BC >>
 Thanks: 
 MalwareHunterTeam, S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 Vitali Kremez
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *