Hades Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Hades ransomware. Целевые системы: Windows x64. Разработка группы Evil Corp (Indrik Spider), которую зарубежные исследователи считают российской или пророссийской.
---
👉 Ранее эту группу США обвинили в разработке и распространении вредоносной программы Dridex, предназначенной для заражения компьютеров банков и компаний более чем в 40 странах, заочно осудили и наложили санкции на всех перечисленных. Спустя неделю оказалось, что часть информации недостоверна и из санкционного списка можно смело исключить некоторые российские компании и несколько человек. Написание некоторых фамилий "обвиненных" искажены и могут относиться к вымышленным лицам. Более того, найдено немало вбросов со стороны украинских и антироссийских СМИ, которые усиленно муссируют недостоверную информацию. Сколько недостоверностей мы ещё узнаем и как можно верить заказным и муссированным "расследованиям" с картинками из социальных сетей?
---
Обнаружения:
DrWeb -> Trojan.Siggen13.3039
ALYac -> Trojan.Ransom.Hades
BitDefender -> Trojan.GenericKD.36700209
ESET-NOD32 -> Win64/Filecoder.Conti.B
Kaspersky -> Trojan-Ransom.Win32.Crypmodng.fu
Malwarebytes -> Malware.AI.2000420884
Microsoft -> Trojan:Win64/CryptInject!MSR
Symantec -> Downloader
TrendMicro -> TROJ_FRS.0NA103DF21
---
© Генеалогия: WastedLocker (Phoenix Cryptolocker) >> Hades
Обнаружения:
DrWeb -> Trojan.Siggen13.3039
ALYac -> Trojan.Ransom.Hades
BitDefender -> Trojan.GenericKD.36700209
ESET-NOD32 -> Win64/Filecoder.Conti.B
Kaspersky -> Trojan-Ransom.Win32.Crypmodng.fu
Malwarebytes -> Malware.AI.2000420884
Microsoft -> Trojan:Win64/CryptInject!MSR
Symantec -> Downloader
TrendMicro -> TROJ_FRS.0NA103DF21
---
© Генеалогия: WastedLocker (Phoenix Cryptolocker) >> Hades
Изображение — логотип статьи
К зашифрованным файлам добавляется случайное расширение: .xxxxx
Например: .rh94k
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на первую половину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: HOW-TO-DECRYPT-xxxxx.txt
Содержание записки о выкупе:
��[+] What happened? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has extension *.rh94k
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant get back your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice - time is much more valuable than money.
[+] How to get access on website? [+]
Using a TOR browser!
- Download and install TOR browser from this site: hxxps://torproject.org/
- Open our website: xxxx://ixltdyumdlthrtgx.onion
- Follow the on-screen instructions
Extension name:
*.xxxxx
-----------------------------------------------------------------------------------------
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) will make everything possible for restoring, but please do not interfere.
!!! !!! !!!
Перевод записки на русский язык:
�� [+] Что случилось? [+]
Ваши файлы зашифрованы и сейчас недоступны. Вы можете это проверить: все файлы на вашем компьютере имеют расширение *.rh94k
Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. Иначе вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - с нами никто не будет сотрудничать. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, Вам следует зайти на наш сайт. Там можно бесплатно расшифровать один файл. Это наша гарантия.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо дороже денег.
[+] Как получить доступ на сайт? [+]
Используя браузер TOR!
- Загрузите и установите браузер TOR с этого сайта: xxxxs: //torproject.org/
- Откройте наш сайт: xxxx://ixltdyumdlthrtgx.onion
- Следуйте инструкциям на экране.
Имя расширения:
* .xxxxx
-------------------------------------------------- ---------------------------------------
!!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменять файлы сами, НЕ используйте какую-либо стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.
!!! !!! !!!
ЕЩЕ ОДИН РАЗ. В ваших интересах вернуть свои файлы. Со своей стороны мы (лучшие специалисты) сделаем все возможное для восстановления, но просим не мешать.
!!! !!! !!!
---
Скриншот с Tor-сайта, названного в тексте записки:
Содержание текста на Tor-сайте:
Hades ransomware.Contact Us
We have hacked your network, downloaded and encrypted your data.
You can recover your data and prevent data leakage to the public.
For further details contact us via TOX messenger:
2F5338DABD40348C71D858459FE7B8ED60DDD9CE4D260C656E4E236A91167C31165081A85F79
Copyright © Hades
Перевод текста на русский язык:
Hades ransomware.Контакт с нами
Мы взломали вашу сеть, скачали и зашифровали ваши данные.
Вы можете вернуть свои данные и не дать утечь данным в открытый доступ.
Для информации напишите нам в мессенджере TOX:
2F5338DABD40348C71D858459FE7B8ED60DDD9CE4D260C656E4E236A91167C31165081A85F79
Copyright © Hades
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Большая часть функций взята у WastedLocker, кроме того: статическая конфигурация, основанная на ISFB, многоэтапный процесс сохранения, установки, перечисление файлов, каталогов и функции шифрования.
➤ Удаляет теневые копии файлов. Самоудаляется после шифрования.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HOW-TO-DECRYPT-xxxxx.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: 5lyi3c7x3ioakru4.onion
Tor-URL: ixltdyumdlthrtgx.onion
Скриншоты с сайтов:
TOX messenger: 2F5338DABD40348C71D858459FE7B8ED60DDD9CE4D260C656E4E236A91167C31165081A85F79
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Сообщение от 15 декабря 2020:
Транспортная и логистическая компания Forward Air подверглась атаке со стороны Hades Ransomware, которая повлияла на бизнес-операции компании.
Сообщение от 25 марта 2021:
Evil Corp перешла на Hades Ransomware, чтобы избежать санкций, введенных Управлением по контролю за иностранными активами Министерства финансов (OFAC).
Сообщение от 15 июня 2021:
Статья на сайт Secureworks.com >>Финансово мотивированная группа, использующая вымогатель Hades, известна как GOLD WINTER. Отсутствие Hades на подпольных форумах и торговых площадках говорит о том, что он работает как частный вымогатель, а не как RaaS.
Вариант от 15 декабря 2021:
Выдают себя за REvil.
Расширение: .revil
Записка: revil.read.txt
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as Hades) Write-up, Topic of Support *
Thanks: Michael Gillespie, Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
