пятница, 1 января 2021 г.

Babuk

Babuk Ransomware

Vasa Ransomware

Aliases: Babuk Locker, Vasa Locker

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель использует комбинацию SHA256 + ChaCha8 + ECDH (эллиптическая кривая Диффи-Хеллмана) для защиты своих ключей и 
шифрования данных, а затем требует выкуп в $60000-85000 в BTC, чтобы вернуть файлы. Оригинальное название: BABUK LOCKER. На файле написано: BABUK.exe. После публикации статьи была обнаружена более ранняя версия, которая добавлена в раздел обновлений после основной статьи. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33362
BitDefender -> Trojan.GenericKD.35955416
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ 
Microsoft -> Ransom:Win32/BabukLocker.MK!MTB
Qihoo-360 -> Win32/Trojan.368
Rising -> Trojan.Generic@ML.86 (RDMK:Ec9*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
---

© Генеалогия: ✂️ Rhino (Marvel) >> Babuk

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .__NIST_K571__
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2020 г. - начало января 2021 г. Штамп даты раннего образца: 30 ноября, более новый образец от 30 декабря 2020. 
Первым известным пострадавшим была компания из Италии. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: How To Restore Your Files.txt


Содержание записки о выкупе:
----------- [ Hello! ] ------------->
       ****BY BABUK LOCKER****
What happend?
----------------------------------------------
Your computers and servers are encrypted, backups are deleted from your network and copied. We use strong encryption algorithms, so you cannot decrypt your data.
But you can restore everything by purchasing a special program from us - a universal decoder. This program will restore your entire network.
Follow our instructions below and you will recover all your data.
If you continue to ignore this for a long time, we will start reporting the hack to mainstream media and posting your data to the dark web.
What guarantees?
----------------------------------------------
We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.
All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.
We guarantee to decrypt one file for free. Go to the site and contact us.
How to contact us?
----------------------------------------------
Using TOR Browser ( https://www.torproject.org/download/ ):
http://babukq4e2p4wu4iq.onion/login.php?id=8M60J4vCbbkKgM6QnA07E9qpkn0Qk7
!!! DANGER !!!
DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them.
!!! DANGER !!!


Перевод записки на русский язык:
----------- [ Привет! ] ------------->
       **** BABUK LOCKER ****
Что случилось?
----------------------------------------------
Ваши компьютеры и серверы зашифрованы, резервные копии удаляются из вашей сети и копируются. Мы используем надежные алгоритмы шифрования, поэтому вы не можете расшифровать свои данные.
Но вы можете все восстановить, купив у нас специальную программу - универсальный декодер. Эта программа восстановит всю вашу сеть.
Следуйте нашим инструкциям ниже, и вы восстановите все свои данные.
Если вы продолжите игнорировать это в течение длительного времени, мы начнем сообщать о взломе в основные СМИ и публиковать ваши данные в темной сети.
Какие гарантии?
----------------------------------------------
Мы дорожим своей репутацией. Если мы не будем выполнять свою работу и обязательства, нам никто не будет платить. Это не в наших интересах.
Все наше программное обеспечение для дешифрования отлично протестировано и расшифрует ваши данные. Также окажем поддержку в случае возникновения проблем.
Мы гарантируем бесплатную расшифровку одного файла. Зайдите на сайт и свяжитесь с нами.
Как с нами связаться?
----------------------------------------------
Используя браузер TOR (https://www.torproject.org/download/):
http://babukq4e2p4wu4iq.onion/login.php?id=8M60J4vCbbkKgM6QnA07E9qpkn0Qk7
!!! ОПАСНО !!!
НЕ ИЗМЕНЯЙТЕ и НЕ пытайтесь ВОССТАНОВИТЬ какие-либо файлы сами. Мы НЕ сможем их ВЕРНУТЬ.
!!! ОПАСНО !!!


Скриншоты с сайта вымогателей:
 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов с помощью команды:
cmd.exe /c vssadmin.exe delete shadows /all /quiet


Список процессов, которые будут завершены: 
AcronisAgent, AcrSch2Svc, backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, CAARCUpdateSvc, CASAD2DWebSvc, ccEvtMgr, ccSetMgr, DefWatch, GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, Intuit.QuickBooks.FCS, memtas, mepocs, PDVFSService, QBCFMonitorService, QBFCService, QBIDPService, RTVscan, SavRoam, sophos, sql, stc_raw_agent, svc$, veeam, veeam, VeeamDeploymentService, VeeamNFSSvc, VeeamTransportSvc, VSNAPVSS, vss, YooBackup, YooIT, zhudongfangyu 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Использование алгоритма ChaCha8 и ECDH делает шифрование безопасным и не позволяет его взломать, чтобы расшифровать файлы. 

Файлы, связанные с этим Ransomware:
ecdh_pub_k.bin - специальный файл, содержащий открытый ECDH-
ключ; 
How To Restore Your Files.txt - название файла с требованием выкупа;
BABUK.exe - название вредоносного файла.



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%AppData%/ecdh_pub_k.bin

Записи реестра, связанные с этим Ransomware: 
См. ниже результаты анализов.

Мьютексы: 
См. ниже результаты анализов.

Скриншоты кода от исследователя Arkbird: 


 

Сетевые подключения и связи:
Tor-URL: babukq4e2p4wu4iq.onion 
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vasa Locker Ransomware - декабрь 2020
Babuk Locker Ransomware - декабрь 2020 - zydfhm 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 22 декабря 2020: 
Расширение: .__NIST_K571__
Записка: DECR.TXT
Email: babukrip@protonmail.ch
Специальный файл: ecdh_pub_k.bin
Файл: malware.exe_.exe
Результаты анализов: VT + VMR



➤ Содержание записки: 
----------- [ Hello! ] ------------->
       ******BY VASA LOCKER******
What happend?
----------------------------------------------
Your computers and servers are encrypted, backups are deleted from your network and copied. We use strong encryption algorithms, so you cannot decrypt your data.
But you can restore everything by purchasing a special program from us - a universal decoder. This program will restore your entire network.
Follow our instructions below and you will recover all your data.
If you continue to ignore this for a long time, we will start reporting the hack to mainstream media and posting your data to the dark web.
What guarantees?
----------------------------------------------
We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.
All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.
We guarantee to decrypt one file for free. Go to the site and contact us.
How to contact us? 
----------------------------------------------
Using EMAIL:
1) Open your mail
2) Write us: babukrip@protonmail.ch
YOUR PERSONAL ID, ATTACH IT:
435cbee78fecd7af05d85a5a905 [всего 288 знаков]
!!! DANGER !!!
DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them. 
!!! DANGER !!


Вариант от 14-18 января 2021:
Версия v3
Мьютес: babuk_v3
Расширение: .babyk
Записка: How To Restore Your Files.txt
Tor-URL: xxxx://babukq4e2p4wu4iq.onion
Файл: BABUK_2021-01-14_02-37.exe
Результаты анализов: VT + VMR + IA + AR




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage + Message
 ID Ransomware (ID as Babuk)
 Write-up, Topic of Support
 Added later: Write-up, Write-up 
 Thanks: 
 Glacius_, Arkbird, Emmanuel_ADC-Soft
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *