четверг, 14 января 2021 г.

Cring, Crypt3r

Cring Hand-Ransomware

Crypt3r Ransomware

Variants: CRING, RSA, Vjiszy1lo, Ghost, Phantom, VnBeHa99y, Pay4it

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей и серверов с помощью AES-256 + RSA-8192, а затем требует выкуп в ~2 BTC, чтобы вернуть файлы. Оригинальное название проекта: cring.pdb. На файле написано: cring.exe и Crypt3r. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop15.64785
BitDefender -> Gen:Variant.Bulz.259226
Avira (no cloud) -> TR/Ransom.knziq
ESET-NOD32 -> MSIL/Filecoder.AEJ
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Cring
Microsoft -> Ransom:MSIL/Filecoder.EL!MTB
Qihoo-360 -> Generic/Trojan.4ac
Rising -> Ransom.Filecoder!8.55A8 (TFE:C:c*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Taex
TrendMicro -> Ransom_Filecoder.R002C0DLM20
---

© Генеалогия: ??? >> Cring (
Crypt3r)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .cring
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась начало декабря 2020 - середину января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Сообщается, что жертвами этих атак являются промышленные предприятия некторых стран Европы. 

Записка с требованием выкупа называется: deReadMe!!!.txt


Содержание записки о выкупе:
Sorry, your network is encrypted, and most files are encrypted using special technology. The file cannot be recovered by any security company. If you do not believe that you can even consult a security company, your answer will be that you need to pay the corresponding fees, but we have a good reputation. After receiving the corresponding fee, we will immediately send the decryption program and KEY. You can contact us to get two file decryption services, and then you will get all decryption services after paying our fee, usually the cost is about 2 bitcoins.    Contact: eternalnightmare@tutanota.com     qkhooks0708@protonmail.com

Перевод записки на русский язык:
Извините, ваша сеть зашифрована, а большинство файлов зашифрованы, по специальной технологии. Ни одна компания по безопасности не сможет восстановить файл. Если вы не верите, что можете проконсультироваться в компании по безопасности, ваш ответ будет в том, что вам нужно заплатить соответствующий взнос, но у нас хорошая репутация. После получения соответствующего взноса мы сразу же вышлем программу расшифровки и КЛЮЧ. Вы можете написать нам, чтобы получить 

расшифровку двух файлов, и тогда после оплаты нашей комиссии вы получите все услуги по расшифровке, обычно стоимость около 2 биткойнов. Контакт: eternalnightmare@tutanota.com qkhooks0708@protonmail.com



Технические детали

Для распространения используется язвимость в серверах Fortigate VPN. Подробнее смотрите в отчёте специалистов Kaspersky. С помощью устройства Fortinet VPN операторы Cring перемещаются по корпоративной целевой сети, похищая учетные данные пользователей Windows с помощью инструмента Mimikatz, чтобы получить доступ к аккаунта администратора домена. Затем "полезные нагрузки" этого Ransomware доставляются на устройства жертв с помощью фреймворка Cobalt Strike, развернутого с помощью вредоносного сценария PowerShell.

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Согласно информации от пострадавших от 7 декабря 2020, ранняя версия шифровала только файлы DOC и TXT. 
Январская версия шифровала документы MS Office, а также файлы: .csv, .db, .dwg, .mdb, .pdf, .rar, .txt, .xml, .zip,

После доработки среди зашифрованных оказались: все документы MS Office, PDF, текстовые файлы, файлы образов, архивы и пр.

Доработанная версия вредоноса удаляла файлы резервных копий с расширениями: .VHD, .bac, .bak, .wbcat, .bkf, .set, .win, .dsk. Кроме того удалялись файлы и папки, расположенные в корневой папке диска, если их имена включали "Backup" или "backup". Эти команды выполнялись файлом kill.bat, который потом тоже удалялся.  

➤ В атаке используется PowerShell и CobaltStrike (VT + VT + IA). Как известно, 
CobaltStrike — это дорогой коммерческий фреймворк для эксплуатации и постэксплуатации ($3500 на 1 год на 1 пользователя), но на GitHub есть репозиторий, который содержит исходные коды CobaltStrike, потому он может использоваться небольшой группой вымогателей без покупки. 

Файлы, связанные с этим Ransomware:
deReadMe!!!.txt - название файла с требованием выкупа;
kill.bat - специальный файл с командами для остановки некоторых процессов и очищения бекапов на всех дисках:
@echo off net stop BMR Boot Service /y net stop NetBackup BMR MTFTP Service /y sc config SQLTELEMETRY start= disabled sc config SQLTELEMETRY$ECWDB2 start= disabled sc config SQLWriter start= disabled sc config SstpSvc start= disabled taskkill /IM mspub.exe /F taskkill /IM mydesktopqos.exe /F taskkill /IM mydesktopservice.exe /F del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk del %0 
cring.pdb - оригинальное название файла проекта; 
cring.exe - название вредоносного файла.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\FuckCrowStrike\Desktop\NewCring\Crypt3r\obj\Release\cring.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: eternalnightmare@tutanota.com, qkhooks0708@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 26 января 2021:
Впервые видим программу, использующую алгоритм RSA-8192.
Расширение: .RSA
Записка: !!!!deReadMe!!!.txt
Email: poolhackers@tutanota.com, eternalnightmare@tutanota.com 
➤ Содержание записки: 
Sorry, your network is encrypted, and encryption is achieved through rsa, which means that the decryption service can only be provided by us. You cannot decrypt data through a security company. They will only contact us to pay the fee. We recommend that you pay 2 bitcoins directly to us , Or send two files to confirm whether we can decrypt, you need to deal with it as soon as possible, because the key file necessary for decryption will not be kept.    Contact:   poolhackers@tutanota.com    eternalnightmare@tutanota.com 


Обновление от 26 января 2021:
Образцы: 
38217fa569df8f93434959c1c798b29d
8d156725c6ce172b59a8d3c92434c352
8d1650e5e02cd1934d21ce57f6f1af34
d8415a528df5eefcb3ed6f1a79746f40

Вариант от 1 марта 2021:
Точное родство не установлено, может быть вариантом Crypt3r Ransomware или Parasite Ransomware
Расширение-1: .vjiszy1lo
Расширение-2: .vjiszy1lo.1lo_decryptkey.vjiszy1lo
Расширение с повтором: .vjiszy1lo.1lo_decryptkey.vjiszy1lo.1lo_decryptkey.vjiszy1lo 
И далее, добавляя дальше то же самое. 
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: shadowghosts@tutanota.com, fortihooks@protonmail.com



➤ Содержание записки: 
==================================================
YOUR ID : {2e8d8b9a-affa-4b20-ad9d-25302f64cb55}
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
OOPS! YOUR IMPORTANT F1LES HAS BEEN ENC:(RYPTED !!!
DO NOT WORRY! FILES ARE SAFE! JUST MODIFIED ONLY. (RSA + AES)
++++++++++++++++++++++++++++++++++++++++++++++++++
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY
SOFTWARE WILL PERMENANTLY DESTORY YOUR FILE !!!
NO SOFTWARE AVALIABLE ON INTERNET CAN HELP YOU!
ONLY WE HAVE SOLUTION TO YOUR PROBLEM.
WE ONLY SEEK MONEY AND DO NOT WANT TO DAMAGE YOUR REPUTATION.
----------------------------------------------------------------
YOU NEED TO PAY 2.0 BITCOINS TO OUT ACCOUNT, AFTER THE PAYMENT
IS CONFIRMED, WE WILL IMMEDIATELY DELETE ALL OF YOUR FILES ON
OUR SERVER AND SEND THE DECRYPTION PROGRAM AND PRIVATE KEY TO YOU.
IF YOU DECIDE TO NOT PAY OR THERE IS NO PAYMENT WITHIN 7-DAYS,
WE WILL DELETE THE DECRYPTION KEY FROM OUT DATABASE, AND SOME 
OF YOUR IMPORTANT DATA WILL BE RELEASE TO PUBLIC OR RE-SELL!
DO NOT KNOW HOW TO BUY BITCOIN ? JUST GOOGLE IT:)
----------------------------------------------------------------
CONTACT US FOR PAYMENT CONFIRMTION AND GET DECRYPTION SOFTWARE :
shadowghosts@tutanota.com
fortihooks@protonmail.com (IF NO ANSWER WITHIN 24-HOURS)
==================================================
---
Файл: SchoolPrject1.exe
Результаты анализов: VT + IA
 Обнаружения: 
DrWeb -> Trojan.EncoderNET.31371
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.vbfqb
BitDefender -> Generic.Ransom.HydraCrypt.9A3E2D9A
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFI
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.KillFiles
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Anql
TrendMicro -> Ransom_RAMSIL.SM


Вариант от 14 марта 2021:
Точное родство не установлено, может быть вариантом Crypt3r Ransomware или Parasite Ransomware
Расширение: .jpghosts
Записки: HOW_CAN_GET_FILES_BACK.rtf, HOW_CAN_GET_FILES_BACK.txt
Файл: Ghost.exe
Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33817, Trojan.Encoder.33818
BitDefenderTrojan.GenericKD.45914521, Trojan.GenericKD.45940669
ESET-NOD32MSIL/Filecoder.AGT
MalwarebytesRansom.Parasite
MicrosoftTrojanDownloader:O97M/Obfuse.TB!MTB
RisingRansom.Agentb!8.1139A (CLOUD)
SymantecTrojan Horse
TencentMsil.Trojan.Agentb.Lned
TrendMicroRansom.Win32.GHOST.ZTIC

Вариант от 17 марта 2021: 
Точное родство не установлено, может быть вариантом Crypt3r Ransomware или Parasite Ransomware
Используется шифрование: AES-256 + RSA-8192
Кроме того используется название: Ghost. 
В IDR записан как Crypt3r / Ghost
Расширение: .phantom
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: rsaecho@tutanota.com, shadowghosts@tutanota.com


Вариант от 30 марта 2021:
Расширение: .VnBeHa99y
В оригинальных файлах стерто содержимое.  
Записка: HOW_TO_GET_FILES_BACK.txt
Email: securityaccounts@tutanota.com, brendasrivera@tutanota.com


Вариант от 11 апреля 2021:
Расширение: .pay4it




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as Crypt3r)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 quietman7, Karsten Hahn
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *