Если вы не видите здесь изображений, то используйте VPN.

пятница, 5 февраля 2021 г.

CashCat

CashCat Ransomware Simulator

CryptoLocker Ransomware Simulator

(шифровальщик-симулятор) (первоисточник)
Translation into English



Этот крипто-симулятор шифрует файлы только в папке с текстовыми файлами, куда он должен быть предварительно помещен. Чтобы разблокировать и расшифровать файлы нужно ввести код 123456789. Оригинальное название: в записке не указано. На файле написано: CashCat.exe. Разработчик: Lee Berg. 
---
Обнаружения:
DrWeb -> Joke.Encoder.1006
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Hoax.FakeFilecoder.FV
Kaspersky -> ***
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cashcat.SA!MTB
Rising -> Trojan.Generic/MSIL@AI.96 (RDM.MSIL:vr*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ransom.Agup
TrendMicro -> Ransom_Cashcat.R002C0DC521
---

© Генеалогия: ✂ WannaCry >> CashCat Ransomware Simulator


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Первичная информация была опубликована в конце февраля 2021 г. Разработчик представил свой крипто-симулятор в хранилище на сайте GitHub. Предназначение: имитировать поведение программы-вымогателя для демонстрации и тестирования различных инструментов мониторинга файлов и систем реагирования.

К зашифрованным файлам добавляются расширения из заготовленного списка известных расширений из других Ransomware:
.AngryDuck
.BitCryptor
.BOMBO
.CommonRansom
.CoronaLock
.Crypt0L0cker
.D00mEd
.Dablio
.DIABLO6
.FrozrLock
.GoldenEye
.Horriblemorning
.Lazarus
.locky
.nuclear
.PayDay
.pedro
.petra
.PrOtOnIs
.satan
.SHARK
.TROLL
.weapologize
.write_us_on_email
.zeppelin

Записка с требованием выкупа написана на экране блокировки. 
Текст является условным вымогательством. Это только имитирует вымогательство, на самом деле тут же предлагается ввести код разблокировки и расшифровать демонстрационные текстовые файлы.  

По замыслу разработчика, симулятор использует разные расширения, собранные из проектов вымогателей. В зависимости от этого в заголовке программы будет меняться название. В примерах ниже видно два таких названия: CryptoLocker Simulator и CashCat Ransomware Simulator. Еще могут быть названия WannaCry Simulator и BTCWare Simulator. 





Содержание записки о выкупе:

Ooops, your files have been encrypted!
Your important files are now encrypted!
To decrypt files you need to obtain the private key. The Single copy of the private key which allow you to decrypt the files is on a secret server on the internet dark web. The server will destroy the key after a time specified in this window.
To obtain the private key for this computer, you need dot pay 300 USD / 300 EUR similar amount in other ***
---
Your files are being locked using a unique public RSA-4096 generated for this computer. Once the encryption operations are completed you will be unable to access your files without obtaining a special key from our internet dark web cyber server.
---
Denied, incorrect passkey! (HINT: try: 123456789)
---
Unlocked! Thanks! Your files will now be decrypted
---
Decrypted... have a nice day!
---
Congratulations! Your files are being unlocked using the unique public RSA-4096 generated for this computer
---
Welcome to your CashCat Key Backup Log File!


Скриншоты процесса расшифровки файлов

Проводится демонстрация шифрования txt-файлов.  
Предлагается ввести корректный код разблокировки.  
Подсказывается, что нужно ввести код: 123456789
Сообщается, что введенный код правильный.
Файлы расшифровываются. 
Белый замок на фоне программы открывается. 








Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
CashCat.pdb - файл проекта симулятора; 
CashCat.exe - название файла симулятора; 
CashCat.log - файл журнала. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\lee\git\CashCatRansomwareSimulator\CashCat\obj\Debug\CashCat.pdb
C:\Users\User\AppData\Local\Temp\CashCat.exe
C:\Users\User\AppData\Local\Temp\CashCat.log


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
BTC: 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: e22f15441e597430b069dad9f72889fc
SHA-1: 6310f4db3726fdb52514718a402ede2db38c71bd
SHA-256: fa6855733a1cca500f3088b535808fc8093d67cadc9b34ad4ca7ec0170b25e03
Vhash: 255036651512208d18d502a
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744



Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 Lee Berg
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *