Hog

Hog Ransomware

Hog-Discord Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует присоединиться Discord-серверу вымогателей, чтобы автоматически расшифровать файлы. Оригинальное название: Hog Ransomware. На файле написано: HogRansomware.exe версия 1.0.0.0.

---
Обнаружения:
DrWeb -> Trojan.Encoder.33567
BitDefender -> Gen:Heur.Ransom.MSIL.1
Avira (no cloud) -> TR/Ransom.knzit
ESET-NOD32 -> MSIL/Filecoder.AFW
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Hog
Microsoft -> Ransom:MSIL/Hog.DA!MTB

Qihoo-360 -> Win32/Ransom.Generic.HgIASO8A
Rising -> Ransom.Hog!1.D38D (CLOUD)
Symantec -> ***
Tencent -> Msil.Trojan.Agent.Phzs
TrendMicro -> Ransom_Hog.R011C0DBG21
---

© Генеалогия: ??? >> Hog

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hog


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - конец февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает файл DECRYPT-MY-FILES.exe, представлющий собой информационный экран со следующим текстом и модулем расшифровки файлов: 

Содержание текста со скриншота:

Attention!

Your personal files have been encrypted by the Hog Ransomware.

They have been encrypted using unbreakable AES-256 encryption.

A ".hog" file extension has been appended to the encrypted files.

Please do not remove it, as it is needed to locate and decrypt them.

Attempting to modify the encrypted files can result in irreversible data loss.

In order to decrypt your files, you will need to join our Discord server.

Once you have joined, enter your Discord account token in the box below.

Press "Decrypt My Files!" and if you have joined, your files will be decrypted.

Have a nice day!

Перевод текста на русский язык:

Внимание!

Ваши личные файлы зашифрованы Hog Ransomware.

Они зашифрованы с помощью неуязвимого шифрования AES-256.

К зашифрованным файлам добавлено расширение ".hog".

Не удаляйте его, т.к. оно нужно для их обнаружения и расшифровки.

Попытка изменить зашифрованные файлы может привести к потере данных.

Для расшифровки файлов нужно присоединиться к нашему Discord-серверу.

После присоединения введите токен своего аккаунта Discord в поле ниже.

Нажмите "Decrypt My Files!" и если вы присоединились, ваши файлы расшифруются.

Хорошего дня!

Таким образом, пострадавшему сообщается, что случилось, что нужно сделать и предлагается ввести свой токен пользователя Discord. 

Токен Discord позволяет программе-вымогателю пройти аутентификацию в API Discord в качестве пользователя и проверить, присоединились ли они к их серверу, как показано в исходном коде ниже.

Если пострадавший присоединился к серверу или сервер уже не существует, Hog Ransomware расшифрует файлы, используя встроенный статический ключ. 

Хотя эта программа-вымогатель еще находится в разработке, она в очередной раз подтверждает, что злоумышленники все чаще используют Discord для злонамеренных действий. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
HogRansomware.exe - название вредоносного файла; 

DECRYPT-MY-FILES.exe - название файла с информацией и модулем расшифровки файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Ссылка на Discord: hxxxs://discord.com/invite/9ac282CEqh

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Файлы можно расшифровать, выполнив простое требование. 
Кроме того, статический ключ вшит в саму программу. 

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.