KhalsaCrypt Ransomware
Sarbloh Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем выдвигает требования в поддержку фермеров в Индии. Оригинальное название: KhalsaCrypt. На файле написано: profile16146815778005vw0qb.exe или что-то другое.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33546
BitDefender -> Gen:Variant.Razy.849331
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGB
Kaspersky -> Trojan-Ransom.Win32.Agent.azsx
Malwarebytes -> Ransom.Sarbloh
Microsoft -> Trojan:Win32/Ymacco.AAAC
Rising -> Ransom.Agent!1.D360 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Dzjp
TrendMicro -> TrojanSpy.Win32.POSSIBLETHREAT.USMANC321
---
© Генеалогия: безымянный OSR >> KhalsaCrypt
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .sarbloh
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных и индийских пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: README_SARBLOH.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
YOUR FILES ARE GONE!!!
THEY WILL NOT BE RECOVERABLE UNTIL THE DEMANDS OF THE FARMERS HAVE BEEN MET
WHAT HAPPENED TO THEM?
Using military grade EnCryPtiOn all the files on your system have been made useless.
India, Sikhs have long been the face against the oppression placed upon them.
Each time we have resisted.
Today you come for the very throats of Hindu, Sikh, and Muslim farmers by trying to take their livelihood.
You will not succeed in your sinister ways.
The two-sided sword of the Khalsa is at any moments notice. Tyaar bar tyaar.
Wherever our blood is spilled, the tree of Sikhi uproots from there.
If your intentions for the farmer's are pure and
you wish to help them, this is not the way.
Halemi Raj, Sikh Raj, was not this way.
If the laws are not repealed. Your fate is no
different to what the Khalsa did to Sirhind.
Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh
Khalsa Cyber Fauj
Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ПРОПАЛИ !!!
ИХ НЕЛЬЗЯ ВОССТАНОВИТЬ, ПОКА НЕ ВЫПОЛНЕНЫ ТРЕБОВАНИЯ ФЕРМЕРОВ.
ЧТО С НИМИ СЛУЧИЛОСЬ?
При использовании ШиФроВанИя военного уровня все файлы в вашей системе стали бесполезными.
В Индии сикхи долгое время были лицом к лицу с наложенным на них угнетением.
Каждый раз мы сопротивлялись.
Сегодня вы попадаете в самое горло индуистских, сикхских и мусульманских фермеров, пытаясь лишить их средств к существованию.
Вы не добьетесь успеха на своем зловещем пути.
Двусторонний меч Хальсы заметен в любой момент. Всегда наготове.
Где бы ни пролилась наша кровь, дерево Сикхи вырывается с корнем.
Если ваши намерения относительно фермера чисты и
вы хотите им помочь, это не выход.
Халеми Радж, сикхский Радж, не был таким.
Если законы не отменят. Твоя судьба нет отличается от того, что Хальса сделала с Сирхиндом.
Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh
Khalsa Cyber Fauj
Другим информатором жертвы выступает экран с текстом.
Текст почти аналогичен тому, что есть в текстовой записке.
Нет никаких контактов и адресов для уплаты выкупа.
По всей видимости это сообщение направлено в поддержку протестов индийских фермеров. В 2020 году правительство Индии приняло новые "Законы о сельском хозяйстве Индии 2020 года", которые, по мнению правительства, нужны для модернизации сельскохозяйственной отрасли. Фермеры считают, что эти новые законы нанесут ущерб их средствам к существованию и затруднят получение доходов от продажи товаров. С ноября 2020 года тысячи индийских фермеров протестуют против этих законопроектов.
Но данные действия не оправдывают вымогателей, которые из активистов стали хактивистами. Вымогатели, даже требующие принятия каких-то мер, вместо выплаты выкупа, всё равно являются преступниками, т.к. причиняют вред файлам пользователей. Политическая позиция не оправдывает их действий, а только увеличивает вину.
Технические детали
Распространяется с помощью email-спама и вредоносных вложений в виде документов Word с вредоносными макросами.
Кроме того, может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Схема запуска вредоносного файла:
Если разрешить содержимое, то, макросы загружают файл с именем putty.exe с помощью bitsadmin.exe в папку "Документы" и запускают.
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai,
.ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c,
.cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .dat, .db, .dbf, .dch, .der,
.dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb,
.eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java,
.jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf,
.mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb,
.odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ,
.pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm,
.ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh,
.sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti,
.stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif,
.tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx,
.wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx,
.xlt, .xltm, .xltx, .xlw, .zip (179 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README_SARBLOH.txt - название файла с требованием выкупа;
profile16146815778005vw0qb.exe (profile16146815778005vw0qb.png) - название вредоносного файла, который загружается как файл изображения;
Файлы, связанные с этим Ransomware:
README_SARBLOH.txt - название файла с требованием выкупа;
profile16146815778005vw0qb.exe (profile16146815778005vw0qb.png) - название вредоносного файла, который загружается как файл изображения;
putty.exe - исполняемый вредоносный файл;
bitsadmin.exe - программа администрирования BITS в составе Windows, используемая для загрузки обновлений безопасности; это свойство службы использует киберпреступники.
\Documents\putty.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: hxxxs3.ap-south-1.amazonaws.com/ans.video.input/***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: hxxxs3.ap-south-1.amazonaws.com/ans.video.input/***
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support Added later: Write-up by BC Added later: Write-up, Write-up,
Thanks: MBThreatIntel, Petrovic, Michael Gillespie Andrew Ivanov (article author) Lawrence Abrams, Tejaswini Sandapolla (QuickHeal), cybleinc (Cyble)
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.