KhalsaCrypt, Sarbloh

KhalsaCrypt Ransomware

Sarbloh Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем выдвигает требования в поддержку фермеров в Индии. Оригинальное название: KhalsaCrypt. На файле написано: profile16146815778005vw0qb.exe или что-то другое. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33546
BitDefender -> Gen:Variant.Razy.849331
ESET-NOD32 -> A Variant Of Win32/Filecoder.OGB
Kaspersky -> Trojan-Ransom.Win32.Agent.azsx
Malwarebytes -> Ransom.Sarbloh
Microsoft -> Trojan:Win32/Ymacco.AAAC
Rising -> Ransom.Agent!1.D360 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Dzjp
TrendMicro -> TrojanSpy.Win32.POSSIBLETHREAT.USMANC321
---

© Генеалогия: безымянный OSR >> KhalsaCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sarbloh


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных и индийских пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README_SARBLOH.txt

Содержание записки о выкупе:

YOUR FILES ARE GONE!!!

THEY WILL NOT BE RECOVERABLE UNTIL THE DEMANDS OF THE FARMERS HAVE BEEN MET

WHAT HAPPENED TO THEM?

Using military grade EnCryPtiOn all the files on your system have been made useless.

India, Sikhs have long been the face against the oppression placed upon them.

Each time we have resisted.

Today you come for the very throats of Hindu, Sikh, and Muslim farmers by trying to take their livelihood.

You will not succeed in your sinister ways.

The two-sided sword of the Khalsa is at any moments notice. Tyaar bar tyaar.

Wherever our blood is spilled, the tree of Sikhi uproots from there.

If your intentions for the farmer's are pure and

you wish to help them, this is not the way.

Halemi Raj, Sikh Raj, was not this way.

If the laws are not repealed. Your fate is no

different to what the Khalsa did to Sirhind.

Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh

Khalsa Cyber Fauj

Перевод записки на русский язык:

ВАШИ ФАЙЛЫ ПРОПАЛИ !!!

ИХ НЕЛЬЗЯ ВОССТАНОВИТЬ, ПОКА НЕ ВЫПОЛНЕНЫ ТРЕБОВАНИЯ ФЕРМЕРОВ.

ЧТО С НИМИ СЛУЧИЛОСЬ?

При использовании ШиФроВанИя военного уровня все файлы в вашей системе стали бесполезными.

В Индии сикхи долгое время были лицом к лицу с наложенным на них угнетением.

Каждый раз мы сопротивлялись.

Сегодня вы попадаете в самое горло индуистских, сикхских и мусульманских фермеров, пытаясь лишить их средств к существованию.

Вы не добьетесь успеха на своем зловещем пути.

Двусторонний меч Хальсы заметен в любой момент. Всегда наготове.

Где бы ни пролилась наша кровь, дерево Сикхи вырывается с корнем.

Если ваши намерения относительно фермера чисты и

вы хотите им помочь, это не выход.

Халеми Радж, сикхский Радж, не был таким.

Если законы не отменят. Твоя судьба нет отличается от того, что Хальса сделала с Сирхиндом.

Waheguru Ji Ka Khalsa, Waheguru Di Ki Fateh

Khalsa Cyber Fauj

Другим информатором жертвы выступает экран с текстом.

Текст почти аналогичен тому, что есть в текстовой записке. 

Нет никаких контактов и адресов для уплаты выкупа. 

По всей видимости это сообщение направлено в поддержку протестов индийских фермеров. В 2020 году правительство Индии приняло новые "Законы о сельском хозяйстве Индии 2020 года", которые, по мнению правительства, нужны для модернизации сельскохозяйственной отрасли. Фермеры считают, что эти новые законы нанесут ущерб их средствам к существованию и затруднят получение доходов от продажи товаров. С ноября 2020 года тысячи индийских фермеров протестуют против этих законопроектов. 

Но данные действия не оправдывают вымогателей, которые из активистов стали хактивистами. Вымогатели, даже требующие принятия каких-то мер, вместо выплаты выкупа, всё равно являются преступниками, т.к. причиняют вред файлам пользователей. Политическая позиция не оправдывает их действий, а только увеличивает вину. 

Технические детали

Распространяется с помощью email-спама и вредоносных вложений в виде документов Word с вредоносными макросами. 

Кроме того, может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Схема запуска вредоносного файла:

Если разрешить содержимое, то, макросы загружают файл с именем putty.exe с помощью bitsadmin.exe в папку "Документы" и запускают.

Список файловых расширений, подвергающихся шифрованию:

.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .dat, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (179 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_SARBLOH.txt - название файла с требованием выкупа;
profile16146815778005vw0qb.exe (profile16146815778005vw0qb.png) - название вредоносного файла, который загружается как файл изображения;

putty.exe - исполняемый вредоносный файл; 

bitsadmin.exe - программа администрирования BITS в составе Windows, используемая для загрузки обновлений безопасности; это свойство службы использует киберпреступники.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

\Documents\putty.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs3.ap-south-1.amazonaws.com/ans.video.input/***

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>

𝚺  VirusTotal analysis (Doc1.docm) >>

🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>

⟲ JOE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 Added later: Write-up by BC 
 Added later: Write-up, Write-up, 

 Thanks: 
 MBThreatIntel, Petrovic, Michael Gillespie
 Andrew Ivanov (article author)
 Lawrence Abrams, 
Tejaswini Sandapolla (QuickHeal), cybleinc (Cyble)
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.