DarkRadiation

DarkRadiation Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель нацелен на дистрибутивы Linux на базе Red Hat и Debian. Оригинальное название: в записке не указано. Представляет собой большой набор Bash-скриптов. 
---
Обнаружения:
DrWeb -> Linux.BackDoor.Shell.107
ALYac -> Trojan.Linux.Generic.200858
BitDefender -> Trojan.Linux.Generic.200858
ESET-NOD32 -> Linux/TelegramBot.B
Kaspersky -> Backdoor.Shell.Agent.h
Symantec -> Ransom.DarkRadiation
TrendMicro -> Trojan.SH.TEGBOT.A
---

© Генеалогия: DarkRadiation

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в конце мая - начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Вся цепочка атак DarkRadiation реализована в виде Bash-скрипта. Вероятно, пока в стадии разработки. Большинство компонентов этой атаки нацелено на дистрибутивы Red Hat и CentOS Linux, но в некоторые сценарии — на дистрибутивы Linux на основе Debian. 

Bash-сценарий, или сценарий командной строки (скрипт), написанный для оболочки Bash, представляет собой текстовый файл с набором команд, которые выполнятся в определенном порядке, с определенными условиями. Bash-скрипт нужен для решения частых задач, помогает облегчить пользователям Linux ввод множества различных команд. Существуют и другие оболочки, например: zsh, tcsh, ksh. Ссылка >> 

Сценарии DarkRadiation имеют ряд зависимостей , включая wget, curl, sshpass, pssh и openssl. Если какие-то из них недоступны на инфицированном устройстве, то вредоносная программа попытается загрузить нужные инструменты с помощью YUM (Yellowdog Updater, Modified), менеджера пакетов на основе Python, широко используемого в популярных дистрибутивах Linux, таких как RedHat и CentOS.

Артефакты кода в том же сценарии показывают, что программа-вымогатель пытается остановить, отключить и удалить каталог /var/lib/docker , используемый Docker для хранения образов, контейнеров и локальных именованных томов. Несмотря на название функции, docker_stop_and_encrypt в своей текущей форме она действует исключительно как стиратель образов Docker. В инфраструктуре злоумышленника обнаружено несколько версий этих скриптов, вероятно, они находятся в стадии разработки и еще не готовы к полному развертыванию.

Программа-вымогатель использует другой скрипт bt_install.sh для настройки и тестирования бота Telegram, вписанного в локальный путь к файлу по адресу 

"/usr/share/man/man8/mon.8.gz". Поклонники кинотрилогии "Матрица" узнают сообщение "Knock knock Neo", включенный в bt_install сценарий оболочки.

Тот же сценарий устанавливает и включает службу под названием "griphon" для устойчивости. Если вредоносная программа запущена с правами администратора, служба устанавливается как "griphon.service" по умолчанию в путь "/etc/systemd/system/" и обеспечивает запуск Telegram-бота при каждой перезагрузке устройства. 

Сообщение написано в motd (приветствие в консоли): 

Содержание сообщения:

YOU WERE HACKED

Contact us on mail: nationalsiense@protonmail.com

您己被黑客入侵 ! 您的發据己被下莪并加密。请咲系 Email: nationalsiense@protonmail.com. 扣不联系皤件, 锊会袪采取更严重的措旌。

Перевод записки на русский язык:
ВЫ ВЗЛОМАНЫ

Пишите нам на mail: nationalsiense@protonmail.com

Вас взломали ! Ваши данные загружены и зашифрованы. Напишите нам на Email: nationalsiense@protonmail.com. Если не напишите, мы примем более серьезные меры.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Список не предоставлен, вероятно, среди зашифрованных могут оказаться файлы, аналогичные тем, что являются наиболее ценными в ОС Windows. 

Это документы, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр. Возможно, что следующий скриншот и демонстрирует типы файлов, которые могут быть зашифрованы. 

Файлы, связанные с этим Ransomware:
motd - файл с сообщением; 
mon.8.gz - название вредоносного файла; 

скрипты в наборе. 

Расположения:
/bin/bash

/etc

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nationalsiense@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9731cda791dae2d9443ce27547b0df7e

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as DarkRadiation)
 Research, Research, Topic of Support
 * 

 Thanks: 
 r3dbU7z, TrendMicro
 Andrew Ivanov (article author)
 Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.