DarkRadiation Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель нацелен на дистрибутивы Linux на базе Red Hat и Debian. Оригинальное название: в записке не указано. Представляет собой большой набор Bash-скриптов.
---
Обнаружения:
DrWeb -> Linux.BackDoor.Shell.107
ALYac -> Trojan.Linux.Generic.200858
BitDefender -> Trojan.Linux.Generic.200858
ESET-NOD32 -> Linux/TelegramBot.B
Kaspersky -> Backdoor.Shell.Agent.h
Symantec -> Ransom.DarkRadiation
TrendMicro -> Trojan.SH.TEGBOT.A
---
© Генеалогия: DarkRadiation
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: *нет данных*.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя была в конце мая - начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Вся цепочка атак DarkRadiation реализована в виде Bash-скрипта. Вероятно, пока в стадии разработки. Большинство компонентов этой атаки нацелено на дистрибутивы Red Hat и CentOS Linux, но в некоторые сценарии — на дистрибутивы Linux на основе Debian.
Bash-сценарий, или сценарий командной строки (скрипт), написанный для оболочки Bash, представляет собой текстовый файл с набором команд, которые выполнятся в определенном порядке, с определенными условиями. Bash-скрипт нужен для решения частых задач, помогает облегчить пользователям Linux ввод множества различных команд. Существуют и другие оболочки, например: zsh, tcsh, ksh. Ссылка >>
Сценарии DarkRadiation имеют ряд зависимостей , включая wget, curl, sshpass, pssh и openssl. Если какие-то из них недоступны на инфицированном устройстве, то вредоносная программа попытается загрузить нужные инструменты с помощью YUM (Yellowdog Updater, Modified), менеджера пакетов на основе Python, широко используемого в популярных дистрибутивах Linux, таких как RedHat и CentOS.
Артефакты кода в том же сценарии показывают, что программа-вымогатель пытается остановить, отключить и удалить каталог /var/lib/docker , используемый Docker для хранения образов, контейнеров и локальных именованных томов. Несмотря на название функции, docker_stop_and_encrypt в своей текущей форме она действует исключительно как стиратель образов Docker. В инфраструктуре злоумышленника обнаружено несколько версий этих скриптов, вероятно, они находятся в стадии разработки и еще не готовы к полному развертыванию.
Программа-вымогатель использует другой скрипт bt_install.sh для настройки и тестирования бота Telegram, вписанного в локальный путь к файлу по адресу
"/usr/share/man/man8/mon.8.gz". Поклонники кинотрилогии "Матрица" узнают сообщение "Knock knock Neo", включенный в bt_install сценарий оболочки.
Тот же сценарий устанавливает и включает службу под названием "griphon" для устойчивости. Если вредоносная программа запущена с правами администратора, служба устанавливается как "griphon.service" по умолчанию в путь "/etc/systemd/system/" и обеспечивает запуск Telegram-бота при каждой перезагрузке устройства.
Содержание сообщения:
Перевод записки на русский язык:
ВЫ ВЗЛОМАНЫ
YOU WERE HACKED
Contact us on mail: nationalsiense@protonmail.com
您己被黑客入侵 ! 您的發据己被下莪并加密。请咲系 Email: nationalsiense@protonmail.com. 扣不联系皤件, 锊会袪采取更严重的措旌。
Перевод записки на русский язык:
ВЫ ВЗЛОМАНЫ
Пишите нам на mail: nationalsiense@protonmail.com
Вас взломали ! Ваши данные загружены и зашифрованы. Напишите нам на Email: nationalsiense@protonmail.com. Если не напишите, мы примем более серьезные меры.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Список не предоставлен, вероятно, среди зашифрованных могут оказаться файлы, аналогичные тем, что являются наиболее ценными в ОС Windows.
Это документы, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр. Возможно, что следующий скриншот и демонстрирует типы файлов, которые могут быть зашифрованы.
Файлы, связанные с этим Ransomware:
motd - файл с сообщением;
mon.8.gz - название вредоносного файла;
скрипты в наборе.
/etc
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: nationalsiense@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: nationalsiense@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 9731cda791dae2d9443ce27547b0df7e
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as DarkRadiation) Research, Research, Topic of Support *
Thanks: r3dbU7z, TrendMicro Andrew Ivanov (article author) Michael Gillespie to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.