Если вы не видите здесь изображений, то используйте VPN.

четверг, 15 апреля 2021 г.

Maui

Maui Ransomware

MauiCrypt Ransomware

Maui Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель развертывается 
вручную в скомпрометированных сетях жертв, а удаленные операторы нацелены на определенные файлы, которые они хотят зашифровать. Файлы шифруются с помощью алгоритма AES (режим CBC). Для защиты ключа используется RSA-1024. Оригинальное название: Maui. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.35555
BitDefender -> Trojan.GenericKD.50592086, Gen:Variant.Zusy.422033
ESET-NOD32 -> A Variant Of Win32/Filecoder.OLU
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen
Malwarebytes -> Ransom.Maui, Ransom.FileCryptor
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan.Gen.2, Trojan Horse
Tencent -> Win32.Trojan.Filecoder.Oyom, Win32.Trojan.Filecoder.Hssk
TrendMicro -> Ransom.Win32.MAUICRYPT.YACC5, Ransom.Win32.MAUICRYPT.SMYACC5



© Генеалогия: ??? >> Maui 


Сайт "ID Ransomware" это идентифицирует как Maui


Информация для идентификации

Первый образец этого крипто-вымогателя был найден в конце мая 2021 г., хотя он и другие были созданы 15 апреля 2021. Ориентирован на  англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам никакое расширение не добавляется. 

Добавляет в начало зашифрованных файлов маркер "TPRC" + исходный размер файла (выделенная область на скриншоте). Кроме того сохраняет исходное имя файла и папки в очень странном формате. 



В основном все атаки направлены на Healthcare and Public Health (HPH) - организации здравоохранения в США. ФБР считает, что это хакеры из Северной Кореи проводили шифрование серверов, отвечающих за медицинские услуги, включая службы электронных медицинских карт, службы диагностики, службы визуализации и службы интрасети. 

Записка с требованием выкупа не используется или по каким-то причинам не оставляется

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробности о шифровании:
Файлы шифруются с помощью AES в режиме CBC с использованием 32-байтового ключа, генерируемого для каждого файла. Ключи имеют префикс в виде жестко закодированной строки dogd, за которой следуют 28 байт, сгенерированных с помощью RAND_bytes().3 
Каждый файл, зашифрованный Maui, содержит пользовательский заголовок, позволяющий 
вредоносной программе идентифицировать зашифрованные файлы. Этот заголовок включает исходный путь к файлу и копию AES-ключа, зашифрованную с помощью открытого ключа RSA). 
Из малого числа образцов неясно, является ли этот жестко закодированный открытый ключ уникальным для кампаний, целевых сетей или отдельных операторов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые файлы:
.bat, .cmd, .com, .exe

Файлы, связанные с этим Ransomware:
Maui.exe - название вредоносного файла;
aui.exe - название вредоносного файла;
proc.exe - название вредоносного файла;
maui.evd - закрытый RSA-ключ, генерируемый во время выполнения, зашифрованный с помощью жестко заданного открытого ключа; 
maui.key - открытый RSA-ключ, генерируемый во время выполнения, кодируется с помощью XOR-ключа, сгенерированного на основе информации с жесткого диска; 
maui.log - файл журнала с результатами выполнения; 
dgod.bat, demigod.key - специальный файлы. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 4118d9adce7350c3eedeb056a3335346
SHA-1: c0e6d59e99e4adb58a2f57abf0deba61dee55c2f
SHA-256: 5b7ecf7e9d0715f1122baf4ce745c5fcd769dee48150616753fec4d6da16e99e
Vhash: 075056655d55555038z6enz3fz
Imphash: b7270585cf85c21db1df48e009263fb6
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 2d02f5499d35a8dffb4c8bc0b7fec5c2
SHA-1: 870ccd59ad2d3808c014c7c1dcc8a54de375db0c
SHA-256: 830207029d83fd46a4a89cd623103ba2321b866428aa04360376e6a390063570
Vhash: 075056655d55555038z6enz3fz
Imphash: b7270585cf85c21db1df48e009263fb6
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 9b0e7c460a80f740d455a7521f0eada1
SHA-1: 271b90824c7bb1de98c7fa9dae6dcd59d8a0bd64
SHA-256: 45d8ac1ac692d6bb0fe776620371fca02b60cac8db23c4cc7ab5df262da42b78
Vhash: 075056655d55555038z6enz3fz
Imphash: b7270585cf85c21db1df48e009263fb6

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
Added later: Write-up + Write-up (on July 6, 2022)
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *