Bam-2021

Bam-2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Mau bao cao 2.docx.exe. 

Фактически Bam-2021 повторяет собой Bam! Ransomware из 2017 года, но файл был изменен несколько раз. Более того, нет никаких данных о том, что за ним стоят те же разработчики, в новой версии нет email-контакта. Более того, прошло почти 4 года, это много по любым меркам. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34003
Avira (no cloud) -> TR/FileCoder.whnqx
BitDefender -> DeepScan:Generic.Ransom.Bam.EDBFCFA5
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEB
Kaspersky -> HEUR:Trojan-Ransom.Win32.Cryptor.gen
Malwarebytes -> Malware.AI.2716773224
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Ecup
TrendMicro -> TROJ_GEN.R002H09F421
---

© Генеалогия: Bam! (2017) > Bkav > пропуск в 4 года > Bam-2021

Сайт "ID Ransomware" это идентифицирует как Bam! .

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Вероятно сделан во Вьетнаме, если Google-переводчик правильно определил слова "Mau bao cao" (Mẫu báo cáo), написанные на распространяемом вредоносном файле. 

К зашифрованным файлам добавляется расширение: .bam!

Зашифрованные файлы также помечаются специальным маркером: .bam! 

Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола: 

Содержание записки о выкупе:

YOUR COMPUTER AND FILES ARE ENCRYPTED

Your files will be lost on: 23:58:26

Encryption was made with a special crypto-code!

There are NO CHANCE to decrypt it without our special software and your unique private key!

To decrypt files. Send $300 worth of bitcoin to this address:

1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE

Перевод записки на русский язык:

ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ

Ваши файлы будут потеряны: 23:58:26

Шифрование сделано специальным криптокодом!

НЕТ ШАНСА расшифровать это без нашей специальной программы и вашего уникального закрытого ключа!

Для расшифровки файлов. Отправьте $300 в биткойнах на этот адрес:

1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
.3dm, .3ds, .accdb, .ARC, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .der, .dif, .doc, .docm, .docx, .dot, .dotm, .dwg, .eml, .fla, .flv, .frm, .gif, .hwp, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .odb, .odp, .ods, .odt, .p12, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sql, .sqlite3, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tgz, .tif, .tiff, .txt, .vbs, .vdi, .vmdk, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (122 типа файлов). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бекапы и пр.

Файлы, связанные с этим Ransomware:
Notify.jpg - название файла с требованием выкупа; 
Mau bao cao 2.docx.exe - название вредоносного файла; 

SimulationSpyware.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\TuongND\Desktop\APTClient\Release\SimulationSpyware.pdb

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2455352368-1077083310-2879168483-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Notify.jpg"

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR

MD5: 84ffb87cc91d697db2f5685df68de7af

SHA-1: 4f0360d60b685ed6059d32aef24c6b3cbbd46e9e

SHA-256: 10bba07a1965c61a2ec05b46331e3eeda3d7bdeb8074c86009dc11f2564048fa

Vhash: 026056655d1555114z31b007f7z6055z10a00593z20a7z

Imphash: 657339296770e8f5651105f5b71d90d4

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bam! (Bam) Ransomware - июль 2017

Bkav Ransomware - август 2017 

--- 4 года пропуска ---

Bam! Ransomware - июнь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.