Mcburglar, MCB

Mcburglar Ransomware 

MCB Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные локальной сети бизнес-пользователей с помощью AES+RSA, а затем требует связаться через Tor-сайт, чтобы узнать. как заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Mcburglar и MCB. На файле написано: MCB.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.33994, Trojan.Encoder.34011
ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/Ransom.tutlf
BitDefender -> Trojan.GenericKD.46417837
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIZ
Malwarebytes -> Ransom.FileLocker, Ransom:Win32/Cobra
Microsoft -> Ransom:Win32/GandCrab.BG, 
Symantec -> ML.Attribute.HighConfidence, Trojan Horse, Ransom.Burglar
Tencent -> Msil.Trojan.Gen.
TrendMicro -> Ransom_Gen.R049C0PF621
---

© Генеалогия: ??? >> Mcburglar (MCB) 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .mcburglar

Записка с требованием выкупа называется: README-MCBURGLAR.txt

Содержание записки о выкупе:

  ___                              ___  

 (o o)                             (o o) 

(  V  ) !!! ATTENTION !!! (  V  )

--m-m-----------------------m-m--

You have been breached

by ***

✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐡𝐚𝐩𝐩𝐞𝐧𝐞𝐝 ?▁▂▃▅▆▓▒░✩

YOUR NETWORK HAS BEEN INFILTRATED, AND WE HAVE ACCESSED ALL YOUR DATA

✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐝𝐨𝐞𝐬 𝐭𝐡𝐢𝐬 𝐦𝐞𝐚𝐧?▁▂▃▅▆▓▒░✩

IT MEANS THAT SOON YOUR PARTNERS, CLIENTS, BOARD AND MASS MEDIA WILL KNOW OF YOUR PROBLEM

✩░▒▓▆▅▃▂▁𝐡𝐨𝐰 𝐜𝐚𝐧 𝐢𝐭 𝐛𝐞 𝐚𝐯𝐨𝐢𝐝𝐞𝐝 ?▁▂▃▅▆▓▒░✩

IN ORDER TO AVOID ISSUE

YOU ARE TO CONTACT US NO LATER THAN 3 DAYS AND CONCLUDE DATA RECOVERY AND AGREEMENT✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐢𝐟 𝐢 𝐝𝐨 𝐧𝐨𝐭 𝐜𝐨𝐧𝐭𝐚𝐜𝐭 𝐲𝐨𝐮?▁▂▃▅▆▓▒░✩

IF YOU DO NOT CONTACT US IN THE NEXT 3 DAYS WE WILL BEGIN DATA PUBLICATION

✩░▒▓▆▅▃▂▁𝐡𝐨𝐰 𝐝𝐨 𝐢 𝐜𝐨𝐧𝐭𝐚𝐜𝐭 𝐲𝐨𝐮 ?▁▂▃▅▆▓▒░✩

WIZE CHOICE, THERE IS FEW WAY TO DO THIS

I. RECOMMENDED (MOST SECURE METHOD)

a) DOWNLOAD TOR BROWSER (https://www.torproject.org/download/)

b) INSTALL THE TOR BROWSER

c) OPEN OUR WEBSITE WITH LIVE CHAT IN THE TOR BROWSER (http://XXXXXXXXXXXXXXXXXXXX.onion)

d) FOLLOW THE INSTRUCTIONS ON THIS PAGE

II. IF THIS METHOD IS NOT SUITABLE FOR YOU OR TOR IS BLOCKED IN YOUR COUNTRY

a) OPEN OUR WEBPAGE WITH LIVE CHAT (https://XXXXXXXXXXXXXXXXXX.onion)

b) FOLLOW INSTRUCTION ON PAGE

Перевод записки на русский язык:

Вы были нарушены

 ***

что случилось?

В ВАШУ СЕТЬ ПРОНИКЛИ, И МЫ ПОЛУЧИЛИ ДОСТУП КО ВСЕМ ВАШИМ ДАННЫМ

Что это значит?

ЭТО ЗНАЧИТ, ЧТО СКОРО ВАШИ ПАРТНЕРЫ, КЛИЕНТЫ, ПРАВЛЕНИЕ И СМИ УЗНАЮТ О ВАШЕЙ ПРОБЛЕМЕ.

как этого избежать?

ВО ИЗБЕЖАНИЕ ПРОБЛЕМ ВАМ НАДО НАПИСАТЬ НАМ НЕ ПОЗДНЕЕ 3 ДНЕЙ И ДОГОВОРИТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ

если я не свяжусь с вами?

ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В БЛИЖАЙШИЕ 3 ДНЯ, МЫ НАЧНЕМ ПУБЛИКАЦИЮ ДАННЫХ

как с вами связаться?

МУДРЫЙ ВЫБОР, ЕСТЬ НЕСКОЛЬКО СПОСОБОВ СДЕЛАТЬ ЭТО

I. РЕКОМЕНДУЕТСЯ (САМЫЙ БЕЗОПАСНЫЙ МЕТОД)

А) СКАЧАТЬ TOR-БРАУЗЕР (HTTPS://WWW.TORPROJECT.ORG/DOWNLOAD/)

Б) УСТАНОВИТЬ TOR-БРАУЗЕР

В) ОТКРЫТЬ НАШ САЙТ С ЖИВЫМ ЧАТОМ В TOR-БРАУЗЕРЕ (HTTP://XXXXXXXXXXXXXXXXXXXX.ONION)

Г) СЛЕДОВАТЬ ИНСТРУКЦИЯМ НА ЭТОЙ СТРАНИЦЕ

II. ЕСЛИ ЭТОТ СПОСОБ ВАМ НЕ ПОДХОДИТ ИЛИ В ВАШЕЙ СТРАНЕ TOR ЗАБЛОКИРОВАН

А) ОТКРОЙТЕ НАШУ ВЕБ-СТРАНИЦУ С ЧАТОМ (HTTPS://XXXXXXXXXXXXXXXXXX.ONION)

Б) СЛЕДУЙТЕ ИНСТРУКЦИЯМ НА СТРАНИЦЕ

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-MCBURGLAR.txt - название файла с требованием выкупа;
MCB.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Administrator\Desktop\mcdump-main\MCB\obj\Debug\MCB.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, MS

MD5: d3d0035a769e6ef98b1433160b2c8333

SHA-1: be1d0aed32308166721d4756e2216dc44c2d0baa

SHA-256: 6b6158f74dbd43b8c839d5ae65d33ae9a11c9e3cef5fa52d86105983a67cdc4f

Vhash: 21503655151a084560021

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.