Если вы не видите здесь изображений, то используйте VPN.

пятница, 30 июля 2021 г.

AllDataStolen

AllDataStolen Ransomware

Stolen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


AllDataStolen Ransomware


Этот крипто-вымогатель шифрует или только блокирует данные на дисках пользователей (кроме системного), а затем требует выкуп в 3000 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: предыдущие >> AllDataStolen (Stolen)


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Все файлы каждого логического диска, кроме системного, помещаются в общий файл ALLDATA.STOLEN

Что представляет собой этот большой файл (архив или образ?), узнать у пострадавших не удалось. Файл слишком большой - 100-200 Гб, чтобы передавать через сайты обмена файлами. 

Имена затронутых логических дисков переменовываются на STOLEN.


Записка с требованием выкупа называется: READ_ME_SECURITY_WARNING.txt

AllDataStolen Ransomware, note


Содержание записки о выкупе:
All your DATA has been STOLEN
--
For several months we have been downloading your databases, sources software, private email, documents and etc
It's time to discuss the ransom amount
transfer "3000" BITCOINS to our wallet : "bc1qcw4xraclcjevcj4hcrvxtr054538cqq5hgaawq"
if we do not receive the transfer within 30 days, the AMOUNT WILL DOUBLE
if after 45 days you do nothing, then we will sell part of the information on the black market,
and publish some of it in internet, and notify all clients/partners/staff and maximum number of media and bloggers
they will be interested to know all the details about how and that your company has lost the data,
and is trying to hide information about data stolen.
--
After payment, write to us a use secure client Bitmessage
--
address: BM-NBaptUA9UYd1LNe19A13YRVduqXjDZkK
subject : VN100H
We will reply within 72 hours
--
download latest client https://download.bitmessage.org/snapshots/
--


Перевод записки на русский язык:
Все ваши ДАННЫЕ были УКРАДЕНЫ
--
Нескольких месяцев мы загружали ваши базы данных, программное обеспечение, личную email, документы и т.д.
Пришл время обсудить сумму выкупа
переведите "3000" БИТКОИНОВ на наш кошелек: "bc1qcw4xraclcjevcj4hcrvxtr054538cqq5hgaawq"
если мы не получим перевод в течение 30 дней, СУММА УДВОИТСЯ
если через 45 дней вы ничего не сделаете, то мы продадим часть информации на черном рынке,
и опубликуем что-то в Интернете, и сообщим всем клиентам / партнерам / сотрудникам и многим СМИ и блогерам
им будет интересно узнать все подробности о том, что ваша компания потеряла данные,
и пытается скрыть информацию о похищенных данных.
--
После оплаты напишите нам используя безопасный клиент Bitmessage
--
адрес: BM-NBaptUA9UYd1LNe19A13YRVduqXjDZkK
предмет: VN100H
Мы ответим в течение 72 часов
--
скачать последний клиент https://download.bitmessage.org/s
--


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию/блокировке:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_SECURITY_WARNING.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Bitmessage: BM-NBaptUA9UYd1LNe19A13YRVduqXjDZkK
BTC: bc1qcw4xraclcjevcj4hcrvxtr054538cqq5hgaawq
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 27 июля 2021 г.

BlackMatter

BlackMatter Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English




Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью Salsa20 + RSA-1024, а затем требует выкуп в BTC или XMR (Monero), чтобы вернуть файлы. Оригинальное название: BlackMatter Ransomware.
Группа вымогателей и их представитель на хакерских форумах называют себя BlackMatter
---
Обнаружения:
DrWeb -> Trojan.Encoder.34207
BitDefender -> Gen:Heur.Mint.Zard.25
ESET-NOD32 -> A Variant Of Generik.HLXFKFN
Kaspersky -> Trojan-Ransom.Win32.Encoder.njw
Malwarebytes -> MachineLearning/Anomalous.96%
Microsoft -> Ransom:Win32/Genasom
Rising -> Trojan.Generic@ML.98 (RDML:JZF*
Symantec -> ML.Attribute.HighConfidence, Ransom.Blackmatter, Ransom.Blackmatter!gm1
TrendMicro -> TROJ_GEN.R06CH09GQ21
---

© Генеалогия: ✂ DarkSide
✂ REvil✂ LockBit >> BlackMatter > LockBit 3.0 (LockBit Black) с вариантами: CriptomanGizmo и другие.


Сайт "ID Ransomware" это идентифицирует как BlackMatter


Информация для идентификации

Этот BlackMatter Ransomware был представлен на форумах кибер-андеграунда 21 июля 2021. Образец этого крипто-вымогателя был найден в конце июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Известно о пострадавших крупных организациях в США, Великобритании, Канаде, Австралии, Индии, Бразилии, Чили и Таиланде, и это далеко не весь список стран. 

К зашифрованным файлам добавляется случайное расширение: .<random_id>

Примеры таких расширений: 
.51yupKSuX
.it2TiN2UtR 
.gxtrGRlr6

Примечательно, что файлы могут шифроваться даже в Safe Mode (Безопасном режиме Windows). 

Записка с требованием выкупа называется: <random_id>.README.txt


Примеры таких записок: 
51yupKSuX.README.txt
gxtrGRlr6.README.txt
maiOnZ3Or.README.txt

Другим информатором жертвы является BMP-изображение с текстом, заменяющее обои Рабочего стола: 


Это могут быть файлы:
51yupKSuX.bmp
gxtrGRlr6.bmp
maiOnZ3Or.bmp


Содержание записки о выкупе:
   ~+                                       
               *       +
         '     BLACK        |
     ()    .-.,='``'=.    - o -         
           '=/_       \     |           
        *   |  '=._    |                
             \     `=./`,        '    
          .   '=.__.=' `='      *
 +             Matter        +
      O      *        '       .

>>> What happens?
   Your network is encrypted, and currently not operational. We have downloaded 1TB from your fileserver.
   We need only money, after payment we will give you a decryptor for the entire network and you will restore all the data.
>>> What guarantees? 
   We are not a politically motivated group and we do not need anything other than your money. 
   If you pay, we will provide you the programs for decryption and we will delete your data. 
   If we do not give you decrypters or we do not delete your data, no one will pay us in the future, this does not comply with our goals. 
   We always keep our promises.
>> Data leak includes
1. Full emloyeers personal data
2. Network information
3. Schemes of buildings, active project information, architect details and contracts, 
4. Finance info
>>> How to contact with us? 
   1. Download and install TOR Browser (https://www.torproject.org/).
   2. Open hxxx://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion/7NT6LXKC1XQHW5039BLOV.
>>> Warning! Recovery recommendations.  
   We strongly recommend you to do not MODIFY or REPAIR your files, that will damage them.

Перевод записки на русский язык:
>>> Что происходит?
   Ваша сеть зашифрована и в настоящее время не работает. Мы скачали с вашего файлового сервера 1 ТБ.
   Нам нужны только деньги, после оплаты мы вам дадим дешифратор на всю сеть и вы восстановите все данные.
>>> Какие гарантии?
   Мы не политически мотивированная группа, и нам не нужно ничего, кроме ваших денег.
   Если вы заплатите, мы дадим вам программы для расшифровки и удалим ваши данные.
   Если мы не дадим вам дешифраторы или не удалим ваши данные, нам никто не заплатит в будущем, это не наши цели.
   Мы всегда выполняем свои обещания.
>> Утечка данных включает
1. Полные личные данные сотрудников
2. Сетевая информация
3. Схемы зданий, информация об активном проекте, детали архитекторов и контракты,
4. Финансовая информация
>>> Как с нами связаться?
   1. Загрузите и установите браузер TOR (https://www.torproject.org/).
   2. Откройте hxxx://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion/7NT6LXKC1XQHW5039BLOV
>>> Внимание! Рекомендации по восстановлению.
   Мы настоятельно рекомендуем вам не МОДИФИЦИРОВАТЬ и НЕ ИСПРАВЛЯТЬ ваши файлы, это может их повредить.


Полные скриншоты с сайта вымогателей




Страница контактов до 28 июня 2021

Изменения на 28 июля 2021

Содержание страницы "CONTACT US":
 New contacts
We invite journalists and recovery companies for registration on our platform. To register, click "Contact us".
Rules
We do not attack:
    Hospitals.
    Critical infrastructure facilities (nuclear power plants, power plants, water treatment facilities).
    Oil and gas industry (pipelines, oil refineries).
    Defense industry.
    Non-profit companies.
    Government sector.
If your company is on that list you can ask us for free decryption.
About us
We are a team that unites people according to one common interest - money.
We provide the best service for our clients and partners compared to our competitors.
We rely on honesty and transparency in our dealings with our victims.
We never attack the company twice and always fulfill our obligations.
We invite the recovery companies to cooperate with, you can contact us through "Contact Us".

Перевод страницы "CONTACT US":
Новые контакты
***
Правила
Мы не атакуем:
Больницы.
Объекты критической инфраструктуры (атомные и электростанции, водоочистные сооружения).
Нефтегазовая промышленность (трубопроводы, нефтеперерабатывающие заводы).
Оборонная промышленность.
Некоммерческие компании.
Государственный сектор.
Если ваша компания находится в этом списке, вы можете попросить нас о бесплатной расшифровке.
О нас
Мы - команда, объединяющая людей вокруг одного общего интереса - денег.
Мы предоставляем лучший сервис для наших клиентов и партнеров по сравнению с нашими конкурентами.
Мы полагаемся на честность и прозрачность в наших отношениях с нашими жертвами.
Мы никогда не атакуем компанию дважды и всегда выполняем взятые на себя обязательства.
Приглашаем к сотрудничеству компании, занимающиеся восстановлением, вы можете связаться с нами через «Контакты».


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

На момент публикации этой статьи известно, что некто BlackMatter разместил объявления (фактически сделал рекламу) на форумах XSS и Exploit, несмотря на введенные на этих форумах в мае 2021 года запреты на рекламу и размещение программ-вымогателей. Поэтому объявления позиционируются как поиск "брокеров для начального доступа", то есть людей, которые имеют доступ к взломанным корпоративным сетям. Группа вымогателей BlackMatter нацелена на компании с доходом в 100 миллионов долларов и более. 

Группировка BlackMatter называет брокерами тех, кто может предоставить им доступ к сетям крупных компаний с доходом $100.000.000 в год или больше, с 500-15 000 хостами, базированием в США, Великобритании, Канаде, Австралии. Представитель BlackMatter заявлет, что подходящим по вышеназванным критериям брокерам они готовы заплатить до $100.000 за эксклюзивный доступ к любой из подходящих сетей.

Представители BlackMatter внесли 4 BTC (около $150,000) на эскроу-счёт на форуме Exploit, что подтвердает серьезность намерений злоумышленников, имеющих такую крупную сумму. 



С момента открытия сайта утечек группа вымогателей с помощью своего BlackMatter Ransomware атаковала критически важные объекты инфраструктуры США, включая центры анализа крови и организации в продовольственном и сельскохозяйственном секторе.

Согласно заявлениям представителя поставщиков-вымогателей на хакерских форумах, группа BlackMatter не будет атаковать организации в нескольких отраслях, включая здравоохранение, критическую инфраструктуру, нефть и газ, оборону, некоммерческие организации и правительство. Это не является каким-то благородным жестом, это всего лишь реакция на ответные меры, введенные в этом году в США. 

Поставщики-вымогатели утверждают, что их Ransomware реализован для разных версий ОС и архитектур и доступен в различных форматах, включая вариант Windows с поддержкой SafeMode (EXE/ReflectiveDLL/PowerShell) и вариант Linux с поддержкой NAS: Synology, OpenMediaVault, FreeNAS (TrueNAS). Они также утверждают, что Windows-вариант успешно протестирован на Windows Server 2003+ x86/x64 и Windows 7+ x64/x86, а Linux-вариант протестирован на ESXI 5+, Ubuntu, Debian и CentOs. 

Вполне вероятно, что после успешного контакта партнёры вымогателей могут изменить первоначальный сценарий и начать распространять вредоносное ПО для шифрования файлов жертв путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
51yupKSuX.README.txt - название файла с требованием выкупа; 
51yupKSuX.bmp - файл изображения с требованием выкупа; 

<random>.exe - случайное название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-
URL: supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion/*
Tor-URL: z4pgb74sb7gfbarspwogjrll72niyx3455tgkgu6lyonq6zwsoh2cpad.onion
Email: - 
BTC: bc1qlv2qdmylyuw62zw8qcd4n3uh84cy2edckv3ds7
XMR: 85VxcvmZNvEZyED9cn5cJRFHZ8kbsmvN7cmUo6F3M6eo2xKB8KFC73DAEhqBc8yREwRjLo2pfzHtwjPoohvPcJJHMoaUCMA
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 598c53bfef81e489375f09792e487f1a
SHA-1: 80a29bd2c349a8588edf42653ed739054f9a10f5
SHA-256: 22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6
Vhash: 064056651d7d7567z51z8nzafz
Imphash: c94b1566bf307396953c849ef18f9857

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

1 августа 2021:
Специалисты Emsisoft получили образцы вредоносной программы и подтвердили, что BlackMatter является продолжением DarkSide. Самая первая версия BlackMatter оказалась почти идентичной последней версии DarkSide, но с незначительными улучшения. За этой первой версией быстро последовало несколько новых итераций пейлоада BlackMatter, а затем его внутренний номер версии стал уже 2.0. Ссылка на статью >>

2 августа 2021:
Несколько цитат из этого интервью. 
- Мы создали проект и вывели его на рынок в тот момент, когда ниша была свободна, а проект полностью соответствует требованиям рынка, поэтому его успех неизбежен.
- Атакованные нами компании уже общаются с нами. Пока переговоры ведутся успешно, мы не публикуем сообщения на главной странице блога.
- Пока мы делаем упор на долгосрочную работу. Мы также модерируем цели и не разрешаем использовать наш проект для шифрования критически важной инфраструктуры, что привлечет к нам нежелательное внимание.
- Наш проект вобрал в себя сильные стороны каждой из партнерских программ: REvil, LockBit, DarkSide.
- LockBit шифрует первые 256 кб файла (это довольно плохо с точки зрения криптостойкости). Мы же шифруем 1 МБ. По сути, в этом секрет их скорости.
- Мы можем уверенно сказать, что мы фанаты темного режима в дизайне, мы знакомы с командой DarkSide по совместной работе в прошлом, но мы не они, хотя мы близки с их идеями. 
- Наше ПО постоянно улучшается новыми функциями, которые появятся в ближайшем будущем — печать текста заметки на всех доступных принтерах. 
- Мы следим за нашими конкурентами и всегда реализуем то, что считаем перспективным и востребованным нашими клиентами.
- Мы проверяем каждую цель и решаем, есть ли у нее возможные негативные последствия для нас. 
- Мы не работаем с VPN и другими типами начального доступа, требующими много времени, но сосредоточены на немедленном получении прямого доступа к сети.
- Для одних компаний важно сохранить конфиденциальность, а для других - восстановить инфраструктуру. Если сеть полностью зашифрована и есть риск публикации данных, компания, скорее всего, заплатит.
- Секретов нет, но мы верим в свою Родину, любим свои семьи и зарабатываем деньги для наших детей.


Изменения на сайте BlackMatter Ransomware на 16 августа 2021: 



Вариант от 9 сентября 2021: 
Версия: BlackMatter v2
Расширение: .KzGzsrKzM
Записка: KzGzsrKzM.README.txt


Результаты анализов: VT + AR
Обнаружения >>
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1137758
BitDefender -> Trojan.GenericKD.46999490
DrWeb -> Trojan.Encoder.34334
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.C
Kaspersky -> Trojan-Ransom.Win32.BlackMatter.p
Malwarebytes -> Malware.AI.2096315471
Microsoft -> Ransom:Win32/BlackMatter.MAK!MTB
Rising -> Trojan.Generic@ML.97 (RDML:qyeJDApQr3Dfr2VT4pj7Hw)
Symantec -> Trojan.Gen.MBT
Tencent -> Malware.Win32.Gencirc.10cee34b
TrendMicro -> Ransom.Win32.BLACKMATTER.SMYXBHMT


Новость от 1 ноября 2021:  
Сообщается о закрытие проекта BlackMatter Ransomware. 



Вариант от 10 ноября 2021:
Записка: KzGzsrKzM.README.txt
Файл: OTSLG.ps1
Результаты анализов: VT + AR + TG + IA






Одним из последующих вымогателей является CriptomanGizmo и другие.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up, Topic of Support
Added later: Interview,  Research, Research, Article
Внимание! Иногда файлы можно расшифровать!
Организации могут перейти по ссылке на Emsisoft >>
Обычные пользователи могут посетить форум Emsisoft >>
---
Attention! Sometimes files can be decrypted!
Organizations can follow the link to Emsisoft >>
Ordinary users can visit the forum Emsisoft >>
 Thanks: 
 to authors of articles, GrujaRS
 Andrew Ivanov (article author)
 Fabian Wosar, Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 22 июля 2021 г.

Crypto

Crypto Ransomware

Unnamed Crypto Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Crypto.exe.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31370
BitDefender -> Gen:Variant.Ursu.787497
ESET-NOD32 -> A Variant Of MSIL/Filecoder.VI
Malwarebytes -> Malware.AI.3144432617
Microsoft -> Backdoor:Win32/Bladabindi!ml
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:OAu*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ursu.Lknx
TrendMicro -> TROJ_GEN.R002C0PGP21
---

© Генеалогия: ??? >> Crypto



Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была во второй половине 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.

Содержание записки о выкупе:
Your files are encrypted!
***

Перевод записки на русский язык:
Ваши файлы зашифрованы!
***



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Crypto.exe - случайное название вредоносного файла/


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 3f092778b84602db614514ed3f5518a0
SHA-1: f18841fa31d8972e2dc1a21940d32ff23ed91ad9
SHA-256: b409fb8afdcdbdc248b15615899e4e306ded93320dad392a078972cf1c0b7086
Vhash: 28303655151a1z720010
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 17 июля 2021 г.

BlackByte

BlackByte Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


BlackByte Ransomware


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + 3DES и RSA для шифрования ключей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BlackByte. На файле написано: нет данных. Написан на языке програмирования C#.

---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> BlackByte


Сайт "ID Ransomware" это идентифицирует как BlackByte


Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .blackbyte


Записка с требованием выкупа называется: BlackByte_restoremyfiles.hta

BlackByte Ransomware, note

Содержание записки о выкупе:
BlackByte: "HELLO!"
your network has been hacked

Your documents, and databases encrypted 
To decrypt your files, you need to purchase our decryptor. 
To decrypt files, follow the instructions below.

FULL INSTRUCTION
1) Email us: blackbyte1@onionmail.org
2) Your domain should be in the email header
3) The body of the letter should contain the key given to you in the note.
4) If you do not write to us within the next 3 days, your details will be posted on our auction.
5) To prove that we can decrypt files, we can decrypt 2 files for free, it should be no more than 3 MB and should not contain important information.
6) Don't use 3rd party software to try decrypt your files, you can cause damage and even we won't be able to restore them.
Our auction is available here: 6iaj3efye3q62xjgfxyegrufhewxew7yt4scxjd45tlfafyja6q4ctqd.onion , for access use Tor Browser

Your key 
I Hide the Key for Security Reason.

Перевод записки на русский язык:
BlackByte: «ПРИВЕТ!»
ваша сеть взломана

Ваши документы и базы данных зашифрованы
Чтобы расшифровать ваши файлы, вам нужно купить наш дешифратор.
Чтобы расшифровать файлы, следуйте приведенным ниже инструкциям.

ПОЛНАЯ ИНСТРУКЦИЯ
1) Напишите нам: blackbyte1@onionmail.org
2) Ваш домен должен быть в заголовке письма
3) В теле письма должен быть указан ключ, данный вам в записке.
4) Если вы не напишите нам в течение следующих 3 дней, ваши данные будут размещены на нашем аукционе.
5) В доказательство того, что мы можем расшифровать файлы, мы бесплатно расшифруем 2 файла не более 3 МБ и без важной информации.
6) Не используйте сторонние программы для расшифровки ваших файлов, вы можете их повредить, что даже мы не сможем их восстановить.
Наш аукцион доступен здесь: 6iaj3efye3q62xjgfxyegrufhewxew7yt4scxjd45tlfafyja6q4ctqd.onion, для доступа используйте браузер Tor 

Ваш ключ
***


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Проверка языка системы: 
BlackByte избегает шифровать компьютеры с русским и некоторыми другими языками России и бывшего СССР, и завершает работу, если по умолчанию в системе используется один из следующих языков: 
az-Cyrl-AZ  Азербайджанский (кириллица) - Азербайджан 2092
az-Latn-AZ  Азербайджанский (латиница) - Азербайджан 1068
ba-RU  Башкирский (Россия) 1133
be-BY  Белорусский - Беларусь 1059
hy-AM  Армянский (Армения) 1067
ka-GE  Грузинский (грузия) 1079
kk-KZ  Казахский - Казахстан 1087
ky-KG  Киргизский - Киргизия 1088
ru-RU  Русский (Россия) 1049
sah-RU  Саха (Россия) 1157
tg-Cyrl-TJ  Таджикский (кириллица, Таджикистан) 1064
tk-TM  Туркменский 1090
tt-RU  Татарский - Россия 1092
uk-UA  Украинский (Украина) 1058
uz-Cyrl-UZ  Узбекский (кириллица, Узбекистан) 2115
uz-Latn-UZ  Узбекский (латиница) 1091
Для справки, см. коды языков в Windows по моей ссылке

➤ Удаление anti-ransomware утилиты Raccine:
BlackByte завершает работу утилиты Raccine и удаляет е` из зараженной системы, выполнив команду:
taskill.exe /F /IM Raccine.exe
taskill.exe /F /IM RaccineSettings.exe
schtasks.exe /DELETE /TN \"Raccine Rules Updater\" /F

Он также удаляет все ключи реестра, связанные с Raccine, включая:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Name = “Raccine Tray”
HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Raccine

➤ Отключение служб: 
BlackByte запускает серию команд SC, чтобы отключить список служб:
sc.exe config SQLTELEMETRY start = disabled
sc.exe config sc SQLTELEMETRY$ECWDB2 start = disabled
sc.exe config SQLWriter start = disabled
sc.exe config SstpSvc start = disabled
sc.exe config MBAMService start = disabled
sc.exe config wuauserv start = disabled
---
Dnscache
fdPHost
FDResPub
SSDPSRV
upnphost
RemoteRegistry

➤ Отключение процессов: 
BlackByte использует Microsoft Restart Manager API RmShutdown для завершения следующих процессов:
agntsvc, anydesk, chrome, CNTAoSMgr, dbeng50, dbsnmp, encsvc, excel, explorer, firefox, firefox, firefoxconfig, iexplore, infopath, isqlplussvc, mbamtray, msaccess, msedge, msftesql, mspub, mydesktopqos, mydesktopservice, mysqld, mysqld-nt, mysqld-opt, Ntrtscan, ocautoupds, ocomm, ocssd, onenote, opera, oracle, outlook, PccNTMon, powerpnt, Powershell, SearchApp, SearchIndexer, SearchUI, sqbcoreservice, sql, sqlagent, sqlbrowser, sqlservr, sqlwriter, steam, synctime, tbirdconfig, thebat, thebat64, thunderbird, tmlisten, visio, wininit, winlogon, winword, wordpad, xfssvccon, zoolz

➤ Отключение восстановления и предоставление доступа: 
BlackByte запускает на выполнение ряд команд для удаления всех теневых копий на всех томах, удаления точек восстановления Windows, отключения контролируемого доступа к папкам, включения сетевого обнаружения, предоставления "всем" полного доступа к целевым дискам, удаления корзины, включения общего доступа к файлам и принтерам, включения протокола SMB1:
vssadmin.exe resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin.exe vssadmin.exe resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=h: /on=h: /maxsize=unbounded
vssadmin.exe Delete Shadows /all /quiet
powershell.exe Get-CimInstance Win32_ShadowCopy | Remove-CimInstance
powershell.exe Set-MpPreference -EnableControlledFolderAccess Disabled
cmd.exe /c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin
cmd.exe /c rd /s /q D:\\$Recycle.bin
netsh advfirewall firewall set rule group="Network Discovery” new enable=Yes
netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=Yes
powershell.exe Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
icacls.exe" "<DRIVE LETTER>:*" /grant Everyone:F /T /C /Q

➤ Манипулирование доступом: 
Устанавливает следующие параметры реестра для повышения локальных привилегий, подключения подключенных дисков и включения длинных путей:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
LocalAccountTokenFilterPolicy = REG_DWORD:1
EnableLinkedConnections = REG_DWORD:1
HKLM\SYSTEM\CurrentControlSet\Control\FileSystem
LongPathsEnabled = REG_DWORD:1

➤ Другие особенности: 
BlackByte имеет функционал червя, как у Ryuk Ransomware. 
Создает магический пакет wake-on-LAN и отправляет его на целевой узел для проверки при заражении. 
Для шифрования файлов использует только один симметричный ключ.
Ключ шифрования находится на удаленном HTTP-сервере в скрытом PNG-файле.
Допускается сбой шифровальщика, если ему не удается загрузить ключ шифрования. 
Открытый RSA-ключ в теле нужен, чтобы зашифровать необработанный ключ и вставить в записку. 

➤ Возможность расшифровки:
Таким образом, BlackByte шифрует загруженный AES-ключ шифрования и добавляет его в записку о выкупе. Один и тот же ключ используется для нескольких жертв. Чтобы расшифровать файл, достаточно загрузить необработанный ключ с хоста. Пока файл .PNG на сервере не меняется, можно использовать тот же ключ для расшифровки зашифрованных файлов.


По такому случаю, специалисты Trustware написали дешифровщик файлов, доступный по этой ссылке: https://github.com/SpiderLabs/BlackByteDecryptor

Список типов файлов, подвергающихся шифрованию:
Множество файлов, кроме тех, что находятся в списках исключений. 
Наверняка будут зашифрованы документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Кроме того, целевые файлы, подлежащие шифрованию, проходят фильтрацию по размеру файла:
если размер файла превышает 150 Мб, то будут шифроваться первые 50 МБ и последние 50 МБ файла;
если размер файла превышает 15 Мб — первые 5 МБ и последние 5 МБ файла;
если размер файла превышает 3 Мб — первый и последний 1 МБ файла;
если размер файла меньше 3 Мб, то будет шифроваться весь файл. 

При шифровании пропускаются файлы с системными атрибутами, а также файлов со следующими именами из этого списка:
obamka.js
thumbs.db
ntdetect.com
ntuser.dat.log
bootnxt
bootsect.bak
ntldr
autoexec.bat
Recycle.Bin
iconcache.db
bootmg
bootfont.bin

Пропускаются файлы со следующими расширениями: 
.386, .adv, .ani, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lock, .log, .mod, .mpa, .msc, .msi, .msilog, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx 

Демонтирование виртуальных дисков: 
Если BlackByte обнаруживает расширения файлов виртуального диска .vhd и .vhdx, то попытается отключить эти диски с помощью команды PowerShell:
powershell.exe Dismount-DiskImage -ImagePath <vhd path>

Файлы, связанные с этим Ransomware:
BlackByte_restoremyfiles.hta - название файла с требованием выкупа;
obamka.js - файл с вредоносным скриптом (запускается по расписанию и потом самоудаляется);  
blockator - вероятно еще один вредоносный файл; 
<random>.exe - случайное название вредоносного файла;
forest.png - специальный файл, содержащий ключ AES шифрования, используемый для шифрования файлов; загружается с сайта, контролируемого вымогателями; адрес сайта указан на картинке. 

Файл forest.png на самом деле не является файлом изображения PNG, а состоит из комбинации необработанных ключей для шифрования и дешифрования этих самых ключей и файлов. Подробнее читайте в статье Trustware >>

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс:
Global\1f07524d-fb13-4d5e-8e5c-c3373860df25
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: blackbyte@onionmail.org
Email-2: blackbyte1@onionmail.org
Tor-URL: 6iaj3efye3q62xjgfxyegrufhewxew7yt4scxjd45tlfafyja6q4ctqd.onion
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOCs:
obamka.js (jscript launcher):
884e96a75dc568075e845ccac2d4b4ccec68017e6ef258c7c03da8c88a597534
forest.png (кey file):
9bff421325bed6f1989d048edb4c9b1450f71d4cb519afc5c2c90af8517f56f3
yk0pdddk (BlackByte Ransomware):
d3efaf6dbfd8b583babed67046faed28c6132eafe303173b4ae586a2ca7b1e90
vylvz3le.dll (BlackByte Loader):
92ffb5921e969a03981f2b6991fc85fe45e07089776a810b7dd7504ca61939a3
2edpcniu.dll (BlackByte Loader):
f8efe348ee2df7262ff855fb3984884b3f53e9a39a8662a6b5e843480a27bd93


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Вариант от 2 августа 2021: 
Расширение: .blackbyte
Записка: BlackByte_restoremyfiles.hta
Email: blackbyte1@onionmail.org

Новость от 30 ноября 2021: 
BlackByte теперь использует ProxyShell (набор из трех уязвимостей Microsoft Exchange, которые позволяют удаленное выполнение кода без проверки подлинности на сервере, когда они связаны друг с другом).

Новость от 21 октября 2022: 
Неназванный аффилиат BlackByte Ransomware использует новый специальный инструмент для кражи данных под названием ExByte для быстрой кражи данных со взломанных устройств Windows. Эксфильтрация данных считается одной из наиболее важных функций в атаках с двойным вымогательством и компании чаще платят, уступая требования выкупа, чтобы предотвратить утечку данных, чем за то, чтобы получить дешифратор.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 
Added later: Analysis-1, Analysis-2 (October 15, 2021)
Decryption: BlackByteDecryptor (the article about it)
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 MyoMyintHtike
 Rodel Mendrez, Lloyd Macrohon (Trustware)
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *