Если вы не видите здесь изображений, то используйте VPN.

пятница, 20 августа 2021 г.

LockFile

LockFile Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


LockFile Ransomware


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует связаться через UTox, что узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: LockFile. Чёткий образец не предоставлен. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.34276
BitDefender -> Trojan.GenericKD.37457318
ESET-NOD32 -> A Variant Of Win64/Filecoder.LockFile.A
Kaspersky -> Trojan-Ransom.Win64.LockFile.a
Malwarebytes -> Ransom.LockFile
Microsoft -> Trojan:MSIL/Cryptor
Symantec -> Ransom.Lockfile
Tencent -> Win32.Trojan.Genericcryptor.Swur
TrendMicro -> Ransom.Win64.LOCKFILE.A
---

© Генеалогия: ✂ LockBit >> LockFile > AtomSilo


Сайт "ID Ransomware" это идентифицирует как LockFile. 


Информация для идентификации

Активность этого крипто-вымогателя была замечена в США 20 июля 2021 г., однако специалисты сообщили о нем только 20 августа 2021. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Атаки LockFile были зарегистрированы в основном в США и странах Азии, а их жертвами стали как минимум 10 организаций из следующих секторов: финансовые услуги, производство, машиностроение,  юриспруденция, бизнес-услуги, путешествия и туризм. 

К зашифрованным файлам добавляется расширение: .lockfile

Записка с требованием выкупа в июле 2021 называлась: LOCKFILE-README.hta

На реальных ПК записка, видимо, имела форму:
[victim_name]-LOCKFILE-README.hta

Сообщается, что в других случаях при формирования названия записки использовался шаблон: 
LOCKFILE-README-#COMPUTER#-#TIME#.hta

Пример на атакованном ПК: 
LOCKFILE-README-XC64ZB-1629866461.hta

В другом варианте при формирования названия записки использовался шаблон: 
LOCKFILE-FILE-#COMPUTER#-#TIME#.hta

LockFile Ransomware, note

Содержание записки (часть текста):
ENCRYPTED
What happened?
All your documents, databases, backups, and other critical files were encrypted.
Our software used the AES cryptographic algorithm (you can find related information in Wikipedia).
It happened because of security problems on your server, and you cannot use any of these files anymore. The only
way to recover your data is to buy a decryption key from us.
To do this, please send your all file size to the contacts below.
E-mail: ***
Wallet: contact us
***

Эта HTA-записка очень похожа на ту, что используется в CryLock Ransomware с версии 2.0 (с июля 2020 года). 

Но на момент написания статьи сообщается, что в августе 2021 используется название по шаблону: 
[victim_name]-LOCKFILE-README.hta

В отчете исследователей есть скриншот более новой записки вымогателей, на котором Tor-адрес указан неполностью. 


Примерно с мая 2020 года вымогатели из LockBit Ransomware использовали похожий на вид сайт. Возможно, что вымогатели из LockFile Ransomware используют их шаблон записки или как-то связаны с этой группой вымогателей. 

Содержание текста о выкупе:
ALL YOUR IMPORTANT FILES ARE ENCRYPTED!
---
Any attempts to restore your files with the thrid-party software will be fatal for your files!
Restore you data posible only buying private key from us.
---
There is only one way to get your files back:
---
01. contact us UTox Email
uTox ID: ***
hxxxs://utox.org/
Email: contact@contipauper.com
---
02. Through a Tor Browser - recommended
Download Tor Browser - hxxxs://www.torproiect.org/ and install it.
Open link in Tor Browser - hxxx://zqaflhty5hyz***
This link only works in Tor Browser!
Follow the instructions on this page
---
ATTENTION!
Do not try to recover files yourself, this process can damage your data and recovery will become impossible
Do not rename encrypted files.
Do not waste time trying to find the solution on the Internet.
The longer you wait, the higher will become the decryption key price
Decryption of your files with the help of third parties may cause increased price (they add their fee to our).
Tor Browser may be blocked in your country or corporate network. Use hxxxs://bridges.torproject.org or use Tor
Browser over VPN.
Thanks to the warning wallpaper provided by lockbit, it's easy to use

Перевод текста на русский язык:
ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!
---
Любые попытки восстановить ваши файлы с помощью сторонних программ будут фатальными для ваших файлов!
Восстановить свои данные возможно только купив у нас приватный ключ.
---
Есть только один способ вернуть ваши файлы:
---
01. свяжитесь с нами по UTox Email
uTox ID: ***
hxxxs://utox.org/
Email: contact@contipauper.com
---
02. Через Tor браузер - рекомендуется
Загрузите Tor браузер - hxxxs://www.torproiect.org/ и установите его.
Открыть ссылку в Tor браузере - hxxx://zqaflhty5hyz***
Эта ссылка работает только в Tor браузере!
Следуйте инструкциям на этой странице
---
ВНИМАНИЕ!
Не пытайтесь восстановить файлы сами, этот процесс может повредить ваши данные и восстановление станет невозможным.
Не переименовывайте зашифрованные файлы.
Не тратьте время на поиски решения в Интернете.
Чем дольше вы ждете, тем выше станет цена ключа дешифрования.
Расшифровка ваших файлов с помощью третьих лиц может привести к удорожанию (они добавляют свою цену к нашей).
Браузер Tor может быть заблокирован в вашей стране или в корпоративной сети. Используйте hxxxs://bridges.torproject.org или используйте браузер Tor через VPN.
Благодаря предупреждающим обоям, предоставленным lockbit, им легко пользоваться



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

Первоначальный доступ к сети осуществляется с помощью атаки 
ProxyShell на серверы Microsoft Exchange, эксплуатируя найденные недавно уязвимости (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Затем злоумышленники захватывают контроллер домена организации, используя новый эксплойт PetitPotam, который под контролемLockFile принудительно выполняет аутентификацию на удаленном NTLM-реле. PetitPotam имеет несколько вариантов. На момент написания статьи официальные средства защиты и обновления Microsoft пока еще не полностью блокируют вектор атаки PetitPotamЗлоумышленники, стоящие за LockFile, полагаются на общедоступный код для использования исходного варианта PetitPotam (CVE-2021-36942).

При эксплуатации уязвимости злоумышленники используют технологию PowerShell, которую сами Microsoft уже много лет продвигают в своих ОС Windows как легитимную и полезную.

Злоумышленники сохраняют доступ к пострадавшей сети жертвы как минимум в течение нескольких дней от начала атаки LockFile Ransomware.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Согласно исследованиям специалистов BleepingComputer этот LockFile Ransomware довольно тяжеловат для компьютеров, занимает много ресурсов и подвешивает систему. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые файлы и папки, содержат следующие подстроки:
Windows, NTUSER, LOCKFILE, .lockfile

Пропускаемые типы файлов / расширения: 
.exe, .jpg, .bmp, .gif, .lockfile

Файлы, связанные с этим Ransomware:
LOCKFILE-README.hta - файл с требованием выкупа;
[victim_name]-LOCKFILE-README.hta - файл с требованием выкупа;
active_desktop_render.dll - первичный вредоносный файл;
active_desktop_launcher.exe - первичный вредоносный файл;
autoupdate.exe - вредоносный файл, уникальный для каждой жертвы; 
EfsPotato.exe - вредоносный файл, который использует PetitPotam;
autologin.bat - вредоносный командный файл для запуска;
autologin.exe (Hamakaze.exe) - название файла из KDU toolkit; 
autologin.dll (Tanikaze.dll) - название файла из KDU toolkit; 
autologin.sys - название файла из KDU toolkit; 
KDU toolkit - набор инструментов Kernel Driver Utility.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
IP: 209.14.0.234
Tor-URL: hxxx://zqaflhty5hyz***
Email: contact@contipauper.com
UTox: скрыт
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
ed834722111782b2931e36cfa51b38852c813e3d7a4d16717f59c1d037b62291 - active_desktop_render.dll
cafe54e85c539671c94abdeb4b8adbef3bde8655006003088760d04a86b5f915 - autoupdate.exe
36e8bb8719a619b78862907fd49445750371f40945fefd55a9862465dc2930f9 - autologin.sys
5a08ecb2fad5d5c701b4ec42bd0fab7b7b4616673b2d8fbd76557203c5340a0f - autologin.exe
1091643890918175dc751538043ea0743618ec7a5a9801878554970036524b75 - autologin.dll
2a23fac4cfa697cc738d633ec00f3fbe93ba22d2498f14dea08983026fdf128a - autoupdate.exe
7bcb25854ea2e5f0b8cfca7066a13bc8af8e7bac6693dea1cdad5ef193b052fd - efspotato.exe
c020d16902bd5405d57ee4973eb25797087086e4f8079fac0fd8420c716ad153 - active_desktop_render.dll
a926fe9fc32e645bdde9656470c7cd005b21590cda222f72daf854de9ffc4fe0 - autoupdate.exe
368756bbcaba9563e1eef2ed2ce59046fb8e69fb305d50a6232b62690d33f690 - autologin.sys
d030d11482380ebf95aea030f308ac0e1cd091c673c7846c61c625bdf11e5c3a - autoupdate.exe
a0066b855dc93cf88f29158c9ffbbdca886a5d6642cbcb9e71e5c759ffe147f8 - autoupdate.exe
bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce
autoupdate.exe 

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

LockBit Ransomware - октябрь 2019 - есть активность в 2022
LockFile Ransomware - июль - август 2021
AtomSilo Ransomware - сентябрь - декабрь 2021



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up, Topic of Support
 * 
Внимание! Файлы можно расшифровать!
Ссылка на статью >>
Ссылка на дешифровщик >>
 Thanks: 
 Symantec Threat Hunter Team, BleepingComputer, 
 Andrew Ivanov (article author), Michael Gillespie, 
 VirITeXplorer, JAMESWT_MHT, Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *