AtomSilo Ransomware
AtomSlio Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 +RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: AtomSilo (в расширении), AtomSlio и AtomSilo (в записке). На файле написано: update.exe. Использует библиотеку Crypto++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34340, Trojan.Encoder.34345
ESET-NOD32 -> A Variant Of Win64/Filecoder.LockFile.B
Kaspersky -> Trojan-Ransom.Win32.GenericCryptor.lim
Malwarebytes -> Ransom.FileCryptor, Ransom.AtomSilo
Microsoft -> Ransom:Win64/LockCrypt.PB!MTB, Ransom:Win64/LockCrypt.PB!MTB
Tencent -> Win32.Trojan.Genericcryptor.Fie
---
© Генеалогия: ✂ LockFile >> AtomSilo (AtomSlio)
Активность этого крипто-вымогателя была в начале сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Обнаружения:
DrWeb -> Trojan.Encoder.34340, Trojan.Encoder.34345
ESET-NOD32 -> A Variant Of Win64/Filecoder.LockFile.B
Kaspersky -> Trojan-Ransom.Win32.GenericCryptor.lim
Malwarebytes -> Ransom.FileCryptor, Ransom.AtomSilo
Microsoft -> Ransom:Win64/LockCrypt.PB!MTB, Ransom:Win64/LockCrypt.PB!MTB
Tencent -> Win32.Trojan.Genericcryptor.Fie
---
© Генеалогия: ✂ LockFile >> AtomSilo (AtomSlio)
Сайт "ID Ransomware" это идентифицирует как LockFile.
Информация для идентификации
Активность этого крипто-вымогателя была в начале сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .ATOMSILO
Записка с требованием выкупа называется:
Записка с требованием выкупа называется:
ATOMSILO-README.hta - в оригинале
README-FILE-Q9IATRKPRH-1631622989.hta - пример на атакованном ПК
Фактически при формирования названия записки используется шаблон:
README-FILE-Q9IATRKPRH-1631622989.hta - пример на атакованном ПК
Фактически при формирования названия записки используется шаблон:
README-FILE-#COMPUTER#-#TIME#.hta
Содержание записки о выкупе:
Перевод записки на русский язык:
Содержание текста на сайте:
Atom Slio
Instructions
WARNING! YOUR FILES ARE ENCRYPTED AND LEAKED!
--------------------------------------------------------------------------------
We are AtomSilo.Sorry to inform you that your files has been obtained and encrypted by us.
But don’t worry, your files are safe, provided that you are willing to pay the ransom.
Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!
The only way to decrypt your files safely is to buy the special decryption software from us.
The price of decryption software is 1000000 dollars.
If you pay within 48 hours, you only need to pay 500000 dollars. No price reduction is accepted.
We only accept Bitcoin payment,you can buy it from bitpay,coinbase,binance or others.
You have five days to decide whether to pay or not. After a week, we will no longer provide decryption tools and publish your files
--------------------------------------------------------------------------------
Time starts at 0:00 on September 11
--------------------------------------------------------------------------------
Survival time: 0 Day 10 Hour 29 Min 53 Sec
--------------------------------------------------------------------------------
You can contact us with the following email:
Email:arvato@atomsilo.com
If this email can't be contacted, you can find the latest email address on the following website:
hxxx://mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion
--------------------------------------------------------------------------------
If you don’t know how to open this dark web site, please follow the steps below to installation and use TorBrowser:
run your Internet browser
enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER
wait for the site loading
on the site you will be offered to download TorBrowser; download and run it, follow the installation instructions, wait until the installation is completed
run TorBrowser
connect with the button "Connect" (if you use the English version)
a normal Internet browser window will be opened after the initialization
type or copy the address in this browser address bar and press ENTER
the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
If you have any problems during installation or use of TorBrowser, please, visit https://www.youtube.com and type request in the search bar "Install TorBrowser Windows" and you will find a lot of training videos about TorBrowser installation and use.
--------------------------------------------------------------------------------
Additional information:
You will find the instructions ("README-FILE-#COMPUTER#-#TIME#.hta") for restoring your files in any folder with your encrypted files.
The instructions "README-FILE-#COMPUTER#-#TIME#.hta" in the folders with your encrypted files are not viruses! The instructions "README-FILE-#COMPUTER#-#TIME#.hta" will help you to decrypt your files.
Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.
Перевод записки на русский язык:
Atom Slio
Инструкции
ПРЕДУПРЕЖДЕНИЕ! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ И УТЕКЛИ!
-------------------------------------------------- ------------------------------
Мы - AtomSilo. Извините, что сообщаем вам, что ваши файлы были получены и зашифрованы нами.
Но не волнуйтесь, ваши файлы в безопасности, если вы готовы заплатить выкуп.
Любое принудительное завершение работы или попытки восстановить ваши файлы с помощью сторонних программ приведут к безвозвратному повреждению ваших файлов!
Единственный способ безопасно расшифровать ваши файлы - это купить у нас специальную программу для дешифрования.
Стоимость программы для дешифрования - 1000000 долларов.
Если вы платите в течение 48 часов, вам нужно заплатить всего 500000 долларов. Снижение цены не принимается.
Мы принимаем оплату только биткойнами, вы можете купить их у bitpay, coinbase, binance или других.
У вас есть пять дней, чтобы решить, платить или нет. Через неделю мы больше не будем предоставлять инструменты для дешифрования и публиковать ваши файлы.
-------------------------------------------------- ------------------------------
Время началось в 0:00 11 сентября.
-------------------------------------------------- ------------------------------
Время закончится : 0 День 10 Час 29 Мин 53 Сек
-------------------------------------------------- ------------------------------
Вы можете связаться с нами по следующему email-адресу:
Почта: arvato@atomsilo.com
Если с этим email-адресом невозможно связаться, вы можете найти последний email-адрес на следующем веб-сайте:
hxxx: //mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion
-------------------------------------------------- ------------------------------
Если вы не знаете, как открыть этот дарквеб-сайт, выполните следующие действия для установки и использования TorBrowser:
запустите свой интернет-браузер
введите или скопируйте адрес https://www.torproject.org/download/download-easy.html.en в адресную строку браузера и нажмите ENTER.
дождитесь загрузки сайта
на сайте вам будет предложено скачать TorBrowser; скачайте и запустите, следуйте инструкциям по установке, дождитесь завершения установки
запустить TorBrowser
подключитесь кнопкой «Подключиться» (если вы используете английскую версию)
после инициализации откроется обычное окно интернет-браузера
введите или скопируйте адрес в адресную строку браузера и нажмите ENTER.
сайт должен загрузиться; если по какой-то причине сайт не загружается, подождите немного и попробуйте еще раз.
Если у вас возникли проблемы во время установки или использования TorBrowser, посетите https://www.youtube.com и введите запрос в строке поиска «Установить TorBrowser Windows», и вы найдете множество обучающих видео по установке и использованию TorBrowser. .
-------------------------------------------------- ------------------------------
Дополнительная информация:
Вы найдете инструкции («README-FILE-#КОМПЬЮТЕР#-#ВРЕМЯ#.hta») для восстановления ваших файлов в любой папке с вашими зашифрованными файлами.
Инструкции "README-FILE-#КОМПЬЮТЕР#-#ВРЕМЯ#.hta" в папках с вашими зашифрованными файлами не являются вирусами! Инструкции «README-FILE-#КОМПЬЮТЕР#-#ВРЕМЯ#.hta» помогут вам расшифровать ваши файлы.
Помните! Худшая ситуация уже случилась, и теперь будущее ваших файлов зависит от вашей решимости и скорости ваших действий.
Скриншоты с сайта вымогателей:
Atom Slio
Instructions
WARNING! YOUR FILES ARE ENCRYPTED AND LEAKED!
We are AtomSilo.Sorry to inform you that your files has been obtained and encrypted by us.
But don’t worry, your files are safe, provided that you are willing to pay the ransom.
Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!
The only way to decrypt your files safely is to buy the special decryption software from us.
The price of decryption software is ???? dollars.
If you pay within 48 hours, you only need to pay 50% off dollars. No price reduction is accepted.
We only accept Bitcoin payment,you can buy it from bitpay,coinbase,binance or others.
You have five days to decide whether to pay or not. After a week, we will no longer provide decryption tools and publish your files
Time starts at 0:00 on September 11 Survival time: 0 Day 15 Hour 36 Min 9 Sec
You can contact us with the following email:
Email:cristalia@atomsilo.com
Email:arvato@atomsilo.com
If this email can't be contacted, you can find the latest email address on the following website:
hxxx://mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion
If you don’t know how to open this dark web site, please follow the steps below to installation and use TorBrowser:
run your Internet browser
enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER
wait for the site loading
on the site you will be offered to download TorBrowser; download and run it, follow the installation instructions, wait until the installation is completed
run TorBrowser
connect with the button "Connect" (if you use the English version)
a normal Internet browser window will be opened after the initialization
type or copy the address in this browser address bar and press ENTER
the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
If you have any problems during installation or use of TorBrowser, please, visit https://www.youtube.com and type request in the search bar "Install TorBrowser Windows" and you will find a lot of training videos about TorBrowser installation and use.
Additional information:
You will find the instructions ("README-FILE-#COMPUTER#-#TIME#.hta") for restoring your files in any folder with your encrypted files.
The instructions "README-FILE-#COMPUTER#-#TIME#.hta" in the folders with your encrypted files are not viruses! The instructions "README-FILE-#COMPUTER#-#TIME#.hta" will help you to decrypt your files.
Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ В AtomSilo используется собственный набор новых и сложных тактик, техник и процедур, затрудняющих обнаружение, а также несколько новых методов, которые затрудняют расследование, включая загрузку вредоносных библиотек, предназначенных для нарушения работы ПО защиты конечных точек. После компрометации серверов Atlassian Confluence и установки бэкдора злоумышленники сбрасывают скрытый бэкдор второго уровня, используя боковую загрузку DLL, чтобы запустить его во взломанной системе. Пейлоады, развернутые AtomSilo, поставляются с вредоносным драйвером ядра, который используется для нарушения решений защиты конечных точек и уклонения от обнаружения.
Разработчики приложили усилия, чтобы избежать обнаружения до запуска программы-вымогателя, включающей известные методы, но используемые по-новому. Помимо самих бэкдоров, злоумышленники использовали собственные инструменты и ресурсы Windows для перемещения по сети до тех пор, пока они не развернули программу-вымогатель.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Пропускаемые папки / директории:
Boot, Windows, Windows.old, Tor Browser, Internet Explorer, Google, Opera, Opera Software, Mozilla, Mozilla Firefox, $Recycle.Bi, ProgramData, All Users
Пропускаемые файлы:
autorun.inf, boot.ini, bootfont.bin, bootsect.bak, bootmgr, bootmgr.efi, bootmgfw.efi, desktop.ini, iconcache.db, index.html, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db, #recycle
Исключаемые типы файлов / расширения:
.cab, .cpl, .cpl, .cur, .dll, .drv, .exe, .hlp, .hta, .html, .icl, .icns, .ico, .idx, .ini, .ocx, .spl, .sys,
ATOMSILO-README.hta - название файла с требованием выкупа в оригинале;
README-FILE-Q9IATRKPRH-1631622989.hta - название файла с требованием выкупа еа атакованных ПК;
autologin.bat, howtorun.bat, logs.bat - специальные командные файлы;
update.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README-FILE-210979-1631650317.hta
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README-FILE-210979-1631650317.hta
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion
Email: arvato@atomsilo.com
Email: cristalia@atomsilo.com
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5 (UPX-packed): 04a8307259478245cbae49940b6d655a
SHA-1: 0f5259812be378bbd764cef94697019075990b4d
SHA-256: d9f7bb98ad01c4775ec71ec66f5546de131735e6dba8122474cc6eb62320e47b
Vhash: 03503e0f7d1019z4nz1fz
Imphash: 07a0cdd4807510f9323ce2fd61059e50
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5 (unpacked): 81f01a9c29bae0cfa1ab015738adc5cc
SHA-1: 01785e1801e76063fb63deb78a208a3ca6e02cda
SHA-256: 7a5999c54f4588ff1581d03938b7dcbd874ee871254e2018b98ef911ae6c8dee
Vhash: 085036671d1"z
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
LockBit Ransomware - октябрь 2019 - есть активность в 2022
LockFile Ransomware - июль - август 2021
AtomSilo Ransomware - сентябрь - декабрь 2021
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 10 декабря 2021:
Расширение .ATOMSILO
Записка: README-FILE-562258-1639906857.hta
➤ Обнаружения >>
BitDefender -> Trojan.GenericKD.47622039
DrWeb -> Trojan.Encoder.34718
ESET-NOD32 -> A Variant Of Win64/Packed.VMProtect.JI
Kaspersky -> Trojan-Ransom.Win64.LockFile.p
Malwarebytes -> Ransom.AtomSilo
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom.Win64.ATOMSILO.THLBOBI
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support Added later: Write-up by Sophos
Внимание! Файлы можно расшифровать! Ссылка на статью >> Ссылка на дешифровщик >>
Thanks: S!Ri, Emanuele De Lucia Andrew Ivanov (article author) Avast to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
