Если вы не видите здесь изображений, то используйте VPN.

пятница, 27 августа 2021 г.

HQ_52_42

HQ Ransomware

HQ_52_42 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


HQ Ransomware


Этот крипто-вымогатель шифрует данные в корпоративной сети с помощью AES+RSA, а затем требует выкуп в 25-35 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: HQ_52_42.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34387, Trojan.Encoder.34388
ALYac -> Trojan.Ransom.WannaSmile
Avira (no cloud) -> TR/AD.ZCrypt.oytdw, TR/AD.ZCrypt.nbrdh
BitDefender -> Gen:Variant.Ransom.HQ.1, Gen:Heur.Mint.Zard.2
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIC
Kaspersky -> HEUR:Trojan.Win32.Udochka.gen, HEUR:Trojan-Ransom.Win32.Instructions.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/HQCrypt.PA!MTB
Rising -> Trojan.Generic@ML.82 (RDMK:*
Symantec -> Ransom.Crysis, Downloader
Tencent -> Win32.Trojan.Filecoder.Pcir, Win32.Trojan.Filecoder.Pcsb
TrendMicro -> Ransom.Win32.ZCRYPT.SM
---

© Генеалогия: ✂ WannaSmile >> HQ_52_42


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .HQ_52_42

Записка с требованием выкупа называется: How to decrypt files.html

HQ Ransomware, note

Содержание записки о выкупе:
ALL YOUR PERSONAL FILES ARE ENCRYPTED
All your data (photos, documents, database, ...) have been encrypted with a private and unique key generated for this Network. It means that you will not be able to access your files anymore until they’re decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments. If you don’t know how to get Bitcoins, you can google “How to Buy Bitcoins” and follow the instructions.
To recover your files and unlock your computers, you must send 25 Bitcoins (This amount for all Network), to the next Bitcoin address:
bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx
YOU ONLY HAVE 1 WEEK TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to 35 Bitcoins. Also, if you don’t pay in 2 Week, your unique key will be destroyed and you won’t be able to recover your files anymore.
WARNING!
DO NOT TRY TO GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS.
After Payment , Send message to XMPP ID ( rans_contact@xmpp.jp ) for receive Private Key

Перевод записки на русский язык:
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши данные (фото, документы, база данных, ...) были зашифрованы с помощью частного и уникального ключа, сгенерированного для этой Сети. Это означает, что вы больше не сможете получить доступ к своим файлам, пока они не будут расшифрованы. Закрытый ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это сделать платеж.
Оплата должна быть произведена в биткойнах на уникальный адрес, который мы создали для вас. Биткойны - это виртуальная валюта для совершения онлайн-платежей. Если вы не знаете, как получить биткойны, вы можете погуглить «Как купить биткойны» и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютеры, вы должны отправить 25 биткойнов (эта сумма для всей сети) на следующий биткойн-адрес:
bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx
У ВАС ЕСТЬ ТОЛЬКО 1 НЕДЕЛЯ, ЧТОБЫ ОПЛАТИТЬ ПЛАТЕЖ! Когда отведенное время истечет, оплата увеличится до 35 биткойнов. Кроме того, если вы не заплатите в течение 2 недель, ваш уникальный ключ будет уничтожен, и вы больше не сможете восстановить свои файлы.
ПРЕДУПРЕЖДЕНИЕ!
НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ. ЛЮБОЕ ДЕЙСТВИЕ ПРИВЕДЕТ К УНИЧТОЖЕНИЮ КЛЮЧА РАСШИФРОВКИ. ВЫ ПОТЕРЯЕТЕ СВОИ ФАЙЛЫ НАВСЕГДА. ЕДИНСТВЕННЫЙ СПОСОБ СОХРАНЕНИЯ ФАЙЛОВ - СЛЕДОВАТЬ ИНСТРУКЦИЯМ.
После оплаты отправьте сообщение на XMPP ID (rans_contact@xmpp.jp) для получения закрытого ключа



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to decrypt files.html - название файла с требованием выкупа;
HQ_52_42.exe - название вредоносного файла; 
HQ_52_42.pdb - название файла проекта;
js-файлы. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\bigbang\Desktop\al-madani\Release\HQ_52_42.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
XMPP: rans_contact@xmpp.jp
BTC: bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 484169de5d8c8f283e0b0a1054d3f987
SHA-1: abe62e9356b7291adc35b5672fa92ea2600d60d4
SHA-256: 3ee2e13b3cdae92f1af84610e9b81f7f5d9223b647e5f0e14844fc87a5ae65c4
Vhash: 085076655d551d15556038z5fjz11z3fz
Imphash: 247705c5d89e4ef39be82f4712c40efa
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: b245aea38d0273448c1396394f3a6882
SHA-1: 4f8b8a4de89cd84a3f11fa13739cc5b8b63c01c5
SHA-256: f9d676d0317d3adef926e5ebe489de13c89385df2948170e5edb01fa2911bdae
Vhash: 085076655d551d15556038z5fjz11z3fz
Imphash: 247705c5d89e4ef39be82f4712c40efa

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *