Quantum Locker

Quantum Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Quantum Locker. На файле написано: manual64.dll.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34422
ALYac -> Trojan.Ransom.MountLocker
BitDefender -> Trojan.Generic.30200278
ESET-NOD32 -> A Variant Of Generik.ENAUAZP
Kaspersky -> Trojan-Ransom.Win32.MountLocker.g
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> Trojan.Gen.MBT
TrendMicro -> Ransom_MountLocker.R002C0PIP21
---

© Генеалогия: MountLocker > SunRise Locker > Quantum Locker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .quantum

Записка с требованием выкупа называется: README_TO_DECRYPT.html

Содержание записки о выкупе:

Your ID:

ff4fd1f68dc85f11b97580b7ac616fbf2c9d4***

This message contains an information how to fix the troubles you've got with your network.

Files on the workstations in your network were encrypted and any your attempt to change, decrypt or rename them could destroy the content.

The only way to get files back is a decryption with Key, provided by the Quantum Locker.

During the period your network was under our control, we downloaded a huge volume of information.

Now it is stored on our servers with high-secure access. This information contains a lot of sensitive, private and personal data.

Publishing of such data will cause serious consequences and even business disruption.

It's not a threat, on the contrary - it's a manual how to get a way out.

Quantum team doesn't aim to damage your company, our goals are only financial.

After a payment you'll get network decryption, full destruction of downloaded data, information about your network vulnerabilities and penetration points.

If you decide not to negotiate, in 48 hours the fact of the attack and all your information will be posted on our site and will be promoted among dozens of cyber forums, news agencies, websites etc.

To contact our support and start the negotiations, please visit our support chat.

It is simple, secure and you can set a password to avoid intervention of unauthorised persons.

hxxx://mi7h736jfgwnhutiodavthxre5atnfrrpekbhry7fizqddkfcm6povid.onion/?cid=ff4fd1f68dc85f11b97580b7ac***

Password field should be blank for the first login.

Note that this server is available via Tor browser only.

P.S. How to get TOR browser - see at https://www.torproject.org

Перевод записки на русский язык:

Ваш ID:

ff4fd1f68dc85f11b97580b7ac616fbf2c9d4***

Это сообщение содержит информацию о том, как исправить проблемы, возникшие в вашей сети.

Файлы на рабочих станциях в вашей сети были зашифрованы, и любая ваша попытка изменить, расшифровать или переименовать их может уничтожить содержимое.

Единственный способ вернуть файлы - это дешифрование с помощью ключа, предоставляемого Quantum Locker.

За время, пока ваша сеть находилась под нашим контролем, мы скачали огромный объем информации.

Теперь он хранится на наших серверах с высокозащищенным доступом. Эта информация содержит много конфиденциальных, личных и личных данных.

Публикация таких данных приведет к серьезным последствиям и даже к сбою в работе.

Напротив, это не угроза - это инструкция по выходу.

Команда Quantum не стремится навредить вашей компании, наши цели исключительно финансовые.

После оплаты вы получите расшифровку сети, полное уничтожение загруженных данных, информацию об уязвимостях вашей сети и точках проникновения.

Если вы решите не вести переговоры, в течение 48 часов факт атаки и вся ваша информация будут размещены на нашем сайте и продвинуты среди десятков киберфорумов, новостных агентств, веб-сайтов и т.д.

Чтобы связаться с нашей службой поддержки и начать переговоры, посетите наш чат поддержки.

Это просто, безопасно, и вы можете установить пароль, чтобы избежать вмешательства посторонних лиц.

hxxx://mi7h736jfgwnhutiodavthxre5atnfrrpekbhry7fizqddkfcm6povid.onion/?cid=ff4fd1f68dc85f11b97580b7ac***

Поле пароля должно быть пустым при первом входе в систему.

Обратите внимание, что этот сервер доступен только через браузер Tor.

P.S. Как получить браузер TOR - см. На https://www.torproject.org

Скриншоты с сайта вымогателей (ранний от 14 сентября, последний - 4 октября): 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Вымогатели используют вредоносное ПО IcedID в качестве одного из первоначальных векторов доступа, которое развертывает Cobalt Strike для удаленного доступа к компьютерам жертвы и приводит к краже данных и шифрованию с использованием Quantum Locker.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений с ISO-файлом, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_TO_DECRYPT.html - название файла с требованием выкупа;
manual64.dll - название вредоносного файла;

00018A49.bat - командный вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\00018A49.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor -URL: hxxx://mi7h736jfgwnhutiodavthxre5atnfrrpekbhry7fizqddkfcm6povid.onion/

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d35a5caf8af43432ec2f5a2318b20597

SHA-1: 8fd8f62a848a1d9c1ff18c7bc16e8a6d2c67c37e

SHA-256: c74873d7b8cc622379ed49bd0b0e477167ae176aa329b01338666ec4c1a4426b

Vhash: 115056651d151d5bz1?z2

Imphash: 1d30df1e5b7623c4b3e7485c04815cbd

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.