54bb47h Ransomware
Sabbath Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: Defray777 или другие предыдущие >> Sabbath (54bb47h)
Сайт "ID Ransomware" это идентифицирует как 54bb47h.
Информация для идентификации
Активность этого крипто-вымогателя была во второй половине октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .54bb47h
Фактически используется составное расширение по шаблону: filename.jpg.[XXXXXXXXXXXXXXXX].54bb47h
Этимология названия:
Этимология названия:
54bb47h = Sabbath (анг. "суббота")
Английские буквы заменяются на цифры: a=4, s=5, t=7
Записка с требованием выкупа называется: *** нет данных ***
В тексте есть разные ошибки, например, пропуски артиклей (a, the) и вспомогательных глаголов (are), что говорит о том, что писавший записку плохо владеет английским языком.
Содержание записки о выкупе:
###
Dear Sir or Madam,
-------------------------------------------------------------------------------------------
Congratulations!
Id like to inform you that your company has been randomly chosen for audit and that you haven't
passed it.
All of your servers are encrypted, same as your backups. Our encryption algorithms impossible to decrypt, same as your company data and infrastructure. However, do not get nervous, as you shall restore all of your all your infrastructure and data! In order to do that, follow simple steps
that are described bellow:
1. Buy decryption key.
2. Restore all of the company data and infrastructure.
-------------------------------------------------------------------------------------------
The system hack wasnt done eiter by your competitors or 3rd party, it was strictly our initiative. Our main and only interest is money.
Also, to be mentioned, we value our reputation and principles a lot, therefore any amateur attempts will be strictly suppressed and will make current situation worse. In addition, all of decryption software mentioned above is tested, as a proof of our abilities, there is a possibility of decrypting few small files for free, for your understanding.
-------------------------------------------------------------------------------------------
Data leakage.
As you probably understood, we have stolen big volume of data from yur network. Mainly, we stole data using our smartfilters from all of your servers- full dump of your network.
We may discuss the volume of stolen data.
To sum up, we have completely destroyed your system and infrastructure. We would like to suggest you to think twice, and think about the problems associated with GDPR.
-------------------------------------------------------------------------------------------
TO GET YOUR INFO VISIT US:
54bb47h5qu4k7l4d7v5ix3i6ak6elysn3net4by4ihmvrhu7cvbskoqd.onion
Перевод записки на русский язык:
###
Уважаемый Господин или Госпожа,
-------------------------------------------------------------------------------------------
Поздравляю!
Хочу сообщить вам, что ваша компания была выбрана для аудита случайным образом, а вы не прошли это.
Все ваши серверы зашифрованы, как и ваши резервные копии. Наши алгоритмы шифрования невозможно расшифровать так же, как данные и инфраструктуру вашей компании. Однако не нервничай, т.к. вы восстановите всю вашу инфраструктуру и данные! Для этого выполните простые шаги. которые описаны ниже:
1. Купите ключ дешифрования.
2. Восстановите все данные и инфраструктуру компании.
-------------------------------------------------- -----------------------------------------
Системный взлом был сделан не вашими конкурентами или третьей стороной, это была исключительно наша инициатива. Наш главный и единственный интерес - деньги.
Также следует отметить, что мы очень дорожим своей репутацией и принципами, поэтому любые попытки любителя будут строго пресекаться и только ухудшат текущую ситуацию. Кроме того, все программное обеспечение для дешифрования, упомянутое выше, протестировано, в качестве доказательства наших возможностей, для вашего понимания есть возможность дешифровать несколько небольших файлов бесплатно.
-------------------------------------------------- -----------------------------------------
Утечка данных.
Как вы, наверное, догадались, мы украли большой объем данных из вашей сети. В основном мы крали данные со всех ваших серверов с помощью наших смарт-фильтров - полный дамп вашей сети.
Мы можем обсудить объем украденных данных.
Подводя итог, мы полностью разрушили вашу систему и инфраструктуру. Предлагаем вам дважды подумать о проблемах, связанных с GDPR.
-------------------------------------------------- -----------------------------------------
ДЛЯ ИНФОРМАЦИИ ПОСЕТИТЕ НАС:
54bb47h5qu4k7l4d7v5ix3i6ak6elysn3net4by4ihmvrhu7cvbskoqd.onion
Скриншоты с сайта вымогателей:
Содержание текста на странице:
Why i'm here?
You see this page because we found vulnerability in your system. Because of vulnerability it was possible to modify your data in a way, which temporary disallow further usage of it. Please upload 1 encrypted file that doesn't contain sensitive information and it's size is less then 3 MB using the form below and start recovering your data. If the file was successfully recognized by our system, you will be successfully authorized in the portal and you will receive further instructions.
Files intergity
During process of encryption software controls the integrity of your files so you can be sure that we can restore your files in previous good condition.
AV companies
There is no and will not be any free solution to recover files. We use military grade algorithms and there is no solution to crack them. Work with us and get your files back.
Conditions
We understand that the customer cannot always pay the fee. We have discounts and price can be negotiated.
BLOG WITH AUCTION
This blog gather information about companies that did not want to pay for our bug hunting work and is indifferent to the personal data of its employees, customers and partners. They just try to keep in secret info leakage. Part of information is for sale part will be free for downloads.
PREV
NEXT
Page 1 of 0. Elements 0/0.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: 54bb47h5qu4k7l4d7v5ix3i6ak6elysn3net4by4ihmvrhu7cvbskoqd.onion
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Новость от 16 ноября 2021:
Группа вымогатели зарегистрировала аккаунт в Twitter создала свой блог для публикации утечек.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
hxxx://54bb47h.blog/
hxxx://twitter.com/54bb47h_blog
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author) Michael Gillespie, PeterM *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
