ChiChi

ChiChi Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 + RSA-2048, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: chichi, Version 1.0. На файле написано: e_win.exe. Может быть связана с северокорейской группой Lazarus APT. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34535
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> UDS:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Symantec -> ML.Attribute.HighConfidenc
Tencent -> Win32.Trojan.Filecoder.Hqvr
TrendMicro -> Ransom_Babuk.R002C0DKG21
---

© Генеалогия: VHD modifies + Babuk modified >> ChiChi 

Сайт "ID Ransomware" идентифицирует это как ChiChi.

Информация для идентификации

К зашифрованным файлам добавляется расширение: .chichi 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в середине ноября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. По некоторым данным связан с корейскими хакерами. 

Записка с требованием выкупа называется: Guide To Recover Your Files.txt

Содержание записки о выкупе:

!!! YOUR NETWORK ENCRYPTED !!!

What happend?

----------------------------------------------

Your computers and servers are encrypted, backups are deleted from your network and copied. We use strong encryption algorithms, so you cannot decrypt your data.

What guarantees?

----------------------------------------------

We guarantee that you can recover all your files safely and easily.

You can decrypt a single file for warranty - we can do it.

Find a *.chichi file on your computer and upload and get the original. (maximum file size - 512Kb)

Chat with support

But if you want to decrypt all your files, you need to pay.

Write to support if you want to buy decryptor.

How to contact us?

----------------------------------------------

Write to email :

semenov.akkim@protonmail.com, chichihao@protonmail.com, velbms@rediffmail.com, sonuamit555@rediffmail.com, smenov@bitmessage.de

How to Pay?

----------------------------------------------

You need pay $300,000

Payment has to be deposited in Bitcoin based on the Bitcoin/USD exchange rate at the moment of payment.

The address you have to make payment is:

bc1q0lasrt2qjgantwy0ylzrdttlmmz6ap09l8964g

Attention!

----------------------------------------------

Do not rename encrypted files. 

Do not try to decrypt your data using third party software, it may cause permanent data loss. 

You have to deposit payment within 72 hours (3 days) after receiving this message, otherwise, you will lose your files forever and we will start posting your data to the dark web. 

Перевод записки на русский язык:

!!! ВАША СЕТЬ ЗАШИФРОВАНА !!!

Что случилось?

----------------------------------------------

Ваши компьютеры и серверы зашифрованы, резервные копии удаляются из вашей сети и копируются. Мы используем надежные алгоритмы шифрования, поэтому вы не можете расшифровать свои данные.

Какие гарантии?

----------------------------------------------

Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы.

На гарантии можно расшифровать отдельный файл - мы сделаем это.

Найдите на своем компьютере файл * .chichi, загрузите его и получите оригинал. (максимальный размер файла - 512Кб)

Общайтесь со службой поддержки

Но если вы хотите расшифровать все свои файлы, вам нужно будет заплатить.

Напишите в поддержку, если хотите купить дешифратор.

Как с нами связаться?

----------------------------------------------

Напишите на email:

semenov.akkim@protonmail.com, chichihao@protonmail.com, velbms@rediffmail.com, sonuamit555@rediffmail.com, smenov@bitmessage.de

Как платить?

----------------------------------------------

Вам нужно заплатить 300000 долларов

Платеж должен быть внесен в биткойнах по обменному курсу биткойн / доллар США на момент платежа.

Адрес, по которому вы должны произвести платеж:

bc1q0lasrt2qjgantwy0ylzrdttlmmz6ap09l8964g

Внимание!

----------------------------------------------

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

Вы должны внести платеж в течение 72 часов (3 дней) после получения этого сообщения, иначе вы потеряете свои файлы навсегда, и мы начнем публиковать ваши данные в темной сети.

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов с помощью команды: 

vssadmin.exe  delete shadows /all /quiet

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Guide To Recover Your Files.txt - название файла с требованием выкупа;
e_win.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Файловый маркер в конце: 

ChiChiL0ckerSign

Файловый маркер:

chichigotmanagedyou

Сетевые подключения и связи:
Email: semenov.akkim@protonmail.com, chichihao@protonmail.com, velbms@rediffmail.com, sonuamit555@rediffmail.com, smenov@bitmessage.de
BTC: bc1q0lasrt2qjgantwy0ylzrdttlmmz6ap09l8964g

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 2c1bacb056654515171bedadaecfe67e

SHA-1: d45f9fccbb7c4c1221e3eb4d7801fa0a5910012e

SHA-256: d81f751a2b47e3195fb035c804fc7a54d1c51426f759c53048bd9837663a101a

Vhash: 0650766d55551d15156098z87hz33zffz

Imphash: ed16be167ae2e3d113863cd24a37317b

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

PXJ Ransomware - февраль 2020

VHD Ransomware - март - июль 2020

Beaf Ransomware - апрель 2021

ChiChi Ransomware - ноябрь  2021

ZZZZ Ransomware - декабрь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 декабря 2021: 

Расширение: .chichi

Записка: Guide To Recover Your Files.txt

Файл: e_win.exe

IOC: Результаты анализов: VT + IA

MD5: 9830f350bfe14307afe43cece54cce43

SHA-1: 4dcdfb0cc4a5de60a570392aafad244eb16390ea

SHA-256: 98482d217a0817af06217d4f02fc8bc48b31b4636ab8ef870dd2ad5056e43aea

Vhash: 0650766d55551d15156098z871z2dz33zffz

Authentihash: 612b15bb76fd3476d0038ed62e42675b8d9c8ee05a699d70190a1d96024aeda0

Imphash: 99863fd45ab25d34dfc8b7470a1658a5

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34721

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A

Malwarebytes -> Ransom.ChiChi

Microsoft -> Ransom:Win32/Babuk.MAK!MTB

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Filecoder.Hsrw

TrendMicro -> Ransom_Babuk.R002C0DLB21

Вариант от 2 декабря 2021:

Расширение: .zzzz

Записка: ***

Email: semenov.akkim@protonmail.com, crastard@rediffmail.com, smenov@bitmessage.de, smenov@mail2tor.com

Обновление от 3 мая 2022:

Некоторые исследователи подтверждают наше предположение о связи с корейскими хакерами. Только он связывают это с хакерами из Северной Кореи. 

Статья на сайте BleepingComputer >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, dnwls0719
 Andrew Ivanov (article author)
 Daniel Gordon
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.