Этот крипто-вымогатель шифрует данные пользователей с помощью модифицированного алгоритма HC-128 + Curve25519, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Hamster, указано в записке. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34560
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Malwarebytes -> Malware.AI.3103134655
Microsoft -> Ransom:Win32/Hamster.AA!MTB
Rising -> Trojan.Generic@ML.90 (RDML:i5R***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.BABUK.SMRD1
---
© Генеалогия: v5 Babuk modified >> Hamster
Обнаружения:
DrWeb -> Trojan.Encoder.34560
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Malwarebytes -> Malware.AI.3103134655
Microsoft -> Ransom:Win32/Hamster.AA!MTB
Rising -> Trojan.Generic@ML.90 (RDML:i5R***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.BABUK.SMRD1
---
© Генеалогия: v5 Babuk modified >> Hamster
Сайт "ID Ransomware" идентифицирует это как Babuk, ранее Hamster.
Информация для идентификации
Активность этого крипто-вымогателя была в начале ноября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .hamster
Записка с требованием выкупа называется: How To decrypt.txt
Содержание записки о выкупе:
Hamster
Перевод записки на русский язык:
Hamster
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
How To decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Файловый маркер выглядит случайным:
E2 04 9E 30 89 A6 50 29 D1 F4 55 E4 E5 E7 09 DB 05 DB 6C 8B C5 3F 30 FC FC 46 A7 EA E1 F6 B2 82
Сетевые подключения и связи:
TOX ID: B74F33BBBA637DCCFCD8FA337***
Записка с требованием выкупа называется: How To decrypt.txt
Содержание записки о выкупе:
Hamster
Hello there, I'm the Hamster!
What's happened?
Well, it's pretty simple: hamster penetrated your network, carried out compromised files,
and encrypted all the stuff.
Why am I reading this?
Because your technicans are careless, get rid of security measures, skipped updates, etc.
Do you want to turn it back?
Sure thing, right? It also pretty simple: contact me during 72 hours since incident discovery,
and you will get discount for full data recovery. Moreover, I'll provide advices and tell you how to fix this vulnerability.
Use the TOX messenger to contact: https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
My TOX ID:
B74F33BBBA637DCCFCD8FA337***
Start messaging from incident ID, which has been assigned to you: 4815d234-c15e-419c-8a53-4f18a22dce76
What happens if you decide to avoid negotiations?
Well, I could sell most worthful stuff to your competitors, the rest will go to the clearnet and mass media.
It will cost you reputation.
Перевод записки на русский язык:
Hamster
Привет, я Хомяк!
Что произошло?
Все довольно просто: хомяк проник в вашу сеть, унес скомпрометированные файлы, и все зашифровал.
Почему я это читаю?
Т.к. ваши техники неосторожны, избавьтесь от мер безопасности, пропустите обновления и т.д.
Вы хотите вернуть его обратно?
Правда хотите? Это также довольно просто: свяжитесь со мной в течение 72 часов с момента обнаружения инцидента,
и вы получите скидку на полное восстановление данных. Более того, я дам советы и расскажу, как исправить эту уязвимость.
Используйте мессенджер TOX для связи: https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
Мой TOX ID:
B74F33BBBA637DCCFCD8FA337***
Начать отправку сообщений с присвоенного вам идентификатора инцидента: 4815d234-c15e-419c-8a53-4f18a22dce76
Что будет, если вы решите избежать переговоров?
Что ж, я мог бы продать самое ценное вашим конкурентам, остальное будет разбросано по сети и СМИ.
Это будет стоить вам репутации.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
How To decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Файловый маркер выглядит случайным:
E2 04 9E 30 89 A6 50 29 D1 F4 55 E4 E5 E7 09 DB 05 DB 6C 8B C5 3F 30 FC FC 46 A7 EA E1 F6 B2 82
Сетевые подключения и связи:
TOX ID: B74F33BBBA637DCCFCD8FA337***
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 17 ноября 2021:
Расширение: .hamster
Записка: How To decrypt.txt
Мьютекс: HamsterLiveHere
IOC: VT: MD5: 3545d87099e79c7293aec8750ff87335
Файл: e_win.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34560
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Malwarebytes -> Malware.AI.3103134655
Microsoft -> Ransom:Win32/Hamster.AA!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.BABUK.SMRD1
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author) Michael Gillespie *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
