Blaze Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34363
BitDefender -> Generic.Ransom.Babuk.!s!.G.63351AD4
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.3155384457
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Rising -> Ransom.Babuk!1.D7A0 (CLOUD)
Tencent -> Malware.Win32.Gencirc.11e24979
TrendMicro -> Ransom.Win32.BABUK.SMRD1
---
© Генеалогия: Babuk (modified) >> Blaze
Активность этого крипто-вымогателя была в середине-конце декабря 2021 г. и продолжилась в январе 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .blaze
В конец каждого зашифрованного файла добавляется маркер "penetrated by blaze ransomware!!"
Записка с требованием выкупа называется: How To Decrypt.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов с помощью команды:
В конец каждого зашифрованного файла добавляется маркер "penetrated by blaze ransomware!!"
Записка с требованием выкупа называется: How To Decrypt.txt
Blaze Ransomware
Your data has been stolen and encrypted.
You can communicate with us with your privacy guaranteed using https://tox.chat/download.html
Our TOX: 35F36AF07A7FD5232EB10F69DB4A6FB4AFA54A88357F0CD23816A6756FAA6F1E6462546B1727
or mail: blazesupp@protonmail.com
If you choose to ignore us and not pay the ransom, all stolen data will be published on the TOR website.
hxxx://imugmohnfb6akqz7jb6rqjusiwgnthjgm37mjygondgkwwyw3hwudkqd.onion
Caution!
Do not modify the encrypted files, otherwise you may lose them permanently.
Перевод записки на русский язык:
Blaze Ransomware
Ваши данные украдены и зашифрованы.
Вы можете общаться с нами с вашей частной гарантией, используя https://tox.chat/download.html.
Наш TOX: 35F36AF07A7FD5232EB10F69DB4A6FB4AFA54A88357F0CD23816A6756FAA6F1E6462546B1727
или почта: blazesupp@protonmail.com
Если вы решите игнорировать нас и не платить выкуп, все украденные данные будут опубликованы на сайте TOR.
hxxx://imugmohnfb6akqz7jb6rqjusiwgnthjgm37mjygondgkwwyw3hwudkqd.onion
Осторожно!
Не изменяйте зашифрованные файлы, иначе вы можете потерять их безвозвратно.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов с помощью команды:
/c vssadmin.exe delete shadows /all /quiet
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
How To Decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Пропускаемые типы файлов:
.blaze
.exe
.dll
Пропускаемые директории и файлы:
AppData
Boot
Windows
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
ProgramData
All Users
bootmgr
ntldr
#recycle
ADMIN$
How To Decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://imugmohnfb6akqz7jb6rqjusiwgnthjgm37mjygondgkwwyw3hwudkqd.onion
Email-1: blazesupp@protonmail.com
Email-2: gosupp@email.cz
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 8373085c527b21c1b76748d65aac4d19
SHA-1: 9f87288ce3c3dcb182bb468a348813f08be3b42b
SHA-256: 25835a890a218fd26bfd8b23696576402b5eb8a4c9af4a51529e14c4f00a9cce
Vhash: 0840565d1555155098z391z2dz33z1fz
Imphash: 202fa14f574c71c2f95878e40a79322d
MD5: a0e06b0687764ee9a27bc9f02e683315
SHA-1: c866a2cf7ca91ef993178b9dfcb2e5dbd89a020f
SHA-256: 80c58ad933073630a37ad8d78739807b1f4b6f5f65900c59c8424b5df11c632b
Vhash: 0840565d1555155098z391z2dz33z1fz
Imphash: 202fa14f574c71c2f95878e40a79322d
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 10 января 2022:
Расширение: .blaze
Записка: How To Decrypt.txt
Email: gosupp@email.cz
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Другие образцы см. на сайте BA:
https://bazaar.abuse.ch/browse/tag/blaze/
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author) quietman7 *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.