Khonsari Ransomware
Khonsari Cover-Ransomware
Log4Shell Ransomware
(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31
BitDefender -> Trojan.GenericKD.38255775
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ANF
Malwarebytes -> Ransom.Khonsari
Microsoft -> Ransom:MSIL/Khonsari.A
Rising -> Trojan.Generic/MSIL@AI.91 (RDM.MSIL:VRn24*
Symantec -> Ransom.Khonsari
Tencent -> Msil.Trojan.Encoder.Wsan
TrendMicro -> Ransom.MSIL.KHONSARI.YXBLN
---
© Генеалогия: публичные исходники низкого качества >> Khonsari
Этимология названия:
Вымогатели использовали чужую фамилию Khonsari для названия своей программы-вымогателя и чужую контактную информацию. Поэтому неясно, является ли этот Khonsari реальной жертвой атаки вымогателя или указан с какой-то целью. Упоминая семью Khonsari вымогатели могли иметь ввиду и других представителей фамилии, в том числе известного сценариста и режиссёра компьютерных игр Khonsari. Поиск в Google показывает немало людей с такой фамиией. Более того, название файла FecitAntiques.exe указывает на компанию в Луизиане (США).
Информация для идентификации
Активность этого крипто-вымогателя была в первой половине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .khonsari
Записка с требованием выкупа называется: HOW TO GET YOUR FILES BACK.TXT
Содержание записки о выкупе:
Перевод записки на русский язык:
---
Кажется странным, что вымогатели не требуют ничего для себя, не дают никаких контактов для связи, чтобы пострадавшие могли заплатить выкуп и вернуть файлы. По этой причине программу-вымогатель уже назвали вайпером (wiper), который просто портит файлы. Но на самом деле злоумышленники имеют вполне определённые цели.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Подробная информация о применении уязвимости Log4Shell и срабатывании, описана в статье Bitdefender.
Записка с требованием выкупа называется: HOW TO GET YOUR FILES BACK.TXT
Your files have been encrypted and stolen by the Khonsari family.
If you wish to decrypt , call (225) 287-1309 or email karenkhonsari@gmail.com.
If you do not know how to buy btc, use a search engine to find exchanges.
DO NOT MODIFY OR DELETE THIS FILE OR ANY ENCRYPTED FILES. IF YOU DO, YOUR FILES MAY BE UNRECOVERABLE.
Your ID is:dmQLVm/tVhClQUxk8LP6***
Перевод записки на русский язык:
Ваши файлы зашифрованы и украдены семьей Хонсари.
Если вы хотите расшифровать, звоните (225) 287-1309 или email на karenkhonsari@gmail.com.
Если вы не знаете, как купить биткойны, используйте поисковую систему для поиска бирж.
НЕ ИЗМЕНЯЙТЕ И НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ ИЛИ ЛЮБЫЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ. ЕСЛИ ВЫ ЭТО СДЕЛАЕТЕ, ВАШИ ФАЙЛЫ НЕВОЗМОЖНО БУДЕТ ВОССТАНОВИТЬ.
Ваш ID: dmQLVm/tVhClQUxk8LP6***
Кажется странным, что вымогатели не требуют ничего для себя, не дают никаких контактов для связи, чтобы пострадавшие могли заплатить выкуп и вернуть файлы. По этой причине программу-вымогатель уже назвали вайпером (wiper), который просто портит файлы. Но на самом деле злоумышленники имеют вполне определённые цели.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Подробная информация о применении уязвимости Log4Shell и срабатывании, описана в статье Bitdefender.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
➤ Файлы с расширениями .ini и .lnk игнорируются.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ После запуска вредоносный файл перечислит все диски и зашифрует их полностью, кроме диска C:\.
На диске C:\ будут зашифрованы только следующие пользовательские папки:
C:\Users\User\Documents
C:\Users\User\Videos
C:\Users\User\Pictures
C:\Users\User\Downloads
C:\Users\User\Desktop
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
➤ Файлы с расширениями .ini и .lnk игнорируются.
➤ Пытается установит майнер криптовалюты XMRig. По этой причине я отношу Khonsari к Cover-Ransomware (CRW, CRw). Я ввел в Дайджесте новое название "Cover-Ransomware" для программ-вымогателей, которые являются прикрытием для установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя подобным образом, уже были описаны в нашем Дайджесте, без выделения в отдельный вид. Другие Cover-Ransomware: CoronaVirus Ransomware, Sadogo Ransomware, ShadowCryptor Ransomware.
Файлы, связанные с этим Ransomware:
HOW TO GET YOUR FILES BACK.TXT - название файла с требованием выкупа;
FecitAntiques.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\FecitAntiques.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Phone: (225) 287-1309
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Phone: (225) 287-1309
Email: karenkhonsari@gmail.com
URL: hxxx://3.145.115.94/Main.class
hxxx://3.145.115.94/zambo/groenhuyzen.exe
hxxx://3.145.115.94/zambos_caldo_de_p.txt
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 6ac57a1e090e7abdb9b7212e058c43c6
SHA-1: 0a1e239348a73b1a95ac1767c8afebe4b98cdeff
SHA-256: f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789
Vhash: 214036551511a082e60020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Write-up, Topic of Support Ransomware Advisory: Log4Shell
Thanks: dnwls0719, Michael Gillespie, Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
