Если вы не видите здесь изображений, то используйте VPN.

пятница, 20 августа 2021 г.

YanluoWang

YanluoWang Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English




Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в несколько BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Используется криптографическая библиотека с открытым исходным кодом Crypto++. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34762
BitDefender -> Trojan.GenericKD.38174063, Trojan.GenericKD.47564204
ESET-NOD32 -> A Variant Of Win32/Filecoder.OJO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen, Trojan-Ransom.Win32.Yanluowang
Malwarebytes -> Malware.AI.113840946, Malware.AI.2179639917
Microsoft -> Ransom:Win32/Yanluow.A, Ransom:Win32/Yanluow.STA
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Ransom.Yanluowang
Tencent -> Malware.Win32.Gencirc.11de89cb, Win32.Trojan.Malware.Bthe
TrendMicro -> Ransom.Win32.YANLUOWANG.THLOCBA
---

© Генеалогия: 
Thieflock RaaS + безымянные варианты >> YanluoWang


Сайт "ID Ransomware" идентифицирует это как 
Yanluowang



Информация для идентификации

Активность этого крипто-вымогателя была замечена в августе-сентябре, в начале октября и продолжилась в ноябре 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .yanluowang

Записка с требованием выкупа называется: README.txt

YanluoWang Ransomware note

Содержание записки о выкупе:
Hi, since you are reading this it means you have been hacked.
In addition to encrypting all your systems, deleting backups, we also downloaded 2 terabytes of confidential information. 
Here's what you shouldn't do: 
1) Contact the police, fbi or other authorities before the end of our deal
2) Contact the recovery company so that they would conduct dialogues with us. (This can slow down the recovery, and generally put our communication to naught)
3) Do not try to decrypt the files yourself, as well as do not change the file extension yourself !!! This can lead to the impossibility of their decryption.
4) Keep us for fools)
We will also stop any communication with you, and continue DDoS, calls to employees and business partners.
In a few weeks, we will simply repeat our attack and delete all your data from your networks, WHICH WILL LEAD TO THEIR UNAVAILABILITY!
Here's what you should do right after reading it:
1) If you are an ordinary employee, send our message to the CEO of the company, as well as to the IT department
2) If you are a CEO, or a specialist in the IT department, or another person who has weight in the company, you should contact us within 24 hours by email.
We are ready to confirm all our intentions regarding DOOS, calls, and deletion of the date at your first request.
As a guarantee that we can decrypt the files, we suggest that you send several files for free decryption.
Mails to contact us: 
1) *** 
2) *** 

Перевод записки на русский язык:
Привет, раз вы это читаете, значит, вас взломали.
Кроме шифрования всех ваших систем, удаления резервных копий, мы также загрузили 2 терабайта конфиденциальной информации.
Вот чего не следует делать:
1) Связываться с полицией, ФБР или другими органами до завершения нашей сделки
2) Связываться с компанией по восстановлению, чтобы они вели с нами диалог. (Это может замедлить восстановление и вообще свести на нет наше общение)
3) Не пытайтесь сами расшифровать файлы, а также сами не меняйте расширение файла !!! Это может привести к невозможности их расшифровки.
4) Не держите нас за дураков)
Мы также прекратим любое общение с вами и продолжим DDoS-атаки, звонки сотрудникам и деловым партнерам.
Через несколько недель мы просто повторим нашу атаку и удалим все ваши данные из ваших сетей, ЧТО ПРИВЕСТИ К ИХ НЕДОСТУПНОСТИ!
Вот что вам следует сделать сразу после его прочтения:
1) Если вы рядовой сотрудник, отправьте наше сообщение генеральному директору компании, а также в ИТ-отдел
2) Если вы генеральный директор, специалист ИТ-отдела или другое лицо, имеющее вес в компании, вы должны связаться с нами в течение 24 часов по электронной почте.
Мы готовы подтвердить все наши намерения относительно DDOS, звонков и удаления даты по вашему первому запросу.
В качестве гарантии того, что мы сможем расшифровать файлы, мы предлагаем вам отправить несколько файлов для бесплатной расшифровки.
Почта для связи с нами:
1) *** 
2) *** 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ По данным исследователей в большинстве случаев используется PowerShell для загрузки инструментов в скомпрометированные системы для разведке. Затем злоумышленники включают RDP через реестр, чтобы обеспечить удаленный доступ. После получения начального доступа злоумышленники обычно развертывают ConnectWise (ранее известный как ScreenConnect), легитимный инструмент удаленного доступа. Для горизонтального перемещения и идентификации интересующей системы, к примеру сервер Active Directory жертвы, злоумышленники развертывают Adfind, бесплатный инструмент, который можно использовать для запроса Active Directory, и SoftPerfect Network Scanner (netscan.exe), общедоступный инструмент, используемый для обнаружения имен хостов и сетевых служб.

➤ Для кражи учётных данных и хищения другой информации используются различные инструменты:
GrabFF: для сброса паролей из Firefox; 
GrabChrome: для сброса паролей из Chrome; 
BrowserPassView: для сброса паролей из Internet Explorer и других браузеров;
KeeThief: для копирования главного ключа из KeePass;
FileGrab: для захвата экрана и эксфильтрации файлов;
и другие. 



➤ Использует скрипт PowerShell, в очередной раз подтверждая вредоносность этой технологии. 
В командной оболочке использует команду NET STOP для остановки системных служб ОС Windows. 
/c powershell -command "Get-VM | Stop-VM -Force"
cmd.exe
net stop MSSQLServerADHelper100
net stop MSSQL$ISARS
net stop MSSQL$MSF
net stop SQLAgent$ISARS
net stop SQLAgent$MSF
net stop SQLBrowser
net stop ReportServer$ISARS
net stop SQLWriter
net stop WinDefend
net stop mr2kserv
net stop MSExchangeADTopology
net stop MSExchangeFB
net stop MSExchangeIS
net stop MSExchangeS
net stop ShadowProtectSvc
net stop SPAdminV4
net stop SPTimerV4
net stop SPTraceV4
net stop SPUserCodeV4
net stop SPWriterV4
net stop SPSearch4
net stop IISADMIN
net stop firebirdguardiandefaultinstance
net stop ibmiasrw
net stop QBCFMonitorService
net stop QBVSS
net stop QBPOSDBServiceV12
net stop "IBM Domino Server (CProgramFilesIBMDominodata)"
net stop "IBM Domino Diagnostics (CProgramFilesIBMDomino)"
net stop "Simply Accounting Database Connection Manager"
net stop QuickBooksDB1
net stop QuickBooksDB2
net stop QuickBooksDB3
net stop QuickBooksDB4
net stop QuickBooksDB5
net stop QuickBooksDB6
net stop QuickBooksDB7
net stop QuickBooksDB8
net stop QuickBooksDB9
net stop QuickBooksDB10
net stop QuickBooksDB11
net stop QuickBooksDB12
net stop QuickBooksDB13
net stop QuickBooksDB14
net stop QuickBooksDB15
net stop QuickBooksDB16
net stop QuickBooksDB17
net stop QuickBooksDB18
net stop QuickBooksDB19
net stop QuickBooksDB20
net stop QuickBooksDB21
net stop QuickBooksDB22
net stop QuickBooksDB23
net stop QuickBooksDB24
net stop QuickBooksDB25

Использует команду taskkill для завершения процессов по идентификаторам или именам исполняемых файлов. 
taskkill /f /im mysql*
taskkill /f /im dsa*
taskkill /f /im veeam*
taskkill /f /im chrome*
taskkill /f /im iexplore*
taskkill /f /im firefox*
taskkill /f /im outlook*
taskkill /f /im excel*
taskkill /f /im taskmgr*
taskkill /f /im tasklist*
taskkill /f /im Ntrtscan*
taskkill /f /im ds_monitor*
taskkill /f /im Notifier*
taskkill /f /im putty*
taskkill /f /im ssh*
taskkill /f /im TmListen*
taskkill /f /im iVPAgent*
taskkill /f /im CNTAoSMgr*
taskkill /f /im IBM*
taskkill /f /im bes10*
taskkill /f /im black*
taskkill /f /im robo*
taskkill /f /im copy*
taskkill /f /im sql
taskkill /f /im store.exe
taskkill /f /im sql*
taskkill /f /im vee*
taskkill /f /im wrsa*
taskkill /f /im wrsa.exe
taskkill /f /im postg*
taskkill /f /im sage*

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
49d828087ca77abc8d3ac2e4.exe - случайное название вредоносного файла;
ConsoleApplication2.pdb
rijndael_simd.cpp
gf2n_simd.cpp



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\111\Desktop\wifi\project\ConsoleApplication2\Release\ConsoleApplication2.pdb
C:\Users\User\AppData\Local\Temp\49d828087ca77abc8d3ac2e4.exe
C:\Users\cake\Desktop\project-main\project-main\ConsoleApplication2\cryptopp-master\rijndael_simd.cpp
C:\Users\cake\Desktop\project-main\project-main\ConsoleApplication2\cryptopp-master\gf2n_simd.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: адреса скрыты исследователями 
BTC: не показаны 
исследователями 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: ba95a2f1f1f39a24687ebe3a7a7f7295
SHA-1: b4da6af343b27594fee7109a02ef699ba52f6e46
SHA-256: 49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d
Vhash: 035056655d555560c3z42z63hz1lz
Imphash: 380467bc2cc16b8ce64d4802632fe491
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: afaf2d4ebb6dc47e79a955df5ad1fc8a
SHA-1: c418ce055d97928f94ba06b5de8124a601d8f632
SHA-256: d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c
Vhash: 045056655d555560c3z42z63hz1lz
Imphash: 380467bc2cc16b8ce64d4802632fe491


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message 
 Write-up, Write-up, Topic of Support
 * 
18 апреля 2022 года. Файлы можно расшифровать. 
Поддержка расшифровки добавлена в RannohDecryptor 
Ссылки для загрузки:
https://support.kaspersky.ru/8547
https://support.kaspersky.com/8547
 Thanks: 
 Symantec, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *