H3llB0rn

H3llB0rn Ransomware

HellBorn Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: H3llB0rn. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> H3llB0rn (HellBorn)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

You have been HACKED, and your hard drives have been encrypted with military grade encryption. The only way for you to get your data back is to pay for a decryption key. To do so, please follow the steps below and we can promise you that all of your data will be recovered.

Steps to recover your data:

1. Send *** USD worth of Bitcoin to the following bitcoin address:

***

2. Wait for an email containing your Decryption Key (you should get one within an hour of your purchase)

3. Submit the decryption key below to get your files back

Enter Decryption Key (PRESS ENTER TO SUBMIT):

You have 48 hours until your data is deleted!

NOTE: IF HARD DISK EJECTION OR ANY KIND OF EXTERNAL TAMPERING IS DETECTED,

YOUR BIOS WILL BE REFLASHED, EFFECTIVELY DESTROYING YOUR COMPUTER.

Перевод записки на русский язык:

Вы ВЗЛОМАНЫ, и ваши жесткие диски были зашифрованы шифрованием военного уровня. Единственный способ вернуть свои данные — заплатить за ключ дешифрования. Для этого выполните следующие действия, и мы гарантируем, что все ваши данные будут восстановлены.

Шаги для восстановления ваших данных:

1. Отправьте *** долларов в биткойнах на следующий биткойн-адрес:

***

2. Дождитесь письма с вашим ключом дешифрования (вы должны получить его в течение часа после покупки).

3. Отправьте приведенный ниже ключ дешифрования, чтобы вернуть свои файлы.

Введите ключ дешифрования (НАЖМИТЕ ENTER ДЛЯ ОТПРАВКИ):

У вас есть 48 часов, пока ваши данные не будут удалены!

ПРИМЕЧАНИЕ: ЕСЛИ ОБНАРУЖИТСЯ ИЗВЛЕЧЕНИЕ ЖЕСТКОГО ДИСКА ИЛИ ЛЮБОЙ ТИП ВНЕШНЕГО ВЗЛОМА, ВАШ БИОС БУДЕТ ПЕРЕПРОШИТ, ЭФФЕКТИВНО УНИЧТОЖИВ ВАШ КОМПЬЮТЕР.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Распространяется на форуме CryptBB в Даркнете. Точный адрес намеренно не указываем. Чтобы не повторять рекламный текст на форуме, приводим здесь только скриншот с описанием вредоносных функций. 

Краткое описание: 

Исполняемый файл зашифрован. 

Перезаписывает MBR, блокирует загрузку Windows.

Загружает экран с требованием выкупа.

Повреждает ОС Windows 10, 8, 7 и XP для x64 и x86.

Не распространяется как RaaS, только покупка за $125. 

Разработчик предупреждает, чтобы не запускали на своем ПК. 

После покупки и доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: reductionreal@elude.in

Jabber: reduction@jabb3r.org
BTC: bc1qdja2vy8kmd0acv64ct985h57hnkvasxxm3hdn5

XMR: 889mPn1tFf8j9rQsY2ud4p9HNjkLC38vY2Ck2GQpxFQnC39UzatuxivcBzv5BqXNGQh9WTbSDyQUQAcqZYCBEx9CE7s9dM6

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 RakeshKrish12
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.