Koxic Ransomware
Koxic Doxware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34888
BitDefender -> Trojan.GenericKD.47895359
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIT
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Ransom.Koxic.UPX
Microsoft -> Trojan:Win32/Woreflint.A!cl
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Filecoder.Dzuk
TrendMicro -> TROJ_GEN.R03FC0WAH22
---
© Генеалогия: ??? >> Koxic
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в сентябре 2021 и заново проявилась в середине января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение по шаблону: .KOXIC_XXXXX
Под XXXXX находятся 5 случайных английских букв в верхнем регистре.
Примеры таких расширений:
.KOXIC_JRCOD
.KOXIC_PLCAW
.KOXIC_JEWLD
Записка с требованием выкупа называется по шаблону: WANNA_RECOVER_KOXIC_FILEZ_XXXXX.txt
Записка с требованием выкупа называется по шаблону: WANNA_RECOVER_KOXIC_FILEZ_XXXXX.txt
К названию записки добавляется XXXXX из расширения.
Примеры таких записок:
WANNA_RECOVER_KOXIC_FILEZ_PLCAW.txt
WANNA_RECOVER_KOXIC_FILEZ_JRCOD.txt
WANNA_RECOVER_KOXIC_FILEZ_JEWLD.txt
Содержание записки о выкупе (1-й вариант):
--=== Hello. ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable.
All sensitive information also leaked.
By the way, everything is possible to recover (restore), but you need to follow our instructions.
Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should send sample to us to decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter.
But you will lose your time and data, cause just we have the private key.
In practise-time is much more valuable than money.
[+] How to contact us? [+]
You have two ways:
1) [Recommended] Using an email
Just write us an email to wilhelmkox@tutanota.com
2) Quick contact with us or if you will not receive our letters download qTox and ADD our TOXID: F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F
How to download QTOX:
- hxxxs://tox.chat/download.html
- hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe
Add our mails to contacts so as not to lose letters from us.
Check your spam sometimes, our emails may get there.
[+] Consequences if we do not find a common language [+]
1. The data were irretrievably lost.
2. Leaked data will be published or sold on blmarket (or to competitors).
3. In some cases, DDOS attacks will be applied to your inftastructure.
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back.
From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!
Your UserID:
7A7483EFBB230F1AF454DEFDC27*** (всего 1094 знака)
Перевод записки на русский язык:
--=== Привет. ===---
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны.
Вся конфиденциальная информация также утекла.
Кстати, вернуть (восстановить) можно все, но нужно следовать нашей инструкции.
Иначе вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Нам абсолютно наплевать на вас и ваши сделки, кроме получения выгоды.
Если мы не будем выполнять свою работу и обязательства - с нами никто сотрудничать не будет. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, Вы должны отправить нам образец для расшифровки одного файла бесплатно. Это наша гарантия.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения.
Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ.
На практике время гораздо ценнее денег.
[+] Как с нами связаться? [+]
У вас есть два пути:
1) [Рекомендуется] Использование email
Просто напишите нам письмо на адрес wilhelmkox@tutanota.com
2) Быстрый контакт с нами или если вы не получите наши письма, скачайте qTox и ДОБАВЬТЕ наш TOXID: F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F
Как скачать QTOX:
- hxxxs://tox.chat/download.html
- hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe
Добавляйте наши почты в контакты, чтобы не терять письма от нас.
Иногда проверяйте спам, наши письма могут попасть туда.
[+] Последствия, если мы не найдем общий язык [+]
1. Данные безвозвратно утеряны.
2. Утечка данных будет опубликована или продана на blmarket (или конкурентам).
3. В некоторых случаях DDOS-атаки будут применяться к вашей инфраструктуре.
!!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменять файлы самостоятельно, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, Утерю всех данных.
!!! !!! !!!
ЕЩЕ РАЗ: В ваших интересах вернуть свои файлы.
Со своей стороны, мы (лучшие специалисты) делаем все для восстановления, но просьба не мешать.
!!! !!! !!!
Ваш UserID:
7A7483EFBB230F1AF454DEFDC27*** (всего 1094 знака)
---
Содержание записки о выкупе (2-й вариант):
Hello, all your important files are encrypted and sensitive data leaked.
To decrypt your files and avoid other unpleasant things you need to buy special decryption tool.
Contact us via koxic@cock.li or koxic@protonmail.com and tell your UserID.
This is the only way to decrypt your files and avoid public disclosure of data .
Do not try to use third party software (it may corrupt your files).
We respect black market rules. We can confirm the ability to decrypt your files (and of course the evidence of the leak ),
Send us several unimportant files (do not try to deceive us).
Your UserID (send it to us for decryption):
7A76EE61010997BC8932F7EAF2*** (всего 1094 знака)
Перевод записки на русский язык:
Привет, все ваши важные файлы зашифрованы, а деликатные данные слиты.
Чтобы расшифровать ваши файлы и избежать других неприятных вещей, вам нужно купить специальный инструмент для расшифровки.
Свяжитесь с нами по адресу koxic@cock.li или koxic@protonmail.com и сообщите ваш UserID.
Это единственный способ расшифровать ваши файлы и избежать публичного раскрытия данных.
Не пытайтесь использовать сторонние программы (это может повредить ваши файлы).
Мы уважаем правила черного рынка. Мы можем подтвердить возможность расшифровки ваших файлов (и конечно доказательства утечки),
Пришлите нам несколько неважных файлов (не пытайтесь нас обмануть).
Ваш UserID (отправьте его нам для расшифровки):
7A76EE61010997BC8932F7EAF2*** (всего 1094 знака)
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, завершает работу и отключает запуск некоторых служб:
vssadmin delete shadows /all /quietsc config browsersc config browser start=enabledsc stop vsssc config vss start=disabledsc stop MongoDBsc config MongoDB start=disabledsc stop SQLWritersc config SQLWriter start=disabledsc stop MSSQLServerOLAPServicesc config MSSQLServerOLAPService start=disabledsc stop MSSQLSERVERsc config MSSQLSERVER start=disabledsc stop MSSQL$SQLEXPRESSsc config MSSQL$SQLEXPRESS start=disabledsc stop ReportServersc config ReportServer start=disabledsc stop OracleServiceORCLsc config OracleServiceORCL start=disabledsc stop OracleDBConsoleorclsc config OracleDBConsoleorcl start=disabledsc stop OracleMTSRecoveryServicesc config OracleMTSRecoveryService start=disabledsc stop OracleVssWriterORCLsc config OracleVssWriterORCL start=disabledsc stop MySQLsc config MySQL start=disabled
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
WANNA_RECOVER_KOXIC_FILEZ_XXXXX.txt - название файла с требованием выкупа;
➤ Модифицирует в реестре настройки безопасности и защиту Windows в реальном времени. Отключает уведомления панели задач.
Самоудаляется с помощью командного файла.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
WANNA_RECOVER_KOXIC_FILEZ_XXXXX.txt - название файла с требованием выкупа;
enc.exe (fo60iz92f.dll) - название вредоносного файла;
NTNNFVAWI - файл с информацией о компьютере.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: wilhelmkox@tutanota.com
Email-2: koxic@cock.li, koxic@protonmail.com
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 5a44e1d5691ec9395281123ea0bd501f
SHA-1: 64566d5049479227d2eff3d983b127c0339974cd
SHA-256: 7a5e20e021dc29a07cad61f4d0bdb98e22749f13c3ace58220bfe978908bb7e9
Vhash: 035056657d555560b8z667z27z13z1fz
Imphash: 79c5ab03c02854a056630e291956340b
---
MD5: 14ee62fcc9163509856671400429ad55
SHA-1: 7544332b52769ca853d900669ef5e272a2ae1665
SHA-256: 699159e695e230a48d94b6103b48940ed596d0b48fb6d936c04d86eed539cecd
Vhash: 01503e0f7d5019z47z17z13z1fz
Imphash: 07253c21dea4ccc980c087252fddc7a8
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: dnwls0719, Akbird Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
