Если вы не видите здесь изображений, то используйте VPN.

суббота, 26 февраля 2022 г.

CheersCrypt

Cheers Extortion Group

Cheers Hacking Team

Cheers Doxware

Cheers Ransomware

CheersCrypt Ransomware

(хакеры-вымогатели, доксеры, публикаторы) (первоисточник на русском)
Translation into English


Cheers Ransomware

Эти хакеры-вымогатели атакуют ресурсы бизнес-пользователей, похищают их данные, а затем требует выкуп, чтобы вернуть файлы, не опубликовав их для всеобщего обозрения. Оригинальное название группы-вымогателей: Cheers Hacking Team (CHT). 
---


Сайт "ID Ransomware" идентифицирует это как Cheers


Информация для идентификации

Активность этой группы хакеров-вымогателей началась с февраля 2022 г. и продолжалась после. 

Группа хакеров-вымогателей отправляет пострадавшей компании и её клиентам/партнерам персонифицированные сообщения, вместо общей для всех записки о выкупе. 

Пример записки: How To Restore Your Files.txt

Cheers Ransomware note записка


Страницы сайта хакеров-вымогателей
На момент первичной подготовки статьи на сайте хакеров-вымогателей было 3 пресс-релиза. Среди них есть бельгийский госпиталь и две неназванные компании.  






Внимание! Новые элементы, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Вредоносные инструменты, которые используют хакеры-вымогатели, могут распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся доксингу:
Нет специального списка, все зависит от объекта нападения и конкретной цели. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Инструменты группы: 
Хакерская группа может использовать учётные данные VPN для получения первоначального доступа к сети жертвы. Могут использоваться Cobalt Strike и AnyDesk или другое ПО для удаленного доступа, а после получения доступа инструменты повышения привилегий, в том числе Mimikatz или PowerShell для кражи файлов, содержащих данные Active Directory. 

Предполагается, что CheersCrypt связана с китайской хакерской группой Emperor Dragonfly, которая, часто переключается между семействами программ-вымогателей, чтобы избежать установления авторства.

Шифрование: 
В схеме шифрования используется пара, состоящая из открытого и закрытого ключей для получения секретного ключа (потоковое шифрование SOSEMANUK) и встраивания его в каждый зашифрованный файл. Закрытый ключ, используемый для создания секретного ключа, стирается, чтобы предотвратить восстановление.​



Сетевые подключения и связи:
Tor-URL: 
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Write-up, Write-Up
 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PSRansom

PSRansom Ransomware

PowerShell Ransomware Simulator

(вымогатель-симулятор) (первоисточник)
Translation into English



Этот крипто-симулятор не шифрует данные пользователей с помощью комбинации алгоритмов, но позволяет имитировать процесс шифрования файлов программой-вымогателем, используя только PowerShell и имитируя эксфильтрацию файлов через собственный C2 в Windows
и Linux. Оригинальное название: PSRansom. На файле написано: PSRansom.ps1. Разработчик: JoelGMSec. 
---
Обнаружения:
DrWeb -> 
BitDefender -> Generic.Ransom.PSRansom.A.FB30B09D
ESET-NOD32 -> PowerShell/HackTool.Agent.AD Potentially Unsafe
Kaspersky -> Trojan-Ransom.PowerShell.PSRansom.a
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> PowerShell/HackTool.Agent.AD Potentially Unsafe
---

© Генеалогия: PSRansom сам по себе. 


Сайт "ID Ransomware" идентифицирует это как PSRansom


Информация для идентификации

Первичная информация была опубликована в конце февраля 2022 г. Разработчик представил свой крипто-симулятор на своем сайте и на сайте GitHub. 

Требования: наличие PowerShell 4.0 или выше. 

К зашифрованным файлам добавляется расширение: *нет данных*.
Записка с требованием выкупа называется: *** нет данных ***.

Содержание записки о выкупе:
All your files have been encrypted by PSRansom!
***

То, что можно назвать самопредставлением, отражено в тексте: 



 ____  ____  ____
 |  _ \/ ___||  _ \ __ _ _ __  ___  ___  _ __ ___
 | |_) \___ \| |_) / _' | '_ \/ __|/ _ \| '_ ' _ \
 |  __/ ___) |  _ < (_| | | | \__ \ (_) | | | | | |
 |_|   |____/|_| \_\__,_|_| |_|___/\___/|_| |_| |_|

  ----------------- by @JoelGMSec ----------------

 Info:  This tool helps you simulate encryption process of a
        generic ransomware in PowerShell with C2 capabilities

 Usage: .\PSRansom.ps1 -e Directory -s C2Server -p C2Port
          Encrypt all files & sends recovery key to C2Server
          Use -x to exfiltrate and decrypt files on C2Server

        .\PSRansom.ps1 -d Directory -k RecoveryKey
          Decrypt all files with recovery key string

 Warning: All info will be sent to the C2Server without any encryption
          You need previously generated recovery key to retrieve files






Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Сейчас это распространяется разработчиком как крипто-симулятор, но кто-то может воспользоваться заготовкой и переработать симулятор в действующую программу-вымогатель. 
См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Не указано. 
После доработки это могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
PSRansom.ps1 - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://darkbyte.net/psransom-simulando-un-ransomware-generico-con-powershell/
GH: hxxxs://github.com/JoelGMSec/PSRansom
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB, MB
MD5: 822e50d817bbb212c9a5e16a782bc7c4
SHA-1: 251ed133c649fcbe288f105d5e66ca42244bb4f2
SHA-256: 9d52abc5896a099f63fd8d2935d30d211cb6a3f5ed8e0d907bc0429cb8708d90
Vhash: 7502578ee6d480a446e6dc4e608ce658


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RU_Ransom

RU_Ransom Ransomware

RURansom Ransomware

(шифровальщик-вымогатель, стиратель, деструктор, пугатель) (первоисточник)
Translation into English



Этот крипто-вымогатель сначала шифрует файлы с помощью алгоритма AES (режим CBC), а на самом деле создан, чтобы атаковать российских пользователей. Оставляет сообщение, что файлы повреждены и их не 
вернуть. Оригинальное название: RU_Ransom (написано в записке). На файле написано: RURansom.exe. Написан на языке программирования .NET. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35017, 
Trojan.Encoder.35064, Trojan.Encoder.35066, 
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AOS
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmodng.gen
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic/MSIL@AI.94 (RDM.MSIL:*
Tencent -> Msil.Trojan.Crypmodng.Efap
TrendMicro -> Ransom.MSIL.RUCRYPT.YXCCD
---

© Генеалогия: ??? >> RURansom (
RU_Ransom)


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце февраля и начале марта 2022 г. Ориентирован на русскоязычных пользователей, имеющих российский IP-адрес. Ни о каких пострадавших компьютерах россиян пока не сообщалось. RuRansom имеет функционал вайпера, стирающего данные. Уплата выкупа бесполезна! 

К зашифрованным файлам добавляется расширение: .fs_invade

Записка с требованием выкупа называется: Полномасштабное_кибервторжение.txt

RU_Ransom Ransomware note

Содержание записки о выкупе:
24 февраля президент Владимир Путин объявил войну Украине.
Чтобы противостоять этому, я, создатель RU_Ransom, создал эту вредоносную программу для нанесения ущерба России. Вы купили это себе, господин президент.
Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб. И да, это "миротворчество", как это делает Влади Папа, убивая невинных мирных жителей
И да, это было переведено с бангла на русский с помощью Google Translate...

Перевод записки на английский язык (
с помощью Google Translate):
On February 24, President Vladimir Putin declared war on Ukraine.
To counter this, I, the creator of RU_Ransom, created this malware to harm Russia. You bought it for yourself, Mr. President.
There is no way to decrypt your files. No payment, only damage. And yes, this is \"peacekeeping\", as Vladi Papa does, killing innocent civilians
And yes, it was translated from Bangla to Russian using Google Translate...


Под словом "бангла" подразумевается бенгальский язык (Бангладеш). Нет никаких доказательств, что это не имитация. Больше похоже на выпендреж и самолюбование. Специалисты TrendMicro нашли образцы других "творений" этого диванного бойца. Образцы есть в статье


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Написан на языке программирования .NET и распространяется как червь, копируя себя под именем файла "Россия-Украина_Война-Обновление.doc.exe" на все съемные диски и подключенные сетевые ресурсы. В переводе на английский название файла звучит как "Russia-Ukraine_War-Update.doc.exe".

➤ Файлы шифруются случайно сгенерированным ключом длиной base64 (FullScaleCyberInvasion + MachineName). Ключи уникальны для каждого зашифрованного файла и нигде не сохраняются, что делает шифрование необратимым, поэтому это по большей части стиратель (wiper), а не классический ransomware.

➤ Использует PowerShell для запуска командаплета Start-Process. 

Список типов файлов, подвергающихся шифрованию:
нацелен на все файлы во всех папках и подпапках, кроме файлов .bak, которые удаляются.  




Файлы, связанные с этим Ransomware:
Полномасштабное_кибервторжение.txt - название файла с требованием выкупа;
Россия-Украина_Война-Обновление.doc.exe 
- название вредоносного файла;
RURansom.pdb - название файла проекта; 
RURansom.exe - название вредоносного файла. 

 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin1\source\repos\RURansom\RURansom\obj\Debug\RURansom.pdb



Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\ConsoleTracingMask
HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\RURansom_RASAPI32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\FileDirectory
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\FileTracingMask
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\EnableFileTracing
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\MaxFileSize
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\EnableConsoleTracing
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: fe43de9ab92ac5f6f7016ba105c1cb4e
SHA-1: 27a16e1367fd3e943a56d564add967ad4da879d8
SHA-256: 8f2ea18ed82085574888a03547a020b7009e05ae0ecbf4e9e0b8fe8502059aae
Vhash: 214036555518084a60020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
IOC: VT, IA, TG, AR, VMR, JSB
MD5: 8fe6f25fc7e8c0caab2fdca8b9a3be89
SHA-1: a30bf5d046b6255fa2c4b029abbcf734824a7f15
SHA-256: 107da216ad99b7c0171745fe7f826e51b27b1812d435b55c3ddb801e23137d8f
Vhash: 22503675151110c510f1020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
IOC: VT, IA, TG
MD5: 01ae141dd0fb97e69e6ea7d6bf22ab32
SHA-1: c35ab665f631c483e6ec315fda0c01ba4558c8f2
SHA-256: 1f36898228197ee30c7b0ec0e48e804caa6edec33e3a91eeaf7aa2c5bbb9c6e0
Vhash: 2350367515170a1701010
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 марта 2022:
Изменения: Добавлена проверка "IsRussia" по IP, через сайт ipinfo.io, для других стран показывается сообщение: 
Программу могут запускать только российские пользователи 
ОШИБКА!



Файл: RURansom.exe
IOC: VT, HA, IA, TG, AR, VMR, JSB
Обнаружения: 
DrWeb -> Trojan.Encoder.35064
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AOS
Malwarebytes -> Ransom.FileCryptor
Tencent -> Msil.Trojan.Ransom.Htvq
TrendMicro -> Ransom.MSIL.RUCRYPT.YXCCHT






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 23 февраля 2022 г.

Hermetic

Hermetic Ransomware

Hermetic Cover-Ransomware

Aliases: JB, HermeticRansom, Elections GoRansom, C1

Companion: HermeticWiper, HermeticWizard 

(шифровальщик-вымогатель, MBR-модификатор, деструктор) (первоисточник)

Translation into English



Этот крипто-вымогатель, действуя в составе с другим вредоносным ПО (HermeticWiper, HermeticWizard), шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. На самом деле многие файлы будут повреждены и невосстановимы. 
Оригинальное название: JB (т.е. Jo Biden), отраженное в расширении .encryptedJB и email-логине vote2024forjb (т.е. фраза "Голосуй в 2024 за Джо Байдена"). На файле написано: c1.exe или что-то еще. Написан на языке Go. 
---
Обнаружения-1: 
DrWeb -> Trojan.Encoder.35007
BitDefender -> Trojan.GenericKD.39061147
ESET-NOD32 -> WinGo/Filecoder.BK
Kaspersky -> Trojan-Ransom.Win64.Agent.dog
Kingsoft -> Win32.PSWTroj.Undef.(kcloud)
Lionic -> Trojan.Win32.Stealer.i!c
Malwarebytes -> Spyware.PasswordStealer
Microsoft -> Ransom:Win32/SonicVote.A!dha
Rising -> Ransom.Agent!1.DC21 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Agent.Gykz
TrendMicro -> Ransom.Win64.GOFILECODER.THBBDBB
---
Обнаружения-2: 
DrWeb -> Trojan.KillDisk.14086
BitDefender -> Trojan.GenericKD.39059716
ESET-NOD32 -> A Variant Of Win32/KillDisk.NCV
Kaspersky -> HEUR:Trojan.Win32.HermeticWiper.gen
Lionic -> Trojan.Win32.HermeticWiper.4!c
Malwarebytes -> Trojan.KillDisk
Microsoft -> DoS:Win32/FoxBlade.A!dha
Panda -> Trj/HermeticWiper.A
Rising -> Trojan.HermeticWiper!1.DC1D (CLOUD)
Sophos -> Mal/KillDisk-A
Symantec -> Trojan.KillDisk
TrendMicro -> Trojan.Win32.KILLDISK.SMYECBW
---

© Генеалогия: ✂ GoCryptoLocker >> 
Hermetic (HermeticRansom, HermeticWiper, HermeticWizard)


Сайт "ID Ransomware" идентифицирует это как HermeticWiper


Информация для идентификации

Активность этого крипто-вымогателя и других вредоносным модулей была замечена во второй половине февраля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 
Первые атаки HermeticWiper и HermeticRansom пришлись на несколько организаций Украины, что позволило некоторым исследователям безопасности из недружественных России стран во всем обвинить "государственных хакеров" России, не предоставив НИКАКИХ доказательств. 

Атакующие использовали подлинные сертификаты, один оформлен на компанию Hermetica Digital Ltd, зарегистрированную 16 марта 2021 на Кипре. Отсюда слово "Hermetic" в название вредоносной программы. Другой оформлен на DigiCert EV Code Signing CA. Злоумышленники использовали реальную компанию Hermetica Digital Ltd для получения этого цифрового сертификата, срок действия которого заканчивается в апреле 2022 года. 


К зашифрованным файлам добавляется расширение: .encryptedJB

Фактически используется составное расширение .[vote2024forjb@protonmail.com].encryptedJB


Записка с требованием выкупа называется: read_me.html
Написана с ошибками. Я выделил их красным цветом для наглядности. 

Hermetic Ransomware note

Содержание записки о выкупе:
"The only thing that we learn from new elections is we learned nothing from the old!"
Thank you for your vote! All your files, documents, photoes. videos, databases etc. have been successfully encrypted!
Now your computer has a special ID: 7ae0d157-9584-11ec-a46d-00ffef088bf9
Do not try to decrypt then by yourself - it's impossible!
It's just a business and we care only about getting benefits. The only way to get your files back is to contact us and get further instuctions.
To prove that we have a decryptor send us any encrypted file (less than 650 kbytes) and we'll send you it back being decrypted. This is our
guarantee.
NOTE: Do not send file with sensitive content. In the email write us your computer's special ID (mentioned above).
So if you want to get your files back contact us:
1) vote2024forjb@protonniail.com
2) stephanie.jones2024@protonmail.com - if we dont't answer you during 3 days
Have a nice day!

Перевод записки на русский язык:
"Единственное, чему мы учимся на новых выборах, это то, что мы ничему не научились на старых!"
Спасибо за ваш голос! Все ваши файлы, документы, фотографии. видео, базы данных и т. д. были успешно зашифрованы!
Теперь ваш компьютер имеет специальный идентификатор: 7ae0d157-9584-11ec-a46d-00ffef088bf9.
Не пытайтесь расшифровать их самостоятельно - это невозможно!
Это просто бизнес, и мы заботимся только о получении выгоды. Единственный способ вернуть ваши файлы — связаться с нами и получить дальнейшие инструкции.
Чтобы доказать, что у нас есть дешифратор, отправьте нам любой зашифрованный файл (менее 650 кбайт), и мы вернем вам его  расшифрованным. Это наша гарантия.
ПРИМЕЧАНИЕ. Не отправляйте файл с деликатным содержимым. В письме напишите нам ID вашего компьютера (упомянутый выше).
Поэтому, если вы хотите вернуть свои файлы, свяжитесь с нами:
1) voice2024forjb@protonniail.com
2) stephanie.jones2024@protonmail.com - если мы не ответим вам в течение 3-х дней
Хорошего дня!



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Второй вредоносный компонент, названный исследователи HermeticWiper, использует легитимное ПО EaseUS Partition Master, чтобы повредить первые 512 байт, основной загрузочной записи (MBR) каждого обнаруженного физического диска (от 0 до 100), делая загрузку системы с диска невозможной. 


Он также повреждает все доступные разделы с FAT и NTFS и основную таблицу файлов (MFT). 

При этом перезаписываются случайными байтами, сгенерированными функцией CryptGenRandom API Windows:
основная загрузочная запись (MBR); 
основная файловая таблица (MFT); 
$Bitmap и $LogFile на всех дисках; 
файлы NTUSER*, содержащие ключи реестра Windows; 
журналы в C:\Windows\System32\winevt\Logs 

После перезагрузки компьютера ОС Windows уже не загрузится. 


➤ Hermetic отключает создание аварийных дампов, службу VSS и удаляет теневые копии файлов. 
➤ Расшифрованный PowerShell используется для загрузки JPEG-файлов с внутреннего сервера 192.168.3.13 в сети жертвы и с украинского сайта 'confluence.novus.ua'. 

По сообщению специалистов Kaspersky в Hermetic Ransomware используется неэффективный способ шифрования: создаются копии исходного образца и запускаются как отдельные процессы для каждого зашифрованного файла, а  имена копий генерируются с использованием функций библиотеки GUID Golang. Файлы шифруются с использованием AES-алгоритма и  сгенерированного ключа. Затем AES-ключ шифруется с помощью RSA-OAEP. OAEP параметризуется хеш-функцией, которая используется в качестве случайного оракула. Хеш-функция — SHA-256. Открытый ключ RSA жестко запрограммирован как большой двоичный объект base64. После декодирования ключа в формате JSON он преобразуется в байтовый массив.

➤ Злоумышленники оставили в двоичном файле вредоноса (в схеме имнование функций) несколько строк, в которых упоминаются президент США Дж. Байден и Белый дом:
_/C_/projects/403forBiden/wHiteHousE.baggageGatherings
_/C_/projects/403forBiden/wHiteHousE.lookUp
_/C_/projects/403forBiden/whiteHousE.primaryElectionProcess
_/C_/projects/403forBiden/wHiteHousE.GoodOffice1


Список типов файлов, подвергающихся шифрованию:
.acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .inf, .iso, .jpg, .mp3, .msi, .odt ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, изображения, музыка, и пр.

Файлы, связанные с этим Ransomware:
read_me.html - название файла с требованием выкупа;
c1.exe, client.exe, cdir.exe, cname.exe, connh.exe, intpub.exe - название вредоносных файлов Hermetic Ransomware. 

Значок вредоносной программы

Специалисты MalwarebytesLab установили, чтобы c1.exe заработал, его нужно запускать от имени администратора. Методы обхода UAC не используются. Он работает тихо в фоновом режиме, но с помощью Process Explorer можно заметить его действия, направленные на фрагментацию дисков и повреждение файлов. Если посмотреть на диск в HEX-редакторе, то будет видно, что некоторые сектора были перезаписаны случайными данными. Подробнее читайте в статье MalwarebytesLab. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vote2024forjb@protonmail.com, stephanie.jones2024@protonmail.com
URL: confluence.novus.ua
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: d5d2c4ac6c724cd63b69ca054713e278
SHA-1: f32d791ec9e6385a91b45942c230f52aff1626df
SHA-256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382
Vhash: 0360c75d5414641454541az1dtz2017z
Imphash: 96c44fa1eee2c4e9b9e77d7bf42d59e6
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: f1a33b2be4c6215a1c39b45e391a3e85
SHA-1: 9518e4ae0862ae871cf9fb634b50b07c66a2c379
SHA-256: 06086c1da4590dcc7f1e10a6be3431e1166286a9e7761f2de9de79d7fda9c397
Vhash: 015056651d15656168z2d05fz10e1z2fz
Imphash: fe4a2284122da348258c83ef437fbd7b
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 3f4a16b29f2f0532b7ce3e7656799125
SHA-1: 61b25d11392172e587d8da3045812a66c3385451
SHA-256: 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
Vhash: 015056651d15656168z2d05fz10e1z2fz
Imphash: fe4a2284122da348258c83ef437fbd7b
---
IOC: VT, HA, IA, TG, AR, VMR, JSB


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Важное дополнение 
Дополнительное расследование показало, что дату предварительной атаки нужно отодвинуть на конец прошлого года (23-28 декабря 2021), когда впервые это вредоносное ПО стало попадать на компьютеры частных пользователей и администраторов в Украине и Литве. Организация в Литве была скомпрометирована даже раньше украинских, 12 ноября 2021 года. За этим последовала попытка кражи учетных данных. Предположительно, вредоносное ПО попадало на ПК тех, кто скачивал пиратский и взломанный софт, не желая покупать легальное ПО для тех же самых организаций и частных компаний. Вредоносное ПО, не имеющее названия, "дремало" 2-3 месяца до начала массовой атаки и проявилось по команде с удалённого защищенного сервера, имеющего шлюзы в Австрии, Германии и Нидерландах. Технически Россия здесь никак не замешана, вопреки домыслам и псевдофактам. 


Таким образом, можно считать доказанным то, что некоторые компании, вместо профессионализма, проявили преступную халатность и в угоду антироссийским политикам поспешили сообщить об атаках HermeticWiper на Украину из России. По всей видимости, они договорились заранее и использовали антироссийскую "заготовку", разосланную по заказанным адресам компаний-исполнителей. Получив хороший "магарыч" исполнители поспешили связать российско-украинский военный конфликт с этим вредонсоным ПО, не представив никаких доказательств своей идеи фикс (англ. Idée fixe)

Здесь мы перечислим некоторые компании-исполнители, которые отметились в этой свистопляске с голословными обвинениями России в распространении этого вредоносного ПО. 

Так, среди них: 

ESET, который уже много лет "ловит за руку" хакеров из России, упрямо не замечая хакеров из других стран. 

Symantec Threat Hunter Team. Компания Symantec в ноябре 2019 г. самопродалась в Broadcom Inc., и теперь так называемая "команда охотников за угрозами" ведет себя более развязно по отношению к России. Их статья о HermeticWiper >> 

SentinelOne, которые специализируются на ослеживании "глобальной", по их мнению, активности российских хакеров, спонсируемых государством. Их статья о HermeticWiper >> 

Avast, который много лет всеми правдами влезал в системы пользователей, навязывая свой бесплатный антивирус и кучу ненужных примочек, а после покупки ПО CCleaner стал через него даже самоустанавливаться. И вот их сообщение о HermeticWiper >>
А потом также самовольно решился уйти из России. Сообщение >>


Похоже в первый раз мне почти некого добавлять в ссылки, как на источник информацию об этом вредоносе. Лишь две ссылки на нормальные статьи добавлены ниже. Причина в том, что вышеназванные "исполнители" ESET, Symantec, SentinelOne и другие откровенно врали и способствовали распространению лжи в СМИ и "СМИ". 
НЕ ВРИТЕ, даже если вы известная антивирусная или IT-компания. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage
 Write-up, Write-up, Topic of Support
 Added later: Message
 Thanks: 
 MalwareHunterTeam, GrujaRS, xiaopao
 Andrew Ivanov (article author)
 SecureList by Kaspersky, MalwarebytesLab
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *