Если вы не видите здесь изображений, то используйте VPN.

среда, 9 февраля 2022 г.

MonaLisa

MonaLisa Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымоагтелей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файлах может быть написано: 3.exe, xy72vx8rk.dll, 4.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34934, Trojan.Encoder.34961
BitDefender -> Gen:Trojan.ExplorerHijack.JuW@ay6pbsii, Gen:Trojan.ExplorerHijack.JuW@a0crHtei
ESET-NOD32 -> Win32/Filecoder.OKA, A Variant Of Win32/Filecoder.OKA
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.AI.2890321610
Microsoft -> Ransom:Win32/Paradise.BC!MTB
Rising -> Ransom.Agent!1.DBBD (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Akfo, Win32.Trojan.Filecoder.Wskk
TrendMicro -> Ransom_Paradise.R002C0DBA22, Ransom_Paradise.R002C0DBB22
---

© Генеалогия: ??? >> MonaLisa


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: 
.barrel
.nekochan

Фактически используется составное расширение по шаблону: 
.[<email>].extension

Известные варианты на момент напсиания статьи: 
.[m0na.l1sa@onionmail.org].barrel
.[m0na.l1sa@onionmail.org].nekochan

Записки с требованием выкупа называются: 
info.txt
info.hta


Содержание записки info.txt:
You are infected! This means your files are locked!
You want to recover them?
Contact us at m0na.l1sa@onionmail.org

Перевод записки на русский язык:
Вы заражены! Это значает ваши файлы блокированы!
Вы хотите вернуть их?
Напишите нам на m0na.l1sa@onionmail.org



Содержание записки info.hta:
YOUR FILES ARE ENCRYPTED
PLEASE READ THIS MESSAGE CAREFULLY
Don't worry, you can return all your files!
If you want to restore them, write to the mail:m0na.l1sa@onionmail.org YOUR ID 0AA41***
You have to specify your ID in the subject of your message.
ATTENTION!
We recommend you contact us directly to avoid overpaying agents
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ВНИМАТЕЛЬНО ПРОЧТИТЕ ЭТО СООБЩЕНИЕ
Не волнуйтесь, вы можете вернуть все свои файлы!
Если вы хотите их восстановить, пишите на почту: m0na.l1sa@onionmail.org ВАШ ID 0AA41***
В теме сообщения нужно указать свой ID.
ВНИМАНИЕ!
Мы рекомендуем вам прямо написать нам, чтобы не платить агентам
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц повысит цену (они добавляют свою цену к нашей) или вы станете жертвой мошенников.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует библиотеку Crypto++. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
info.txt - название файла с требованием выкупа; 
info.hta - название файла с требованием выкупа; 

3.exe, xy72vx8rk.dll (4.exe) - названиz вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0na.l1sa@onionmail.org 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 6bc637edc08c18457647c02d9957fa18
SHA-1: d73c673ddcb0e6bbc1412dde3cad782abf516572
SHA-256: ab668490afd212d8a5847a57c77e2c4dac6f8dd0c2d0b9c08ae833d7fa61988e
Vhash: 055056655d55556038z687z17z2lz
Imphash: de7914124681fabba9c3afbb3d426332
--- 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 7b98b5055e8fbb6b3710b79889943971
SHA-1: 820f17fb630ee3ff68857475d73086e40f200c5b
SHA-256: 4c25916319363e88f60ad6d7b6a66f5a737cb9ce8a2045f656e9dbc272115bea
Vhash: 055056655d55556038z687z17z2lz
Imphash: de7914124681fabba9c3afbb3d426332
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 34ee49b8b1e5ac3c1c5e748ebf23a8ed
SHA-1: 16fda9ca20e33e351060976d84e25acedf6b6c02
SHA-256: 85c3810ff6df3d220dd6733886f1e2c2a5fbe7517978f3a1d9a50415eaf24b47
Vhash: 055056655d55556038z687z17z2lz
Imphash: de7914124681fabba9c3afbb3d426332


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *