Sojusz Ransomware
Aliases: Alliance, Bec, Nigra, Likeoldboobs, Gachimuchi, Cryptcat (Crxxx)
Sojusz Hand-Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения (на файл от 16 мая 2022):
DrWeb -> Trojan.Encoder.35400
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.1812541523
Microsoft -> Ransom:Win32/MedusaLocker.A!MTB
Rising -> Ransom.Agent!1.C2C9 (CLASSIC)
Tencent -> Win32.Trojan.Filecoder.Afrh
TrendMicro -> Ransom_MedusaLocker.R002C0DEI22
---© Генеалогия: ✂ Makop, ✂ Phobos, ✂ BigLock >> Sojusz
Сайт "ID Ransomware" Sojusz пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале февраля 2022 г. Использует разные способы запутывания и элементы других программ-вымогателей. Может использоваться атакующими в ручном и автоматическом режимах. По всей видимости субъективно, программно и технически связан с программами-вымогателями Phobos, Makop, а это доказывает, что опять след ведёт в Украину.
Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть отдельные сообщения от пострадавших из Польши, Италии, Индонезии, Бахрейна и других стран.
К зашифрованным файлам добавляется расширение: .sojusz
Слово "sojusz" польского происхождения и означает "альянс" (the alliance).
Фактически используется составное расширение по шаблону: .[<ID{10}>].[<email>].sojusz
Слово "sojusz" польского происхождения и означает "альянс" (the alliance).
Фактически используется составное расширение по шаблону: .[<ID{10}>].[<email>].sojusz
Пример такого расширения: .[9347652d51].[ustedesfil@safeswiss.com].sojusz
В конец каждого зашифрованного файла добавляются одни и те же символы — всего 512 знаков. Первые 10 знаков соответствуют ID в расширении.
В конец каждого зашифрованного файла добавляются одни и те же символы — всего 512 знаков. Первые 10 знаков соответствуют ID в расширении.
Записка с требованием выкупа называется:
-----README_WARNING-----.txt
#_README-WARNING_#.TXT
и другие варианты названий с разными символами
Почти все содержание записки взято у Makop Ransomware.
Отличие только в том, что вымогатели требуют прислать им MachineID и LaunchID, указанные в записке.
Содержание записки о выкупе:
Перевод записки на русский язык:
---
Содержание записки о выкупе:
::: Greetings :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.
.2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us
.3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.
.4.
Q: How to contact with you?
A: You can write us to our mailboxes: ustedesfil@safeswiss.com or ustedesfil@cock.li or votredatei@ctemplar.com
(in subject line please write your MachineID: 1834189*** and LaunchID: 70396c9***)
.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.
.6.
Q: If I don’t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.
:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss of all data.
Перевод записки на русский язык:
::: Привет :::
Небольшой FAQ:
.1.
В: Что происходит?
О: Ваши файлы зашифрованы. Файловая структура не пострадала, мы сделали все возможное, чтобы этого не произошло.
.2.
В: Как восстановить файлы?
A: Если вы хотите расшифровать свои файлы, вам нужно заплатить нам
.3.
В: А гарантии?
О: Это просто бизнес. Нам абсолютно наплевать на вас и ваши сделки, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - с нами никто сотрудничать не будет. Это не в наших интересах.
Для проверки возможности возврата файлов вы можете отправить нам любые 2 файла с ПРОСТЫМИ расширениями(jpg,xls,doc и т.д... не базы данных!) и небольшими размерами(макс 1 мб), мы их расшифруем и отправим обратно вам. Это наша гарантия.
.4.
В: Как связаться с вами?
О: Вы можете написать нам на наши почтовые ящики: ustedesfil@safeswiss.com или ustedesfil@cock.li или votredatei@ctemplar.com
(в теме письма укажите свой MachineID: 1834189*** и LaunchID: 70396c9***)
.5.
В: Как будет происходить процесс расшифровки после оплаты?
О: После оплаты мы вышлем вам нашу программу сканер-декодер и подробную инструкцию по использованию. С этой программой вы сможете расшифровать все ваши зашифрованные файлы.
.6.
В: Если я не хочу платить таким плохим людям, как вы?
О: Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
:::ОСТОРОЖНО:::
НЕ пытайтесь изменить зашифрованные файлы сами!
Если вы попытаетесь использовать сторонние программы для восстановления ваших данных или антивирусные решения - сделайте резервную копию всех зашифрованных файлов!
Любые изменения в зашифрованных файлах могут повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.
Судя по некоторым данным, о которых пока умолчим, вымогатели, стоящие за этим "Альянсом" решили заимствовать у разных программ-вымогателей некоторый текст, элементы вымогательства и копировать некоторые другие моменты. Поэтому, вполне вероятно, что в каждом новом варианте мы будет наблюдать визуальные различия с предыдущим. Не исключено, что некоторые из деятелей этого "Альянса" участвовали в других вымогательских проектах и просто принесли с собой свой "багаж" и добавили к нему что-то новое.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, манипулирует размером теневого хранилища. Используемые для этого команды (в одном из вариантов):
vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=unbounded
vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=unbounded
sc config VSS start= Demand & net start VSS
vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=401MB
vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=401MB
icacls.exe "{A-Z}:" /grant {Username}:F /T /C /Q
vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=unbounded
vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=401MB
vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=401MB
vssadmin delete shadows /all /quiet
vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=401MB
vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=401MB
net stop VSS & sc config VSS start= disabled
%windir%\system32\net1 stop VSS & sc config VSS start= disabled
"pwsh.exe" -command Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}
wmic.exe SHADOWCOPY delete /nointeractive
vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=unbounded
vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=unbounded
➤ Используются инструменты: Process Hacker, PE Viewer, NetworkScanner, утилиты быстрого поиска (Everything или другие). В таком случае в системе могут появиться папки и ссылки на них. Примеры:
C:\Program Files\Process Hacker
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PE Viewer.lnk
В зависимости от ситуации, они сканируют сеть, ищут нужные файлы, скачивают, а затем запускают автоматический или ручной шифровальщик. Ранее также действовали с Makop, Oled, Phobos Ransomware и другими, которые я описывал отдельно или не описывал, складируя в одну из куч с общим названием.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
-----README_WARNING-----.txt - название файла с требованием выкупа;
#_README-WARNING_#.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: ustedesfil@safeswiss.com, ustedesfil@cock.li, votredatei@ctemplar.com
BTC: -
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: ustedesfil@safeswiss.com, ustedesfil@cock.li, votredatei@ctemplar.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов (на файл от 16 мая 2022):
Результаты анализов (на файл от 16 мая 2022):
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 753585e5e099b192cf8d7593dd5ef4bf
SHA-1: 68c5d6b38c9dd9e9e1e888386025352811147028
SHA-256: e26b2ffb2ee711fc7b04d62911580560794ee4fa9b7fcfade65ee6ff2eed0274
Vhash: 065046655d156138z8chz403jz
Imphash: 1dc7d42e09ac34e7008ae3b481db70d4
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 21 февраля 2022:
Шаблон расширения: .[<ID{10}>].[<email>].bec
Пример расширения: .[8e86e414c8].[beacon@jitjat.org].bec
Записка: !!!HOW_TO_DECRYPT!!!.txt
Используются: MachineID и LaunchID
Email: beacon@jitjat.org, beacon@msgsafe.io
В конец каждого зашифрованного файла также добавляются одни и те же символы — всего 512 знаков. Первые 10 знаков соответствуют ID в расширении.
Вариант от 3 мая 2022:
Шаблон расширения: .[<ID{10}>].[<email>].nigra
Пример расширения: .[60cdb5931f].[recuper@smime.ninja].nigra
Записка: README_WARNING_.txt
Используются: MachineID и LaunchID
Email: recuper@smime.ninja, restaurera@rbox.co
В конец каждого зашифрованного файла также добавляются одни и те же символы — всего 512 знаков. Первые 10 знаков соответствуют ID в расширении.
Вариант от 16-20 мая 2022:
Самоназвание: HORSEMAGYAR DECRYPTION
Новый шаблон расширения: .[<ID{10}>].[<coined_word>].likeoldboobs
Пример зашифрованного файла: document.doc.[724e4bcb11].[spanielearslook].likeoldboobs
Записка: Horse.txt
ICQ: HORSEMAGYAR
Файл: z7w3x.exe
MD5: 753585e5e099b192cf8d7593dd5ef4bf
SHA-1: 68c5d6b38c9dd9e9e1e888386025352811147028
SHA-256: e26b2ffb2ee711fc7b04d62911580560794ee4fa9b7fcfade65ee6ff2eed0274
Vhash: 065046655d156138z8chz403jz
Imphash: 1dc7d42e09ac34e7008ae3b481db70d4
---
Обнаружения:
DrWeb -> Trojan.Encoder.35400
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.1812541523
Microsoft -> Ransom:Win32/MedusaLocker.A!MTB
Rising -> Ransom.Agent!1.C2C9 (CLASSIC)
Tencent -> Win32.Trojan.Filecoder.Afrh
TrendMicro -> Ransom_MedusaLocker.R002C0DEI22
Вариант от 7 июня 2022:
Расширение: .[<ID{10}>].[BillyHerrington].Gachimuchi
Пример зашифрованного файла: 1.pdf.[3a203d0050].[BillyHerrington].Gachimuchi
Записка: #HOW_TO_DECRYPT#.txt
ICQ: Gachimuchi
Вариант от 21 июня 2022:
Расширение: .[<ID{10}>].[Ricardo Milos].Washedback
Пример зашифрованного файла: 1.pdf.[a7fth62bc1].[Ricardo Milos].Washedback
Записка: #HOW_TO_DECRYPT#.txt
Skype: RICARDOMILOS DECRYPTION
ICQ: @RicardoMilosGachimuchi
Обнаружения:
DrWeb -> Trojan.Encoder.34948
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF
Microsoft -> Ransom:Win32/Filecoder.DD!MTB
Вариант от 6 августа 2022:
Самоназвание варианта: Cryptcat Ransomware
Расширение (пример): .[48fe70b035].[hopeandhonest@smime.ninja].crxxx
Записка: #_README-WARNING_#.TXT
Email: hopeandhonest@smime.ninja, hopeandhonestt@gmail.com
По email видна связь с Makop Ransomware, в котором используются эти же адреса.
Вариант от 23 сентября 2022:
Расширение: .[xxxxxxxxxx].X101
Записка: !!!HOW_TO_DECRYPT!!!.TXT
BTC: 37kbnNTyBv8hNHwVX1CJQTrnXgKkh4jbZu
Telegram: @t1000rn
Jabber: t1000rn@404.city
Вариант от 27 сентября 2022:
Расширение: .[Hunter_or_faggot].Horsefucker
Пример полного расширения: .[152a0db345].[Hunter_or_faggot].Horsefucker
Записка: #HOW_TO_DECRYPT#.txt
ICQ: @Horsefucker
Email: horsefucker@onionmail.org
Вариант от 29 октября или раньше:
Расширение: .[3b711*****].[ICQ_HAPPYHUNGARIANSLUT].Donkeyfucker
Записка: #HOW_TO_DECRYPT#.txt
Skype: HAPPYHUNGARIANSLUT DECRYPTION
ICQ: @HAPPYHUNGARIANSLUT
ICQ: @DONKEYHOT
Email: happyhungarianslut@onionmail.org
=== 2023 ===
Вариант от 3 января 2023:
Предположительное родство.
Расширение: .nigra
Email: nigra.support@pm.me, nigra@cyberfear.com, restaurera@rbox.co
Кажется две разные записки, но во второй картинке в записке пострадавшим были стерты MachineID и LaunchID, указанные в записке. Отсюда в некоторых случаях могут быть ошибочные идентификации.
➤ Содержание записки:
::: Greetings :::
Little FAQ:
.1.
Q: Whats Happen?
): Your files have been encrypted for NIGRA. The file structure was not damaged, we did everything possible so that this could not happen.
.2.
Q: How to recover files?
): If you wish to decrypt your files you will need to pay us
you can send a three small files for testing,'excel ,word,txt,jpg' something.
As a guarantee of our decryption ability.
.3.
Q: How to contact with you?
): You can write us to our mailboxes: nigra.support@pm.me and nigra@cyberfear.com or restaurera@rbox.co
If we do not reply within 24 hours, it means that the mailbox has been blocked, please contact our backup mailbox.
(please in subject line write your ID: 07c657218a)
***
:::WARNING STATEMENT:::
DON'T try to change encrypted files by yourself!
We have never posted any decrypted videos on youtube, any SNS, please don't trust those crooks who post so-called decrypted videos
choose to trust them, unless you have a lot of money!
If you need decryption, please contact us via our email, we will only get in touch with you via email.
The private key for decryption only exists in our hands, and only we can help decrypt files in this world !!
Вариант от 3 февраля 2023:
Расширение: .[nigra@skiff.com].nigra
Перед расширением может быть еще ID жертвы.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author) quietman7, Sandor *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
