Если вы не видите здесь изображений, то используйте VPN.

вторник, 5 апреля 2022 г.

NB65, ContiStolen

NB65 Ransomware

(ContiStolen Ransomware)

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель основан на коде, украденном у Conti-2 Ransomware, является его модифицированным вариантом. Нацелен на российские организации и предприятия, шифрует данные с помощью алгоритма ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Хакеры-вымогатели: хакерская группа NB65 (Network Battalion 65) из Украины. 
---
👏 Вор у вора украл. На воре и шапка горит. Вор на вора напал, вор у вора дубинку украл. Не только тот вор, кто ворует, но и тот, кто ворам потакает. Сколько вору ни воровать, а расплаты не миновать. 
👏 Злодій у злодія вкрав. На злодієві й шапка горить. Злодій на злодія напав, злодій у злодія кийок вкрав. Не тільки той злодій, хто краде, а й той, хто злодіям потурає. Скільки злодіям не красти, а покарання не уникнути.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35209
BitDefender -> Gen:Variant.Cerbu.84170
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Kaspersky -> HEUR:Trojan-Ransom.Win32.Conti.gen
Malwarebytes -> Ransom.Conti
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Ransom.Conti!1.D637 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Ecju
TrendMicro -> Ransom.Win32.CONTI.SM.hp
---

© Генеалогия: Conti-2 
(stolen code) > NB65 (ContiStolen)


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале апреля 2022 г. Ориентирован на русских пользователей, но записка написана на английском языке, потому при желании этот вымогатель может начать распространяться и в других странах. 

К зашифрованным файлам добавляется расширение: .NB65



Записка с требованием выкупа оставляется в каждой папке с зашифрованными файлами и называется: R3ADM3.txt 


Содержание записки о выкупе:
By now it's probably painfully apparent that your environment has been infected with ransomware. You can thank Conti for that.
We've modified the code in a way that will prevent you from decrypting it with their decryptor.
We've exfiltrated a significant amount of data including private emails, financial information, contacts, etc.
Now, if you wish to contact us in order to save your files from permanent encryption you can do so by emailing network_battalion_0065@riseup.net.
You have 3 days to establish contact. Failing to do so will result in that data remaining permenantly encrypted.
While we have very little sympathy for the situation you find yourselves in right now, we will honor our agreement to restore your files across the affected environment once contact is established and payment is made.
Until that time we will take no action. Be aware that we have compromised your entire network.
We're watching very closely. Your President should not have commited war crimes. If you're searching for someone to blame for your current situation look no further than Vladimir Putin.

Перевод записки на русский язык:
Теперь, вероятно, до боли очевидно, что ваша среда заражена вымогателем. Благодарите Conti за это.
Мы изменили код так, что вы не сможете расшифровать его с помощью их дешифровщика.
Мы украли большой объем данных, включая частные emal, финансовую информацию, контакты и т.д.
Теперь, если вы хотите связаться с нами, чтобы защитить ваши файлы от постоянного шифрования, вам нужно написать на email network_battalion_0065@riseup.net.
У вас есть 3 дня для контакта. Если этого не сделать, данные останутся зашифрованными навсегда.
Хотя мы очень мало сочувствуем ситуации, в которой вы оказались сейчас, мы согласны вернуть ваши файлы в пострадавшей среде после связи с нами и оплаты.
До этого времени мы не будем предпринимать никаких действий. Имейте в виду, что мы скомпрометировали всю вашу сеть.
Мы очень внимательно наблюдаем. Ваш президент не должен был ***. Если вы ищете, кого обвинить в сложившейся ситуации, не ищите ничего, кроме ***.



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Вымогатели сообщили, что шифрование изменено так, чтобы все версии дешифровщика от Conti не работали. При каждом развертывании шифровальщика генерируется случайный ключ на основе пары переменных, которые изменяются для каждой цели. 

➤ UAC не обходит, требуется разрешение на запуск вредоносного файла. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
R3ADM3.txt - название файла с требованием выкупа;
ZP2m5oe9FVGfEh6x.exe - случайное название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
kjsidugidf99439

Сетевые подключения и связи:
Email: network_battalion_0065@riseup.net
Twitter: xxNB65
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: f746ea39c0c5ff9d0a1f2d250170ad80
SHA-1: dac28369f5a4436b2556f9b4f875e78d5c233edb
SHA-256: 7f6dbd9fa0cb7ba2487464c824b6d7e16ace9d4cd15e4452df4c9a9fd6bd1907
Vhash: 015066655d1515556az45nz15z37z
Imphash: f5346a7d2508fd5976d3449f3afc971d 


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 17 апреля 2022:
Расширение: .NB65
Цель атаки: Петербургский социальный коммерческий банк, которым пользуются олигархи. 



Обновление от 25 апреля 2022:
Цель атаки: Corpmsp.ru (АО «Корпорация МСП»)



Обновление от 1 мая 2022:
Цель атаки: Qiwi.com






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Описание у DrWeb >> 
 Thanks: 
 Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *