NB65 Ransomware
(ContiStolen Ransomware)
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
👏 Вор у вора украл. На воре и шапка горит. Вор на вора напал, вор у вора дубинку украл. Не только тот вор, кто ворует, но и тот, кто ворам потакает. Сколько вору ни воровать, а расплаты не миновать.
👏 Злодій у злодія вкрав. На злодієві й шапка горить. Злодій на злодія напав, злодій у злодія кийок вкрав. Не тільки той злодій, хто краде, а й той, хто злодіям потурає. Скільки злодіям не красти, а покарання не уникнути.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35209
BitDefender -> Gen:Variant.Cerbu.84170
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Kaspersky -> HEUR:Trojan-Ransom.Win32.Conti.gen
Malwarebytes -> Ransom.Conti
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Ransom.Conti!1.D637 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Ecju
TrendMicro -> Ransom.Win32.CONTI.SM.hp
---
© Генеалогия: Conti-2 (stolen code) > NB65 (ContiStolen)
Обнаружения:
DrWeb -> Trojan.Encoder.35209
BitDefender -> Gen:Variant.Cerbu.84170
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Kaspersky -> HEUR:Trojan-Ransom.Win32.Conti.gen
Malwarebytes -> Ransom.Conti
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Ransom.Conti!1.D637 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Ecju
TrendMicro -> Ransom.Win32.CONTI.SM.hp
---
© Генеалогия: Conti-2 (stolen code) > NB65 (ContiStolen)
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале апреля 2022 г. Ориентирован на русских пользователей, но записка написана на английском языке, потому при желании этот вымогатель может начать распространяться и в других странах.
К зашифрованным файлам добавляется расширение: .NB65
Записка с требованием выкупа оставляется в каждой папке с зашифрованными файлами и называется: R3ADM3.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Вымогатели сообщили, что шифрование изменено так, чтобы все версии дешифровщика от Conti не работали. При каждом развертывании шифровальщика генерируется случайный ключ на основе пары переменных, которые изменяются для каждой цели.
Записка с требованием выкупа оставляется в каждой папке с зашифрованными файлами и называется: R3ADM3.txt
Содержание записки о выкупе:
By now it's probably painfully apparent that your environment has been infected with ransomware. You can thank Conti for that.
We've modified the code in a way that will prevent you from decrypting it with their decryptor.
We've exfiltrated a significant amount of data including private emails, financial information, contacts, etc.
Now, if you wish to contact us in order to save your files from permanent encryption you can do so by emailing network_battalion_0065@riseup.net.
You have 3 days to establish contact. Failing to do so will result in that data remaining permenantly encrypted.
While we have very little sympathy for the situation you find yourselves in right now, we will honor our agreement to restore your files across the affected environment once contact is established and payment is made.
Until that time we will take no action. Be aware that we have compromised your entire network.
We're watching very closely. Your President should not have commited war crimes. If you're searching for someone to blame for your current situation look no further than Vladimir Putin.
Перевод записки на русский язык:
Теперь, вероятно, до боли очевидно, что ваша среда заражена вымогателем. Благодарите Conti за это.
Мы изменили код так, что вы не сможете расшифровать его с помощью их дешифровщика.
Мы украли большой объем данных, включая частные emal, финансовую информацию, контакты и т.д.
Теперь, если вы хотите связаться с нами, чтобы защитить ваши файлы от постоянного шифрования, вам нужно написать на email network_battalion_0065@riseup.net.
У вас есть 3 дня для контакта. Если этого не сделать, данные останутся зашифрованными навсегда.
Хотя мы очень мало сочувствуем ситуации, в которой вы оказались сейчас, мы согласны вернуть ваши файлы в пострадавшей среде после связи с нами и оплаты.
До этого времени мы не будем предпринимать никаких действий. Имейте в виду, что мы скомпрометировали всю вашу сеть.
Мы очень внимательно наблюдаем. Ваш президент не должен был ***. Если вы ищете, кого обвинить в сложившейся ситуации, не ищите ничего, кроме ***.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Вымогатели сообщили, что шифрование изменено так, чтобы все версии дешифровщика от Conti не работали. При каждом развертывании шифровальщика генерируется случайный ключ на основе пары переменных, которые изменяются для каждой цели.
➤ UAC не обходит, требуется разрешение на запуск вредоносного файла.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
R3ADM3.txt - название файла с требованием выкупа;
ZP2m5oe9FVGfEh6x.exe - случайное название вредоносного файла
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
R3ADM3.txt - название файла с требованием выкупа;
ZP2m5oe9FVGfEh6x.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
kjsidugidf99439
Сетевые подключения и связи:
Email: network_battalion_0065@riseup.net
Twitter: xxNB65
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: f746ea39c0c5ff9d0a1f2d250170ad80
SHA-1: dac28369f5a4436b2556f9b4f875e78d5c233edb
SHA-256: 7f6dbd9fa0cb7ba2487464c824b6d7e16ace9d4cd15e4452df4c9a9fd6bd1907
Vhash: 015066655d1515556az45nz15z37z
Imphash: f5346a7d2508fd5976d3449f3afc971d
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 17 апреля 2022:
Расширение: .NB65
Цель атаки: Петербургский социальный коммерческий банк, которым пользуются олигархи.
Цель атаки: Петербургский социальный коммерческий банк, которым пользуются олигархи.
Обновление от 25 апреля 2022:
Цель атаки: Corpmsp.ru (АО «Корпорация МСП»)
Обновление от 1 мая 2022:
Цель атаки: Qiwi.com
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support Описание у DrWeb >>
Thanks: Lawrence Abrams Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
