Если вы не видите здесь изображений, то используйте VPN.

среда, 20 июля 2022 г.

Luna

Luna Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации X25519 + алгоритм шифрования AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Luna Ransomware. На файле написано: luna.exe. Написан на языке программирования Rust. Предназначен для атак на системы Windows, Linux и ESXi.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> Luna


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Об активности крипто-вымогателя на момент написания статья ничего не известно. Предварительное заявление было обнаружено на форуме Даркнета в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .luna

Специалисты из Kaspersky Lab сообщили, что требование выкупа, встроенное в бинарный файл, содержит грамматические ошибки. Например, вместо "a small team" злоумышленники написали "a little team". На основании этого они сделали вывод, что разработчики "русскоязычные". 

На мой взгляд это и не ошибка вовсе. Разные онлайн-переводчики предпочитают разные слова. Google с легкостью выдают сайты с названиями "little team" в англоязычном и китайском сегменте Интернета. 


Записка с требованием выкупа называется: не предоставлена.

Содержание записки о выкупе:
***

Перевод записки на русский язык:
***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Распространяется на форумах Даркнета с заявлением, что Luna работает только с русскоязычными партнерами. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
luna.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 Kaspersky Lab
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 16 июля 2022 г.

Rever

Rever Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться через чат в мессенджере Tox, чтобы узнать как заплатить выкуп ~$1000 в BTC и расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Шифрует файлы и требует выкуп одновременно на сервере с Windows и 
Synology NAS-устройстве. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> Rever (
Unnamed 'via Tox' Ransomware) 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам на Synology NAS-устройстве добавляется расширение: .rever

К зашифрованным файлам на сервере Windows добавляется случайное расширение .<RANDOM{8}>, например, .1BC0E5C2 или .356F345C

Уточняю: к разным файлам добавляется РАЗНОЕ расширение. 


Записки с требованием выкупа 
для Windoows и NAS-устройства называются: 
@@@ To Restore Your Files.txt
README_recovery.txt



Содержание записок о выкупе:
How To Restore Your Files
* What happend
---------------------------------------------- 
Your computers and servers are encrypted, backups are deleted from your network and copied. 
We use strong encryption algorithms, so you cannot decrypt your data without us. 
But you can restore everything by purchasing a special program from us - a universal decoder. 
This program will restore your entire network. Follow our instructions below and you will recover all your data. 
If you continue to ignore this for a long time, we will start reporting the hack to mainstream media and posting your data to the dark web. 
* What guarantees? 
---------------------------------------------- 
We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests. 
All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems. 
We guarantee to decrypt one file for free. Go to the site and contact us. 
You have three days to contact us otherwise your personal decoder will be deleted and we won't be able to help you! 
And your personal data will be public. 
* How to contact us? 
---------------------------------------------- 
1) Download for TOX CHAT https://tox.chat/download.html       
2) Open chat
Add ID Chat: AB4FEBA9CABBD9E98CBF6745592B0E1C34F91492FD8D02AD802F92C893F49B201E**********
Your personal ID: XXX-XXX-XXX-XXX-XXXX
If we did not answer you, leave the chat enabled, the operator will contact you!
=================================!!!!!!!!!!!!!!!!!!!!!!!!!==================================
DO NOT TRY TO RECOVER FILES YOURSELF!
DO NOT MODIFY ENCRYPTED FILES!
OTHERWISE, YOU MAY LOSE ALL YOUR FILES FOREVER!
============================================================================================ 

Перевод записки на русский язык:
Как Восстановить Ваши Файлы
* Что случилось?
-------------------------------------------------------------
Ваши компьютеры и серверы зашифрованы, резервные копии удалены из вашей сети и скопированы.
Мы используем надежные алгоритмы шифрования, поэтому без нас вы не сможете расшифровать свои данные.
Но вы можете все восстановить, купив у нас специальную программу - универсальный декодер.
Эта программа восстановит всю вашу сеть. Следуйте нашим инструкциям ниже, и вы восстановите все свои данные.
Если вы продолжите игнорировать это долгое время, мы начнем сообщать о взломе в основных СМИ и публиковать ваши данные в даркнет.
* Какие гарантии?
-------------------------------------------------------------
Мы дорожим своей репутацией. Если мы не будем выполнять свою работу и обязательства, нам никто не заплатит. Это не в наших интересах.
Все наше программное обеспечение для расшифровки отлично протестировано и расшифрует ваши данные. Мы также окажем поддержку в случае возникновения проблем.
Мы гарантируем расшифровку одного файла бесплатно. Зайдите на сайт и свяжитесь с нами.
У вас есть три дня, чтобы связаться с нами, иначе ваш личный декодер будет удален, и мы не сможем вам помочь!
И ваши личные данные будут общедоступными.
* Как с нами связаться?
-------------------------------------------------------------
1) Скачать для TOX CHAT https://tox.chat/download.html
2) Открыть чат
Добавить ID в чат: AB4FEBA9CABBD9E98CBF6745592B0E1C34F91492FD8D02AD802F92C893F49B201E************
Ваш личный идентификатор: XXX-XXX-XXX-XXX-XXXX
Если мы вам не ответили, оставьте чат включенным, с вами свяжется оператор!
=================================!!!!!!!!!!!!!!!!!!!! !!!!!!!!===================================
НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ ФАЙЛЫ САМИ!
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!
ИНАЧЕ ВЫ ПОТЕРЯЕТЕ ВСЕ СВОИ ФАЙЛЫ НАВСЕГДА!
===========================================================================================


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы VHD, резервные копии VM и пр.

Файлы, связанные с этим Ransomware:
@@@ To Restore Your Files.txt - название файла с требованием выкупа в Windows-сервере;
README_recovery.txt - название файла с требованием выкупа в устройстве Synology NAS;

<random>.exe - случайное название вредоносного файла; 
kill_svc.exe - вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
TOX CHAT 
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
 Thanks: 
 birojano, quietman7, blanko_mab
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 15 июля 2022 г.

GwisinLocker

GwisinLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES-256 + RSA, а затем сообщает, что оригинальные файлы были украдены и требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Gwisin
Использует шифровальщики для Windows и Linux, включая серверы и виртуальные машины VMware ESXi. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется. 

Этимология названия:
Gwisin (귀신) — по-корейски "призрак". 



Сайт "ID Ransomware" GwisinLocker пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2022 г. Ориентирован на англоязычных и корейскоязычных пользователей, может распространяться по всему миру. 
Цель: южнокорейские промышленные, медицинские и фармацевтические компании. 

К зашифрованным файлам добавляется расширение: .[company_name]
В рассмотренном примере это: .mcrgnx

Скомпрометированные конечные точки переименовываются в GWISIN Ghost

Записка с требованием выкупа называется по шаблону: 
!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT

В рассмотренном примере это будет: 
!!!_HOW_TO_UNLOCK_MCRGNX_FILES_!!!.TXT




Записка содержит контактную информацию, а также список данных и интеллектуальной собственности, украденных у компании.

Содержание записки о выкупе:
Hello ***,
You have been visited by GWISIN.
We have exfiltrated a lot of sensitive data from your networks,
including, but not limited to:
I. Production applications, source (Git/SVN), files and DBs
[1] *** (all regions) + *** and other internal platforms
By combining lab *** data and the primary big customer platform
***, it is easy to identify customer projects, credentials and data.
Despite ISO27001 and ISMS-P with a good PIMS strategy, you have failed to protect customer data across all services.
Your privacy policy assures customers their data security and privacy is top priority, reality seems very different.
We wonder what your customers will have to say about that?
[2] *** and general DTC related data
Once again failing to protect very sensitive data and communications of your customers.
[3] Infrastructure and sequencing pipeline data / scripts 
Everything from documentation to project specs to produced VCFs and PDF reports post-analysis were collected.
More importantly, a full deep dive of your network infrastructure documentation and access.
The only way to kick us out is to buy all new hardware, including network equipment (UTM / switches) and sequencing / data storage systems.
Someone could have quietly modified your *** pipeline instead of contacting you, causing you much bigger issues (legal, financial and otherwise).
Can you really trust your results, if you can't trust your input data and processing pipelines?
II. Internal Data & Communications
[1] ERP/CRM Systems (NEOE, Dynamics)
[2] Active Directory dump with credential history (NTDS + passive credential collection)
[3] DO GW with DB (your groupware contains a lot of data)
[4] Exchange email communications (PST) of targeted important employees in various roles
[5] Financial / Accounting / Research / IT / Customer / Etc. documents
- A lot of documents and other files were collected from SHARE/NEWSHARE machines among other servers
- Your DLP and monitoring was rendered effectively useless and could not stop us, neither could your security team and defensive products
We have also encrypted critical Windows and Linux servers.
We recommend that you do NOT restart servers or recovery may be slower.
The good news for you is that we can:
- Decrypt all files with extension ".mcrgnx" very quickly
- Delete all sensitive data we have exfiltrated, instead of selling it
- Help you improve your security
- Disappear and not be your problem anymore
All you have to do is follow the instructions:
1.) Download Tor Browser: https://www.torproject.org/download/
2.) Go to our website: hxxx://gwisin:fa5d9dfc@gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
3.) Login with username: mcrgnx, password: ***
4.) Change password (one time setup)
5.) Setup end-to-end message encryption password
6.) Read the full instructions on the website and contact us using the message system provided there
[WARNING - #1]
If you are having trouble reaching our website, attempt closing and re-opening the Tor browser.
If you are still unable to reach our website, create a DNS TXT record @ mcrgnx.***.com containing a hex-encoded email address and we will contact you.
However, eventually we will need to communicate using our website to preserve the privacy of all parties involved. 
[WARNING - #2]
Do NOT contact law enforcement (such as NPA, KISA or SMPA) or threat intelligence organizations as they may prevent you from recovering quickly.
They can't really help you and they don't care if your business is destroyed in the process.
Contact us within 72 working hours, so we can negotiate in good faith and resolve this quickly.

Перевод записки на русский язык (только начальный текст):

Привет ***,
Вас посетил GWISIN.
Мы украли много конфиденциальных данных из ваших сетей,
в том числе, но не ограничиваясь ими:
I. Производственные приложения, исходники (Git/SVN), файлы и БД
[1] *** (все регионы) + *** и другие внутренние платформы
Объединив лабораторные данные *** и основную платформу для крупных клиентов
*** легко идентифицировать проекты клиентов, учетные данные и данные.
Несмотря на ISO27001 и ISMS-P с хорошей стратегией PIMS, вам не удалось защитить данные клиентов во всех службах.
Ваша политика конфиденциальности гарантирует клиентам, что безопасность их данных и конфиденциальность являются главным приоритетом, реальность выглядит совсем иначе.
Интересно, что об этом скажут ваши клиенты?
[2] *** и общие данные, относящиеся к DTC
*****


Хотя записки о выкупе написаны на английском языке, они содержат ссылки, которые ясно дают понять, что намеченными целями являются южнокорейские фирмы. Там используются символы хангыль (письмо корейского языка) и предупреждения жертвам не связываться с рядом правоохранительных органов Южной Кореи или правительственными учреждениями, включая корейскую полицию, Национальную разведывательную службу и KISA (государственный орган Южной Кореи, регулирующий сферы кибербезопасности). 

Кроме того GwisinLocker изменяет обои Рабочего стола на короткую записку со своим названием. 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Распространяется в виде файла MSI-установщика. Имеет функцию шифрования файлов в безопасном режиме. 
Внутренняя DLL программы-вымогателя работает путем внедрения в обычный процесс Windows. Процесс отличается для каждой зараженной компании.

Список типов файлов в ОС Windows, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Следующие каталоги в ОС Linux исключены из шифрования, чтобы предотвратить сбои в работе этой системы:
bin, boot, dev, etc, lib, lib64, proc, run, sbin, srv, sys, tmp, usr, var, bootbank, mbr, tardisks, tardisks.noauto, vmimages

Эти службы и связанные с ними процессы в ОС Linux уничтожаются перед шифрованием (если установлена ​​опция --vm=2), чтобы обеспечить закрытие дескрипторов открытых файлов:
apache, httpd, nginx, oracle, mysql, mariadb, postgres, mongod, elasticsearch, jenkins, gitlab, docker, svnserve, yona, zabbix, graylog, java

Следующие имена файлов исключаются из шифрования (если установлена ​​опция --sf), поскольку они важны для операций VMWare ESXI. Возможно, чтобы сохранить доступ к виртуальным машинам ESXi. Записки о выкупе также исключены.
imgdb.tgz, onetime.tgz, state.tgz, useropts.gz, jumpstrt.gz, imgpayld.tgz, features.gz, !!!_HOW_TO_UNLOCK_MCRGNX_FILES_!!!.TXT

Это целевые каталоги для шифрования файлов:
/Information/Database/, /Information/korea_data/, /Information/, /Infra/, /var/www/, /var/opt/, /var/lib/mysql/, /var/lib/postgresql/, /var/log/, /usr/local/svn/, /var/lib/docker, /var/db/mongodb, /var/lib/mongodb/, /var/lib/elasticsearch/, /u01/, /ORCL/, /var/lib/graylog-server/, /usr/local/

Если указан параметр --vm=1, GwisinLocker выполняет следующие команды для выключения компьютеров VMWare ESXi перед шифрованием:
esxcli --formatter=csv --format-param=fields=="DisplayName,WorldID" vm process list
esxcli vm process kill --type=force --world-id="[ESXi] Shutting down - %s"

Подробности шифрования (из статьи ReversingLabs): 
GwisinLocker сочетает шифрование с симметричным ключом AES с хешированием SHA256, создавая уникальный ключ для каждого файла. 

Шифрование файлов выполняется по следующему сценарию.
1. Инициируется RSA контекст из встроенного открытого ключа.
2. Генерируется случайный AES ключ и IV:
Инициируется новый SHA256 контекст.
Считываются 32 байта из /dev/urandom, хэш с SHA256 контекстом. 
Используется SHA256 дайджест в качестве ключа для инициализации AES контекста и создания AES ключа.
Повторяются шаги 1-3 с 16 новыми байтами из /dev/urandom, чтобы сгенерировать вектор инициализации.
3. Переименовывается целевой файл в [targetfile].mcrgnx. 
4. Шифруется и сохраняется AES ключ в файле [targetfile].mcrgnx0 : 
Инициируется новый SHA256 контекст.
Считываются 32 байта из /dev/urandom, хэш с SHA256 контекстом.
Используется SHA256 дайджест в качестве ключа для инициализации AES контекста и создания AES ключа 2.
Шифруется AES ключ из части 1 с помощью AES ключа 2.
Шифруется полученный буфер с помощью RSA контекста.
Записывается зашифрованный ключ в [targetfile].mcrgnx0 
5. Наконец, шифруется [targetfile].mcrgnx с помощью незашифрованного AES ключа и IV, сгенерированных на шаге 1.  


Файлы, связанные с этим Ransomware:
!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT - название файла с требованием выкупа;
pox9fxkov.dll, xyfl7gns5.dll - внедряемая DLL;
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 
hxxx://gwisin:fa5d9dfc@gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
Tor-URL: hxxx://gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB - GwisinLocker Ransomware (32x ELF-файл)
MD5: 94c58621f98f796e8b0532e6753b57fe
SHA-1: ce6036db4fee35138709f14f5cc118abf53db112
SHA-256: 71947bbbce8d625b82f2575f33808a3150c21b9d695bc1c0b35c9c10c4a961a3
Vhash: 35300d04482f128b1b6df698f452b66d

IOC: VT, HA, IA, TG, AR, VMR, JSB - GwisinLocker Ransomware (64x ELF-файл)
MD5: 7869667a9713df3359301842858adcac
SHA-1: e85b47fdb409d4b3f7097b946205523930e0c4ab
SHA-256: 7594bf1d87d35b489545e283ef1785bb2e04637cc1ff1aca9b666dde70528e2b
Vhash: 95b97ca2b28295d31df26e4fed621ca7


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Write-up, Topic of Support
 ***
 Thanks: 
 BleepingComputer, AhnLab, ReversingLabs
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 14 июля 2022 г.

H0lyGh0st

HolyGhost Ransomware

H0lyGh0st Ransomware

HolyGhost Doxware

Aliases: HolyLocker, SiennaPurple, SiennaBlue

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


HolyGhost Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HolyGhost. На файлах может быть написано: BTLC_C.exe, HolyRS.exe, HolyLock.exe, BLTC.exe. 
Ранний вариант BTLC_C.exe (июнь - октябрь 2021) был написан на C++, а следующие варианты HolyRS.exe, HolyLock.exe и BLTC.exe написаны на Go. 
Для Windows x64. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35578
BitDefender -> Trojan.Generic.31301860
ESET-NOD32 -> WinGo/Filecoder.AX
Kaspersky -> Trojan-Ransom.Win32.Mauri.i
Microsoft -> Ransom:Win32/Filecoder!MSR
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Lmuo
TrendMicro -> Ransom_Filecoder.R002C0DGE22
---

© Генеалогия: H0lyGh0st 2021 > 
H0lyGh0st 2022


Сайт "ID Ransomware" идентифицирует это как H0lyGh0st


Информация для идентификации

Активность этого крипто-вымогателя была замечена в июне 2021 г. и продолжалась по июнь 2022. Ориентирован на англоязычных пользователей, может распространяться по всему миру. По настойчиво продвигаемому во все СМИ мнению Microsoft Threat Intelligence Center этот вымогатель распространяется из Северной Кореи группой DEV-0530 (название от Microsoft), в некоторой степени связанной с другой северокорейской группой PLUTONIUM. 

К зашифрованным файлам добавляется расширение: .h0lyenc

Записка с требованием выкупа называется: FOR_DECRYPT.html

H0lyGh0st, HolyGhost, Ransomware, note, записка

Содержание записки о выкупе:
Please Read this text to decrypt all files encrypted.
Don't worry, you can return all of your files.
Or install tor browser and contact us with your id or company name(If all of pcs in your company are encrypted).
Our site : H0lyGh0stWebsite
Our Service
After you pay, We will send unlocker with decryption key
Attention!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increase price.
4. Antivirus may block our unlocker, So disable antivirus first and execute unlocker with decryption key.

Перевод записки на русский язык:
Прочтите этот текст, чтобы расшифровать все зашифрованные файлы.
Не волнуйтесь, вы можете вернуть все свои файлы.
Или установите браузер Tor и свяжитесь с нами, указав свой id или название компании (если все компьютеры в вашей компании зашифрованы).
Наш сайт: H0lyGh0stWebsite
Наш сервис
После оплаты мы вышлем анлокер с ключом расшифровки
Внимание!
1. Не переименовывайте зашифрованные файлы.
2. Не пытайтесь расшифровать свои данные сторонними программами, это безвозвратно повредит данные.
3. Расшифровка ваших файлов с помощью третьих лиц увеличит стоимость.
4. Антивирус может заблокировать наш анлокер, поэтому сначала отключите антивирус и запустите анлокер с ключом расшифровки.


Записки и текст могут немного отличаться, в зависимости от того, какой компьютер зашифрован: в локальной сети компании или отдельный персональный. 

 

Вымогатели пишут на своем сайте, что они не будут продавать или публиковать данные своих жертв, если им заплатят. Но если жертва не заплатит, они опубликуют все.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FOR_DECRYPT.html - название файла с требованием выкупа;
BTLC_C.exe, HolyRS.exe, HolyLock.exe, BLTC.exe, payload.exe, <random>.exe - разные варианты вредоносного файла H0lyGh0st

 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: matmq3z3hiovia3voe2tix2x54sghc3tszj74xgdy4tqtypoycszqzqd.onion
C2: 193.56.29.123
Email: H0lyGh0st@mail2tor.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: aa4e99b717bcb7e916148a469e69788a
SHA-1: 42fc554d8442a78a48dc624d3de59ae4515eed6d
SHA-256: 541825cb652606c2ea12fd25a842a8b3456d025841c3a7f563655ef77bb67219
Vhash: 0660d6655d65557575157az28!z
Imphash: c7269d59926fa4252270f407e4dab043


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

H0lyGh0st SiennaPurple (файл BTLC_C.exe) - июнь - октябрь 2021
H0lyGh0st SiennaBlue (HolyRS.exe) - октябрь - декабрь 2021
H0lyGh0st SiennaBlue (HolyLock.exe) - март - июнь 2022
H0lyGh0st SiennaBlue (BLTC.exe) - апрель - июнь 2022



Другие варианты, открытые для публичного анализа 15 июля 2021:
IOC: VT, IA + VT



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ранний вариант от 8 октября 2021:
Расширение: .h0lyenc


Содержание записки:
We are <HolyGhost>
All your important files are stored and encrypted. 
Do not try to decrypt using third party software, it may cause permanent data lose. 
To Decrypt all device, 
Contact us: H0lyGh0st@mail2tor.com or install tor browser and visit: 
matmq3z3hiovia3voe2tix2x54sghc3tszj74xgdy4tqtypoycszqzqd.onion
---
Файл проекта: M:\ForOP\attack(utils)\attack tools\Backdoor\powershell\btlc_C\Release\btlc_C.pdb
Файл EXE: BTLC_C.exe
Результаты анализа: VT + TG + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.35593
BitDefender -> Gen:Heur.Bodegun.8
ESET-NOD32 -> Win32/Filecoder.OLY
Kaspersky -> HEUR:Trojan.Win32.Agentb.gen
Microsoft -> Trojan:Win32/SiennaPurple.A!dha
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Swva
TrendMicro -> TROJ_GEN.R002H01GE22





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***
 Thanks: 
 Microsoft Security Intelligence, BleepingComputer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *