Если вы не видите здесь изображений, то используйте VPN.

понедельник, 11 июля 2022 г.

BianLian

BianLian Ransomware

BianLian Extortion Group

BianLian Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


BianLian Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES256 (CBC-режим, пакет Golang AES), а затем требует связаться с вымогателями через Tox или по email, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: BianLian. На файле написано: нет данных. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35708
BitDefender -> Trojan.GenericKD.61254969
ESET-NOD32 -> WinGo/Filecoder.BT
Kaspersky -> Trojan-PSW.Win32.Stealer.aosa
Malwarebytes -> Ransom.Bianlian
Microsoft -> Ransom:Win64/Bianlian!MSR
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan-qqpass.Qqrob.Hfh
TrendMicro -> Ransom.Win64.BIANLIAN.THHABBB.go
---

© Генеалогия: родство выясняется >> 
BianLian


Сайт "ID Ransomware" начал идентифицировать BianLian только с февраля 2023 года. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди атакованных объектов на данный момент только категории: insurance, education, medicine (страхование, образование, медицина). 

К зашифрованным файлам добавляется расширение: .bianlian

Записка с требованием выкупа называется: Look at this instruction.txt или как-то ещё

BianLian Ransomware, note, записка

Содержание записки о выкупе:
To unblock your data write us to Tox(https://qtox.github.io/) A4B3B0845DA242A64BF17E0DB4278EDF85855739667D3E2AE8B89D5439015F07E81D12D767FC or SWikipedia@mail2tor.com
Don't try to recover yourself otherwise you may lose your data.
Tor website
http://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion/

Перевод записки на русский язык:
Чтобы разблокировать ваши данные, напишите нам на Tox(https://qtox.github.io/) A4B3B0845DA242A64BF17E0DB4278EDF85855739667D3E2AE8B89D5439015F07E81D12D767FC или SWikipedia@mail2tor.com
Не пытайтесь восстановить сами, иначе вы потеряете свои данные.
Tor-сайт 
http://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion/


Другой вариант записки:



Скриншоты с сайта вымогателей:  

На на сайте вымогателей опубликована информация по атакованным объектам
Mooresville Schools, 
High Power Technical Services, 
Anderson Insurance Associates, 
Mackenzie Medical





О том, что является объектом вымогательства по каждому объекту можно прочесть на следующих страницах сайта:

 

 

Со временем сайт может отказаться недоступен или удалён, поэтому эти скриншоты являются доказательством того, что это вымогательство имело место. 


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Кратко о шифровании:
Ключ AES не шифруется открытым ключом и не хранится в зашифрованных файлах. Выполняется прерывистое шифрование файлов, а эта тактика, которая помогает ускорить атаки за счет надежности блокировки данных. 

➤ Шифровальщик самоудаляется после шифрования файлов с помощью команды: cmd /c del <sample.exe> 

Список типов файлов, подвергающихся шифрованию:
Более 1013 расширений файлов. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Look at this instruction.txt - название файла с требованием выкупа;
anabolic.exe, 
Areg.exe, mativ.exe - известные названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\TEMP\mativ.exe
C:\Windows\Temp\Areg.exe
C:\Users\%username%\Pictures\windows.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion/
Email: SWikipedia@mail2tor.com
Tox: A4B3B0845DA242A64BF17E0DB4278EDF85855739667D3E2AE8B89D5439015F07E81D12D767FC
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA-256: b60be0b5c6e553e483a9ef9040a9314dd54335de7050fed691a07f299ccb8bc6
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 0c756fc8f34e409650cd910b5e2a3f00
SHA-1: 70d1d11e3b295ec6280ab33e7b129c17f40a6d2f
SHA-256: eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2
Vhash: 026066655d5d15541az27!z
Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

Другие: IOC:
1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43
3a2f6e614ff030804aa18cb03fcc3bc357f6226786efb4a734cbe2a3a1984b6f
46d340eaf6b78207e24b6011422f1a5b4a566e493d72365c6a1cace11c36b28b
3be5aab4031263529fe019d4db19c0c6d3eb448e0250e0cb5a7ab2324eb2224d
a201e2d6851386b10e20fbd6464e861dea75a802451954ebe66502c2301ea0ed
ae61d655793f94da0c082ce2a60f024373adf55380f78173956c5174edb43d49

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 августа 2022:
Сообщение >>
IOC: VT, HA, IA, TG, AR, VMR, JSB

Новость от 23 января 2024:
Статья: Threat Assessment: BianLian




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
Added later: *
SecurityScoreCard report 
Decrypted: BianLian Ransomware 🔐
 Thanks: 
 Finch, BetterCyber
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *