Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 3 июля 2022 г.

Lilith

Lilith Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Lilith Ransomware


Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Lilith. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35547
BitDefender -> Trojan.GenericKD.49307970
ESET-NOD32 -> A Variant Of Win64/Filecoder.FC
Kaspersky -> Trojan-Ransom.Win32.Encoder.rqk
Malwarebytes -> Ransom.Filecoder
Microsoft -> Trojan:Win64/Vigorf.A
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Encoder.Pgwf
TrendMicro -> Ransom.Win64.LILITHCRYPT.YECGD
---

© Генеалогия: родство выясняется >> 
Lilith


Сайт "ID Ransomware" это идентифицирует как Lilith


Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lilith

Записка с требованием выкупа называется: Restore_Your_Files.txt

Lilith Ransomware, note, записка

Содержание записки о выкупе:

All your important files have been encrypted and stolen!
Contact us for price and get decryption software.
You have 3 days to contact us for negotiation.
If you don't contact within three days, we'll start leaking data.
1) Contact our tox.
Tox download address: https://tox.chat/
Our poison ID:
59B542C61F574BD8B3255E55651FC7C49EB53546FC6AD0698C7A12D97D193C7D6D**********
* Note that this server is available via Tor browser only
Follow the instructions to open the link:
1. Type the addres "https://www.torproject.org" in your Internet browser. It opens the Tor site.
2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.
3. Now you have Tor browser. In the Tor Browser open :
hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы и украдены!
Свяжитесь с нами, чтобы узнать цену и получить программу для расшифровки.
У вас есть 3 дня, чтобы связаться с нами для переговоров.
Если вы не свяжетесь в течение трех дней, мы начнем слив данных.
1) Свяжитесь с нашим tox.
Адрес загрузки Tox: https://tox.chat/
Наш poison ID:
59B542C61F574BD8B3255E55651FC7C49EB53546FC6AD0698C7A12D97D193C7D6D**********
* Обратите внимание, что этот сервер доступен только через браузер Tor.
Следуйте инструкциям, чтобы открыть ссылку:
1. Введите адрес "https://www.torproject.org" в своем интернет-браузере. Он откроет сайт Tor.
2. Нажмите "Скачать Tor", затем нажмите "Скачать Tor Browser Bundle", установите и запустите его.
3. Теперь у вас есть браузер Tor. В браузере Tor откройте:
hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion


Скриншот сайта вымогателей:



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Перед шифрованием завершает процессы, которые могут помешать шифрованию. 
Шифрование выполняется с использованием криптографического API Windows, а функция Windows CryptGenRandom генерирует случайный ключ.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых файлов и папок: 
.dll, .exe, .sys
Restore_Your_Files.txt
All Users, Windows, Windows.old, Program files, Program files (x86), ProgramData, $Recycle.Bin, ntldr, boot-файлы системы, ntuser-файлы и пр.
Internet Explorer, Google, Opera, Mozilla, Tor Browser и пр. 
ecdh_pub_k.bin - локальный открытый ключ, используемый в вымогателях на основе Babuk Ransomware. 

Файлы, связанные с этим Ransomware:
Restore_Your_Files.txt - название файла с требованием выкупа;
f3caa040efb298878b99f883a898f76d92554e07a8958e90ff70e7ff3cfabdf5.exe  - случайное название вредоносного файла;
PI1J3.txt - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: b7a182db3ba75e737f75bda1bc76331a
SHA-1: cf0fe28214ad4106c48ec5867327319eaa82b3c3
SHA-256: f3caa040efb298878b99f883a898f76d92554e07a8958e90ff70e7ff3cfabdf5
Vhash: 025086655d55551515555088z6b!z
Imphash: 261a21398ec064ef3b57c9095d03d0e8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
Added later: Write-up
 Thanks: 
 JAMESWT, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *