Luna

Luna Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации X25519 + алгоритм шифрования AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Luna Ransomware. На файле написано: luna.exe. Написан на языке программирования Rust. Предназначен для атак на системы Windows, Linux и ESXi.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> Luna

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Об активности крипто-вымогателя на момент написания статья ничего не известно. Предварительное заявление было обнаружено на форуме Даркнета в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .luna

Специалисты из Kaspersky Lab сообщили, что требование выкупа, встроенное в бинарный файл, содержит грамматические ошибки. Например, вместо "a small team" злоумышленники написали "a little team". На основании этого они сделали вывод, что разработчики "русскоязычные". 

На мой взгляд это и не ошибка вовсе. Разные онлайн-переводчики предпочитают разные слова. Google с легкостью выдают сайты с названиями "little team" в англоязычном и китайском сегменте Интернета. 


Записка с требованием выкупа называется: не предоставлена.

Содержание записки о выкупе:
***

Перевод записки на русский язык:
***


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Распространяется на форумах Даркнета с заявлением, что Luna работает только с русскоязычными партнерами. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
luna.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Kaspersky Lab
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.