TheGodFather83 Ransomware
Aliases: TorPaste
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.50595497
ESET-NOD32 -> BAT/Agent.OKK
Kaspersky -> Trojan.BAT.Agent.bsq
Microsoft -> Trojan:Win32/BatchWiper!MSR
Rising -> Trojan.Agent/BAT!8.1161C (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.10bcc2e5
TrendMicro -> TROJ_GEN.R002C0WGE22
---© Генеалогия: родство выясняется >> TheGodFather83
Сайт "ID Ransomware" TheGodFather83 пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: *нет данных*.
Записка с требованием выкупа называется: README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt
Записка с требованием выкупа называется: README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt
Примеры:
README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(1511).txt
README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(13516).txt
README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(29497).txt
Содержание записки о выкупе:
Your Internet Connectivity Has Been Disabled and
Your Files Have Been Encrypted!
To Recover Your Files and Your Internet Connectivity, Please Follow The Instructions:
1. Send $25 USD worth in bitcoin to the following btc address:
3BkgCLuU34sG5RCAmSwZLteKLtCQVqARhg
2. Send an email with the payment proof and your personal instalation key to thegodfather83@mailfence.com
Your Personal Instalation Key: 38514-91863-68915
How To Buy Bitcoins? - https://www.blockchain.com/learning-portal/how-to-get-bitcoins
Перевод записки на русский язык:
Ваше подключение к Интернету отключено и
Ваши файлы были зашифрованы!
Чтобы восстановить файлы и подключение к Интернету, следуйте инструкциям:
1. Отправьте биткойны на сумму $25 США на следующий адрес:
3BkgCLuU34sG5RCAMSwZLteKLtCQVqARhg
2. Отправьте email с подтверждением оплаты и вашим личным ключом установки на thegodfather83@mailfence.com
Ваш персональный ключ установки: 38514-91863-68915
Как купить биткойны? - https://www.blockchain.com/learning-portal/how-to-get-bitcoins
Записка с требованием выкупа написана также на сайте вымогателей:
Как видно на скриншотах, сайт вообще не использует HTML-разметку.
Текст со скриншота:
Your Internet Has Been Disabled, To Enable It Again Please Visit http://torpastezr7464pevuvdjisbvaf4yqi4n7sgz7lkwgqwxznwy5duj4ad.onion/raw/INLC7pVbQPGyfm0h/ ** YOU CAN ONLY ENTER TO THIS LINK WITH TOR BROWSER, DOWNLOAD IT AT https://torproject.org IN ANOTHER DEVICE ** > C:\Users\%USERNAME%\3D Objects\README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Выявленное, согласно VT, поведение:
Скрытно использует cmd и reg.exe для изменения данных в реестре или у файлов. Выполняет пакетные файлы. Создает файлы внутри каталога пользователя. Может заснуть (уклончивые петли), чтобы помешать динамическому анализу. И др.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt - название файла с требованием выкупа;
windowswimn32.bat - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: thegodfather83@mailfence.com
Tor-URL: torpastezr7464pevuvdjisbvaf4yqi4n7sgz7lkwgqwxznwy5duj4ad.onion/
BTC: 3BkgCLuU34sG5RCAmSwZLteKLtCQVqARhg
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 24b1647529c85490db5ad58a4f5a804a
SHA-1: 6c39e32f8edb6dadb2254b61bac396529db6d84c
SHA-256: 4758016824d430fcaab9c96056f0fd4d913826d26445824e19432560af540b26
Vhash: 06404e5f5d1d11z23z500280a5z37z12z3efz
Imphash: ebc638f1f6382a3fa539e03e3cd55aa5
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + myMessage + Message Write-up, Topic of Support ***
Thanks: MalwareHunterTeam, Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.