Шифровальщики-вымогатели The Digest "Crypto-Ransomware": N3ww4v3, Mimic

N3ww4v3 Ransomware

Aliases: Mimic, Everything, HorseLovers

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на персональных компьютерах, в локальных сетях компаний, организаций,учреждений и их серверах с уязвимой или взломанной конфигурацией RDP с помощью комбинации алгоритмов, а затем требует связаться с вымогателями с помощью email, Skype, ICQ или мессенджера qTOX, чтобы узнать как заплатить выкуп и вернуть файлы. В новых вариантах для связи предлагаются email, qTOX, ICQ, Skype. Оригинальное название: в записке не указано. На файле написано: encrypt.exe или что-то ещё. Некоторые варианты отличаются друг от друга, вероятно, используются разными группами.

---
Обнаружения:
DrWeb -> Trojan.Encoder.35534, Trojan.Encoder.36055, Trojan.Encoder.36115
BitDefender -> Gen:Variant.Tedy.175217
ESET-NOD32 -> A Variant Of Win32/Filecoder.Mimic.A
Kaspersky -> HEUR:Trojan.Win32.Scar.gen
Malwarebytes -> Malware.AI.1988362341
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.86 (RDML:/DRY***
Tencent -> Malware.Win32.Gencirc.120817c3
TrendMicro -> TROJ_GEN.R002H09IO22
---

© Генеалогия: родство выясняется >> N3ww4v3

Сайт "ID Ransomware" это идентифицирует как N3ww4v3/Mimic (с 31 марта 2023).

Информация для идентификации

Активность этого крипто-вымогателя была в конце июля и продолжилась в августе-ноябре 2022 г. Ориентирован на англоязычных или русскоязычных пользователей, может распространяться по всему миру.

Далее мы видели разные варианты, которые используют разные элементы вымогательства, разный текст и прочее. Смотрите известные нам варианты в обновлениях после основной статьи.

К зашифрованным файлам добавляется расширение: .n3ww4v3

Записка с требованием выкупа называется: How-to-decrypt.txt
В более новых вариантах может различаться по названию и содержанию.

Содержание записки о выкупе:

|!!!| Hello |!!!|

---> DON'T ignore this and check ALL INFO carefully!!!

*** About situation:

ALL your important files have been encrypted and ALL sensitive information also leaked!

This modification is reversible and data remain safe!

Encrypting your data is only proof , we only interested money, we don't want to damage your reputation , don't want to harm your work, not make a DDOS attack on your infrastructure - we only check and uploaded your files!

*** IF WE DO NOT FIND A COMMON LANGUAGE:

---> All encrypted data be irretrievably lost.

---> Leaked data will be published or sold on black-market (or to competitors).

This will be followed by serious consequences and all your customers\partners and special services will be notified about it!

!!! FOLLOW INSTRUCTIONS TO AVOID IRREVERSIBLE CONSEQUENCES !!!

!!!YOU NEED ASAP CONTACT WITH US TO DEAL THIS!!!

---> You don't have another way.

Our contacts will be provided below!

****************************************

!!! WARNING !!!

DON'T use any third party software for restoring your data or antivirus solutions!

DO NOT MODIFY ENCRYPTED FILES!

DO NOT RENAME ENCRYPTED FILES!

- it's may entail damage of the private key and, as result - you loss all data.

!!!No software and services available on internet can help you!!!

!!! Decryption of your files with the help of third parties may cause increased price (they add their fee to our and they usually fail) or you can become a victim of a scam.

__________________________

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

REMINDING:

It's in your interests to get your files back and safe all lost files,docs,bases.

We have your highly confidential/personal data. These data are currently stored on a private server(cloud)!

---> After payment this cloud will be deleted and your data stay safe!

We guarantee complete anonymity and can provide you with proof and guaranties from our side and our best specialists make everything for restoring, but please should not interfere without us.

|!!!| IF YOU DON'T CONTACT US WITHIN 48 HOURS FROM LOCK YOUR DATA - PRICE WILL BE HIGHER. |!!!|

_________________________________________________________________

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

*** HOW TO CONTACT US:

Just write us an email to this mail(s):

sendr@onionmail.org

sendr@tutanota.com

* To ANONIMOUS contact with us, create a new free email account on the site: tutanota.com (recommended) , onionmail.org , protonmail.com

* To avoid having your email blocked and get spam filters, send private information (such as your private key) with the private notes service:

privnote.com

If you do not receive a reply within 24 hours or do not receive a response to your following messages, contact us with another email or through qTox!

! add our mails to contacts so as not to lose letters from us !

!!! check your spam sometimes, our emails may get there !!!

Your decrypt ID is: ydSr4J56mcJbJ-ABSUzl31J-EtjTnZIkebzT5_2s9wk*n3ww4v3

----------------------------------------

!!! for a quick contact with us or if you will not receive our letters !!!

download qTox and ADD our TOXID.

our individual key(TOXID):

9E7B8EE126E712BECE1D6A84DD776F25646C13B1E7CDBF00169078EE6EAC653E9B455D7*****

How to download qTOX messenger:

hxxxs://tox.chat/download.html

hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe

Перевод записки на русский язык:

|!!!| Привет |!!!|

---> НЕ ИГНОРИРУЙТЕ это и внимательно проверьте ВСЮ ИНФОРМАЦИЮ!!!

*** О ситуации:

ВСЕ ваши важные файлы зашифрованы, а также утекла ВСЯ конфиденциальная информация!

Эта модификация обратима, и данные остаются в безопасности!

Шифрование ваших данных только доказательство, нас интересуют только деньги, мы не хотим портить вашу репутацию, не хотим навредить вашей работе, не делаем DDOS атаку на вашу инфраструктуру - мы только проверяем и сливаем ваши файлы!

*** ЕСЛИ НЕ НАХОДИМ ОБЩИЙ ЯЗЫК:

---> Все зашифрованные данные будут безвозвратно утеряны.

---> Утечка данных будет опубликована или продана на черном рынке (или конкурентам).

За этим последуют серьезные последствия, о чем будут оповещены все ваши клиенты\партнеры и спецслужбы!

!!! СЛЕДУЙТЕ ИНСТРУКЦИИ ВО ИЗБЕЖАНИЕ НЕОБРАТИМЫХ ПОСЛЕДСТВИЙ!!!

!!!ВАМ НУЖНО СВЯЗАТЬСЯ С НАМИ, ЧТОБЫ СДЕЛАТЬ ЭТО!!!

---> У вас нет другого пути.

Наши контакты будут указаны ниже!

****************************************

!!! ПРЕДУПРЕЖДЕНИЕ !!!

ЗАПРЕЩАЕТСЯ использовать сторонние программы для восстановления данных или антивирусные решения!

НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!

НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!

- это может привести к повреждению закрытого ключа и, как следствие, потере всех данных.

!!! Никакие программы и сервисы, доступные в Интернете, вам не помогут!!!

!!! Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей и обычно не работают) или вы можете стать жертвой мошенников.

________________________________________

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

НАПОМИНАНИЕ:

В ваших интересах вернуть свои файлы и сохранить все потерянные файлы, документы, базы.

У нас есть ваши строго конфиденциальные/личные данные. Эти данные теперь хранятся на частном сервере (облаке)!

---> После оплаты это облако будет удалено, а ваши данные останутся в безопасности!

Мы гарантируем полную анонимность и можем предоставить вам доказательства и гарантии с нашей стороны, а наши лучшие специалисты сделают все для восстановления, но, пожалуйста, не вмешивайтесь без нас.

|!!!| ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В ТЕЧЕНИЕ 48 ЧАСОВ ПОСЛЕ БЛОКИРОВКИ ДАННЫХ - ЦЕНА БУДЕТ ВЫШЕ. |!!!|

_________________________________________________________________

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

*** КАК С НАМИ СВЯЗАТЬСЯ:

Просто напишите нам письмо на эту почту:

sendr@onionmail.org

sendr@tutanota.com

* Чтобы АНОНИМНО связаться с нами, создайте новую бесплатную учетную запись email на сайте: tutanota.com (рекомендуется) , onionmail.org , protonmail.com

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ N3ww4v3 Ransomware использует возможности Windows (Powershell и пр.), а также библиотеку OpenSSL для проведения шифрования файлов.

Для запуска требуется легитимный файл Everything32.dll или Everything64.dll в 64-разрядной системе.

Список использованных файлов находится в специальной папке с характерным цифровым названием, см. на скриншоте ниже.

Путь: C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

bcdedit.exe /set {default} recoveryenabled no

vssadmin delete shadows /all /quiet

wbadmin.exe DELETE SYSTEMSTATEBACKUP

wbadmin.exe delete catalog -quiet

Список типов файлов, подвергающихся шифрованию:
Многие типы файлов, кроме тех, что находится в списках исключаемых.

Это обязательно будет документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключаемые файлы:

файлы используемой записки о выкупе

зашифрованные файлы с используемым расширением

boot.ini

bootfont.bin

desktop.ini

iconcache.db

io.sys

ntdetect.com

ntldr

ntuser.dat

ntuser.ini

thumbs.db

session.tmp

exe

Исключаемые директории:

$RECYCLE.BIN, $WINDOWS.~BT, $Windows.~WS,

:\Users\Default\,:\Users\Public\,

Boot, Cache, Common Files, Config.Msi,

C:\Users\User\AppData\Local\{***},

Chrome, Firefox, Internet Explorer, MicrosoftEdge, Mozilla Firefox, Mozilla, Opera, Opera Software, Tor Browser,

Intel, Microsoft, Microsoft Shared, Microsoft.NET, MSBuild, MSOCache,

Packages, PerfLogs,

Program Files (x86), Program Files, ProgramData,

steamapps, System Volume Information,

Temp, tmp, USOShared,

Windows Defender, Windows Journal, Windows NT, Windows Photo Viewer, Windows Security,

Windows, Windows.old, WindowsApps, WindowsPowerShell, WINNT,

Вырубаемые процессы:

agntsvc.exe, AutodeskDesktopApp.exe, axlbridge.exe,

bedbh.exe, benetns.exe, bengien.exe, beserver.exe,

CoreSync.exe, Creative Cloud.exe,

dbeng50.exe, dbsnmp.exe,

encsvc.exe, EnterpriseClient.exe,

fbguard.exe, fbserver.exe, fdhost.exe, fdlauncher.exe,

httpd.exe,

isqlplussvc.exe, java.exe,

msaccess.exe, MsDtSrvr.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe,

mysqld.exe, mysqld-nt.exe, mysqld-opt.exe,

node.exe,

ocautoupds.exe, ocomm.exe, ocssd.exe, oracle.exe,

pvlsvr.exe, python.exe,

QBDBMgr.exe, QBDBMgrN.exe, QBIDPService.exe,

qbupdate.exe, QBW32.exe, QBW64.exe,

Raccine.exe, Raccine_x86.exe, RaccineElevatedCfg.exe, RaccineSettings.exe, RAgui.exe, raw_agent_svc.exe,

SimplyConnectionManager.exe, sqbcoreservice.exe, sql.exe, sqlagent.exe, sqlbrowser.exe, sqlmangr.exe, sqlservr.exe, sqlwriter.exe,

Ssms.exe, Sysmon.exe, Sysmon64.exe,

tbirdconfig.exe, TeamViewer.exe, TeamViewer_Service.exe, tomcat6.exe, tv_w32.exe, tv_x64.exe,

VeeamDeploymentSvc.exe, vsnapvss.exe, vxmon.exe,

wdswfsafe.exe, wpython.exe, wsa_service.exe, wxServer.exe, wxServerView.exe,

xfssvccon.exe,

Отключаемые службы:

AcronisAgent, ARSM,

backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider,

CAARCUpdateSvc, CASAD2DWebSvc, ccEvtMgr, ccSetMgr, Culserver,

dbeng8, dbsrv12, DefWatch,

FishbowlMySQL,

GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss,

memtas, mepocs,

MSExchange$, msexchange, msftesql-Exchange, msmdsrv,

MSSQL$, MSSQL$KAV_CS_ADMIN_KIT, MSSQL$MICROSOFT##SSEE, MSSQL$MICROSOFT##WID, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQL$VEEAMSQL2012, MSSQL, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, MSSQLServerADHelper100, MVArmor, MVarmor64, MySQL57,

PDVFSService,

QBCFMonitorService, QBFCService, QBIDPService, QBVSS,

RTVscan,

SavRoam, sophos,

SQL, SQLADHLP, SQLAgent$KAV_CS_ADMIN_KIT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, SQLAgent$VEEAMSQL2012, sqlagent, sqlbrowser, Sqlservr, SQLWriter,

stc_raw_agent, svc$,

tomcat6,

veeam, VeeamDeploymentService, VeeamNFSSvc, VeeamTransportSvc, vmware-converter, vmware-usbarbitator64, VSNAPVSS, vss,

wrapper, WSBExchange,

YooBackup, YooIT,

Отключает системные службы: телеметрию, поиск, дефрагментацию, удаленную поддержку, BITS, VSS, диагностику и прочее.

Файлы, связанные с этим Ransomware:
How-to-decrypt.txt - название файла с требованием выкупа;
encrypt.exe - название вредоносного файла;

Everything32.dll, Everything64.dll и другие файлы, которые считаются невредоносными, хотя используются только злоумышленниками.

DC.exe - утилита для контроля Windows Defender, тоже считается невредоносной, хотя используется только злоумышленниками;

sdel.exe, sdel64.exe - файлы утилиты SDelete, тоже считается невредоносной, хотя используется только злоумышленниками;

system86.exe, system64.exe - вредоносные файлы, копии или ассистенты основного файла шифровальщика;

decr.exe - оригинальный файл для расшифровки файлов.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\Everything32.dll

C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\Everything64.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sendr@onionmail.org, sendr@tutanota.com
BTC: -

См. ниже в обновлениях другие адреса и контакты.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 01ff843b385a9e4d58e4a892fda02fd5

SHA-1: 233dae8cdb91e030d792d510eaebadb4a4f5a329

SHA-256: 30f2fe10229863c57d9aab97ec8b7a157ad3ff9ab0b2110bbb4859694b56923f

Vhash: 026056656d155562f3z72zd31z23z8045z3091zb4z147z

Imphash: 03693bdee422e8a1531fe65d84da7646

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

*

=== РЕКОМЕНДАЦИИ: КАК ДО ТАК И ПОСЛЕ АТАКИ ===

На компьютере нужно удалить все ПО, которое использует библиотеки из пакета OpenSSL и полностью деактивировать Windows Powershell и Windows Script Host как вредоносное/опасное ПО от Microsoft.

Если будете переустанавливать систему, то до установки обязательно отключите от сети и интернета каждый ПК. Потом отключите и полностью удалите Powershell и Windows Script Host без возможности восстановления из бекапов и WinSxS. После удаления зачистите остатки с помощью DISM++, например, или другими способами.

В программе есть переключение на разные языки.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант: от 25 июля 2022:

"FromSiberiaWithLove"

Сообщение >>

Расширение: .hicrypt

Результаты анализа: VT + IA

Требуется наличие файла Everything32.dll для запуска.

Вариант от 19 августа 2022:

Расширение: .n3ww4v3

Записка: How-to-decrypt.txt

Email: itsupport831@reddithub.com

Вариант от 12 сентября 2022:

понедельник, 1 августа 2022 г.

N3ww4v3, Mimic

N3ww4v3 Ransomware

Aliases: Mimic, Everything, HorseLovers

(шифровальщик-вымогатель) (первоисточник) Translation into English

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

понедельник, 1 августа 2022 г.

(шифровальщик-вымогатель) (первоисточник)
Translation into English