Bisamware

Bisamware Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Bisamware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.36965
BitDefender -> Trojan.GenericKD.62104048
ESET-NOD32 -> A Variant Of Win32/Packed.VMProtect.ACR
Kaspersky -> Trojan.Win32.Bingoml.gpsj
Malwarebytes -> Trojan.Injector
Microsoft -> Trojan:Win32/Leonem
Rising -> Trojan.Bingoml!8.1226A (TFE:5:cZHtolshJ7M)

Symantec -> Ransom.Bisamware
Tencent -> Win32.Trojan.Bingoml.Itgl
TrendMicro -> Ransom.Win64.BISAMWARE.THIAIBB
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" идентифицирует это как Bisamware. 

Информация для идентификации

Активность этого крипто-вымогателя была в сентябре 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .BISAMWARE

Глядя на скриншот можно заметить, что размер файлов 1 Кб, видимо файлы не зашифрованы, а затёрты. Уплата выкупа бесполезна! 

Но исследователи сообщили о том, что иногда исходные файлы не удаляются. 

Записка с требованием выкупа называется: 

SYSTEM=RANSOMWARE=INFECTED.TXT

Содержание записки о выкупе:

==============RANSOMWARE NOTE==============

YOUR SYSTEM GOT INFECTED WITH A RANSOMWARE

CONTACT US DOWN BELOW AT OUR TOR ONION LIVE CHAT SYSTEM FOR DECRYPTION HELP

IF YOU "DONT" WANT THE FILES BACK - RESET YOUR PC

100% DECRYPTION AFTER PURCHASE OF DECRYPTION KEY - ONLY WE HAVE IT IN OUR DATABASE

TOR CHAT UNIQUE URL: 

hxxx://yfoj3s7ov6e3k7pboeumnj6rcq5h4kbdm5ogfc4tsv2eq2eed3rllrad.onion/chat.php?user_id=1&uniqueChatID=32311264584964956844096100220***

YOU CAN CALL THE COPS - YOU CAN CALL ANY MASTER TECHNICAL SOFTWARE DEVELOPER BUT IT WONT HELP

WE ARE SPECIALIZED TO TARGET COMPANIES - THERE IS NO WAY TO RECOVER YOUR FILES WITHOUT GETTING THE 

DECRYPTION KEY

==============REQUIREMENTS==============

+TOR BROWSER TO ACCESS OUR TOR CHAT DOWNLOAD at https://www.torproject.org/download/

+BITCOINS PURCHASE AT https://www.blockchain.com/ , or https://www.coinbase.com/ , or 

https://www.binance.com/ , or https://localbitcoins.com/

+WATCH TUTORIAL HOW TO BUY BITCOINS AT 

hxxx://yfoj3s7ov6e3k7pboeumnj6rcq5h4kbdm5ogfc4tsv2eq2eed3rllrad.onion/how_to_purchase_bitcoins.mp4 , or 

hxxxs://www.youtube.com/watch?v=MIUQnVHh9rU&ab_channel=Exodus

Перевод записки на русский язык:

==============ЗАПИСКА ОТ RANSOMWARE==============

ВАША СИСТЕМА ЗАРАЖЕНА RANSOMWARE

СВЯЖИТЕСЬ С НАМИ В НАШЕЙ СИСТЕМЕ ЖИВОГО ЧАТА TOR ONION ДЛЯ ПОМОЩИ В РАСШИФРОВКЕ

ЕСЛИ ВЫ НЕ ХОТИТЕ ВЕРНУТЬ ФАЙЛЫ - ПЕРЕЗАГРУЗИТЕ ВАШ ПК

100% РАСШИФРОВКА ПОСЛЕ ПОКУПКИ КЛЮЧА ДЕШИФРОВАНИЯ - ТОЛЬКО У НАС ЕСТЬ ОН В НАШЕЙ БАЗЕ ДАННЫХ

УНИКАЛЬНЫЙ URL ЧАТА TOR:

hxxx://yfoj3s7ov6e3k7pboeumnj6rcq5h4kbdm5ogfc4tsv2eq2eed3rllrad.onion/chat.php?user_id=1&uniqueChatID=32311264584964956844096100220000

ВЫ МОЖЕТЕ ПОЗВОНИТЬ КОПАМ - ВЫ МОЖЕТЕ ПОЗВОНИТЬ ЛЮБОМУ МАСТЕРУ ТЕХНИЧЕСКОМУ РАЗРАБОТЧИКУ ПО, НО ЭТО НЕ ПОМОЖЕТ

МЫ СПЕЦИАЛИЗИРУЕМСЯ НА ЦЕЛЕВЫХ КОМПАНИЯХ - НЕТ СПОСОБА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ, БЕЗ ПОЛУЧЕНИЯ

КЛЮЧ РАСШИФРОВКИ

==============ТРЕБОВАНИЯ==============

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Распространяется через вредоносные файлы Microsoft Word, подготовленные для эксплуатации уязвимости CVE-2022-30190, с помощью email-спама и вредоносных вложений. Использует также putty.exe для выполнения вредоносных действий. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Отключает защиту Защитника Windows в реальном времени, отключает его уведомления в реестре.  Обходит контроль учетных записей пользователей. 

Использует netsh для изменения настроек сети и брандмауэра Windows.

Изменяет брандмауэр Windows. 

Отключает диспетчер задач Windows (taskmgr).

Использует taskkill для завершения процессов.

Добавляет/изменяет сертификаты Windows.

Отслеживает определенные ключи / значения реестра на наличие изменений (часто делается для защиты функций автозапуска). Запрашивает список всех запущенных процессов. Читает файл hosts.

Пытается обнаружить виртуализацию с помощью измерений времени RDTSC и отладчики, устанавливая флаг ловушки для специальных инструкций.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SYSTEM=RANSOMWARE=INFECTED.TXT - название файла с требованием выкупа;

Bisamware.dll - вредоносный файл вымогателя; 
<random>.exe - случайное название вредоносного файла; 

Bewerbung.docx - вредоносный документ, используемый для распространения (VT). 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://yfoj3s7ov6e3k7pboeumnj6rcq5h4kbdm5ogfc4tsv2eq2eed3rllrad.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk, Fortinet
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.