ChileLocker Ransomware
Aliases: ARCrypter
ChileLocker Cover-Ransomware
ChileLocker Doxware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.MulDrop20.46239
BitDefender -> Trojan.GenericKD.61537098
ESET-NOD32 -> A Variant Of Win64/Agent.BNQ
Kaspersky -> Trojan-Ransom.Win64.Agent.dph
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Conti!MSR
Rising -> Ransom.Agent!1.C6BF (CLASSIC)
Tencent -> Win32.Trojan.Malware.Mecd
TrendMicro -> Ransom.Win64.ELICHLOCK.THIOBBB
---
© Генеалогия: ✂ Conti > ChileLocker (ARCrypter)
Сайт "ID Ransomware" идентифицирует это как Chile Locker.
Информация для идентификации
Активность этого крипто-вымогателя была замечена в первой и второй половине августа 2022 г. Атаке подверглось государственное агентство Чили. Ориентирован на англоязычных пользователей, может распространяться по всему миру. По некоторым неподтвержденным данным сначала предполагалась связь с RedAlert Ransomware, но эти данные не были подтверждены. Позже ChileLocker вышел за пределы Чили и нацелился на различные организации по всему миру, включая США, Канаду, Германию, Францию, Китай.
К зашифрованным файлам добавляется расширение: .crypt
Записка с требованием выкупа называется: readme_for_unlock.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ ChileLocker обладает возможностями получения доступа к исполняемым файлам, может завершать процессы и распространяться по локальной сети. Добавляет себя в Автозагрузку системы, использует в разделе Run имя SecurityUpdate для выполнения при старте системы.
Записка с требованием выкупа называется: readme_for_unlock.txt
HELLO!
----> Attention <----
DO NOT:
—Modify, rename, copy or move any files or you can DAMAGE them and decryption will be impossible.
—Use any third-party or public Decryption software, it also may DAMAGE files.
—Shutdown or Reset your system, it can damage files.
—Hire any third-party negotiators (recovery/police and etc).
---
Your security perimeter was breached.
Critically important servers and hosts were completely encrypted.
This readme-file here for you to show you our presence in your's network and avoid any silence about hacking and
leakage.
Also, we has downloaded your most sensitive Data just in case if you will not pay,
than everything will be published in Media and/or sold to any third-party.
1) what should you do:
—> You have to contact us as soon as possible (you can find contacts below)
—> You should purchase our decryption tool, so will be able to restore your files. Without our Decryption keys it's
impossible
—> You should make a Deal with us, to avoid your Data leakage
2) your options:
---> IF NO CONTACT OR DEAL MADE IN 3 DAYS:
Decryption key will be deleted permanently and recovery will be impossible.
***
Перевод записки на русский язык:
ПРИВЕТ!
----> Внимание <----
НЕ НАДО:
— Изменять, переименовывать, копировать или перемещать любые файлы, иначе вы можете их ПОВРЕДИТЬ и расшифровка будет невозможна.
—Использовать любое стороннее или общедоступное программное обеспечение для расшифровки, оно также может ПОВРЕДИТЬ файлы.
— Завершать работу или перезагружать систему, это может привести к повреждению файлов.
— Нанимать любых сторонних переговорщиков (восстановление/полиции и т.д.).
---
Ваш периметр безопасности был нарушен.
Критически важные серверы и хосты были полностью зашифрованы.
Этот readme-файл для вас, чтобы показать вам наше присутствие в вашей сети и избежать умалчивания о взломе и утечке.
Кроме того, мы скачали ваши самые конфиденциальные данные на тот случай, если вы не заплатите,
тогда все будет опубликовано в СМИ и/или продано какой-либо третьей стороне.
1) что делать:
—> Вы должны связаться с нами как можно скорее (вы можете найти контакты ниже)
—> Вам следует приобрести наш инструмент дешифрования, чтобы иметь возможность восстановить ваши файлы. Без наших ключей расшифровки это невозможно
-> Вы должны заключить с нами сделку, чтобы избежать утечки ваших данных
2) ваши варианты:
---> ЕСЛИ НЕТ КОНТАКТА ИЛИ СДЕЛКИ, СДЕЛАННОЙ В ТЕЧЕНИЕ 3 ДНЕЙ:
Ключ расшифровки будет удален навсегда, и восстановление будет невозможно.
***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ ChileLocker обладает возможностями получения доступа к исполняемым файлам, может завершать процессы и распространяться по локальной сети. Добавляет себя в Автозагрузку системы, использует в разделе Run имя SecurityUpdate для выполнения при старте системы.
Раздел реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Типы файлов, пропускаемые при шифровании:
.crypt, .blf, .regtrans-ms, .library-ms, .sys, .tmp, .log, .log.tmp, .exe, .bat, .msi, .dll, .ini
Пропускаемые директории: Boot, Windows и другие критические, чтобы не сделать систему непригодной для использования.
Кроме расширения .crypt, зашифрованные файлы будут отображать сообщение «ALL YOUR FILES HAS BEEN ENCRYPTED» в менеджере файлов из-за изменений следующих ключей реестра:
HKCU\Control Panel\International\sShortDate
HKLM\SYSTEM\ControlSet001\Control\CommonGlobUserSettings\Control Panel\International\sShortDate
readme_for_unlock.txt - название файла с требованием выкупа;
0t8I7t8q8.exe - случайное название вредоносного файла - random.exe;
lock.exe, locker.exe - названия вредоносного файла;
bat-файлы со случайными названиями (6c1W1w0p9.bat, 2g3F4q1c8.bat и им подобные);
win.zip (win.exe) - архив с вредоносным исполняемым файлом-дроппером; он содержит ресурсы BIN и HTML.
Зашифрованные данные, для которых требуется пароль содержатся в BIN, а HTML содержит данные о выкупе. Если указан пароль, BIN создаст случайный каталог на скомпрометированной машине для хранения полезной нагрузки второго этапа, название которой будет состоять из случайных буквенно-цифровых символов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: стерты из записки исследователями вредоносных программ
BTC: -
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: стерты из записки исследователями вредоносных программ
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 58aea2aac89947773dfae8e3859e20b0
SHA-1: be17c41c65703f9475e36dff55fd3de220e395f3
SHA-256: 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d
Vhash: 075076655d1555155550d8z85nz1fz
Imphash: 8649071454a1f3666a535bb853332eef
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA256: c42834ac1c8efc19c44024f1e4960c5a9aaab05dc9fceb0d1596ffe0c244f5f2
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление ноября 2022:
Статья на сайте Bleeping Computer >>
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Topic of Support ***
Thanks: to the authors who described it Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
