CriptomanGizmo Ransomware
Aliases: Criptoman, Gizmo, Warthunder, FIXED, LockBit3-Black
Variants: help_havaneza, mrbroock, Mr. Carabas, firecorecoverfiles, Arvin, Flamingo_unlock, Diamond, Fastwind
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Ранний образец никем не был предоставлен!
---
© Генеалогия (краткая): LockBit с вариантами >> CriptomanGizmo
!!! Here are collected different variants based on BlackMatter or LockBit 3.0 (Black), which may not be related to each other.
!!! Здесь собраны варианты на основе BlackMatter или LockBit 3.0 (Black), и они могут быть не связаны между собой.
Сайт "ID Ransomware" CriptomanGizmo отдельно не идентифицирует. Возможно, некоторые его варианты входят в идентификацию BlackMatter или LockBit 3.0. Антивирусные движки тоже разделяются в обнаружении.
Информация для идентификации
Активность этого крипто-вымогателя была в начале октября 2022 г. Ориентирован на англоязычных пользователей, но может распространяться по всему миру и использоваться на разных языках.
К зашифрованным файлам добавляется расширение: .hZiV1YwzR
Похоже, что используется случайное расширение: .<random{9}>
То есть используется 9 случайных цифр совместно с английскими буквами.
То есть используется 9 случайных цифр совместно с английскими буквами.
Кроме того, в зашифрованных файлах используется конечный маркер.
Записка с требованием выкупа называется: hZiV1YwzR.README.txt
То есть используется шаблон <extension>.README.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
hZiV1YwzR.README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: criptoman@mailfence.com, gizmo12@tutanota.com
BTC: -
То есть используется шаблон <extension>.README.txt
Текст записки может быть на разных языках.
Attention!
All your imortant files were encrypted!
If you want to return files back, email us
criptoman@mailfence.com or
gizmo12@tutanota.com
and specify your ID - 68004848694*****
Don't try to decrypt by yourself -
you can loose all your files permanently!
Don't move or modify files!
To prove that we can decrypt your files, send 3 any encrypted files (up to 3 Mb) and we decrypt them for free.
Перевод записки на русский язык:
Внимание!
Все ваши важные файлы зашифрованы!
Если вы хотите вернуть файлы, напишите нам
criptoman@mailfence.com или
gizmo12@tutanota.com
и укажите свой ID - 68004848694*****
Не пытайтесь расшифровать сами -
Вы можете навсегда потерять все свои файлы!
Не перемещайте и не изменяйте файлы!
Чтобы доказать, что мы можем расшифровать ваши файлы, пришлите 3 любых зашифрованных файла (до 3 Мб) и мы расшифруем их бесплатно.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
hZiV1YwzR.README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: criptoman@mailfence.com, gizmo12@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 20 октября 2022:
Доп. название: warthunder
Расширение: .<random{9}>, например: .3WbzmF0CC
Записка: 3WbzmF0CC.README.txt
Email: warthunder089@mailfence.com, warthunder089@tutanota.de
Вариант от 1 декабря 2022 или раньше:
Доп. название: help_havaneza
Расширение: .<random{9}>, например: .JxxLLpPns
Записка: JxxLLpPns.README.txt
Email: help_havaneza@cryptolab.net, help_havaneza@bastardi.net
Вариант от 7 декабря 2022:
Доп. названия: FIXED ransomware, mrbroock
Расширение: .<random{9}>, например: .SanxK6eaA
Записка: SanxK6eaA.README.txt
Email: mrbroock@msgsafe.io
Вариант от 27 января 2023:
Доп. названия: recoverfiles, firecorecoverfiles
Расширение: .<random{9}>, например: .O0bMlVixK
Записка: O0bMlVixK.README.txt
Email: fireco@onionmail.com, firecorecoverfiles@msgsafe.io
Telegram: @firecorecoverfiles
*** пропущенные варианты ****
Вариант от 2-3 апреля 2023:
Дополнительное название: Mr. Carabas
Расширение: .<random{9}>, например: .aaMp0vbm9
Записка: aaMp0vbm9.Readme.txt
Email: carabas1337@proton.me
Вариант от 13 апреля 2023, фактически тоже самое, что и 27 января:
Доп. названия: recoverfiles, firecorecoverfiles
Расширение: .<random{9}>, например: .kFJdr0qI0
Записка: kFJdr0qI0.README.txt
Email: fireco@onionmail.com, firecorecoverfiles@msgsafe.io
Telegram: @firecorecoverfiles
✋ Эта группа контактов используется также в другой программе-вымогателе, которую я назвал Stop24/7 Ransomware.
Вариант от 1 июня 2023 или раньше:
Расширение: .<random{9}>, например: .RCi2LUjND
Записка: RCi2LUjND.README
Email: fiileky2023@onionmail.com, fiileky2023@yahooweb.co
Вариант от 2 июня 2023 или раньше:
Расширение: .<random{9}>, например: .7RIUKJn6Z
Записка: 7RIUKJn6Z.README
Email: mrboot@privyinternet.com
Вариант от 14 июля 2023 или раньше:
Доп. название: Arvin Ransomware
Расширение: .<random{9}>, например: .0lPojnjbs
Записка: 0lPojnjbs.README
Tor-URL: hxxx://arvinc7prj6ln5wpd6yydfqulsyepoc7aowngpznbn3lrap2aib6teid.onion
Новый вариант или 9 августа 2023 или раньше:
Дополнительные названия: Flamingo_unlock, Flamingo Ransomware
Расширение: .<random{9}>, например: .lAeSUZDqb
Записка: lAeSUZDqb.README.txt
Telegram: @Flamingo_unlock
➤ Обнаружения:
BitDefender -> Trojan.Ransom.PIC
DrWeb -> Trojan.PWS.Siggen3.22687
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.O
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Ransom:Win32/Lockbit.HA!MTB
Rising -> Ransom.LockBit!1.DFDC (CLASSIC)
Symantec -> Ransom.Lockbit!g6
Tencent -> Trojan-Ransom.Win32.BlackMatter.b
TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN
Новый вариант от 15 ноября 2023 или раньше:
Доп. название: Diamond Ransomware
Расширение: .<random{9}>, например: .HWyVqM2Qi
Записка: HWyVqM2Qi.README.txt
---
Содержание записки:
~~~ Diamond Ransomware~~~
ID:328891V77
If you want to get a decoder, you need to pay !
We only accept bitcoins !
you will need to install applications
https://tox.chat/download.html
1)download qTox 64-bit
2)Open chat
3)add ID chat 441562AF2EB4FB6177E2682FF318CDB7543A0835F79D7F8080E5824502300E2E2C**********
if the country is china you will need to install a VPN !
---
Обнаружения:
DrWeb -> Trojan.Encoder.31074
BitDefender -> Gen:Heur.Mint.Zard.25
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.M
McAfee -> BlackMatter!EAA67C8AADC1
Microsoft -> Ransom:Win32/Lockbit.HA!MTB
Rising -> Ransom.LockBit!1.DFDC (CLASSIC)
Symantec -> Ransom.Lockbit!g6
Tencent -> Trojan-Ransom.Win32.Crypmodng.gz
TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN
Новый вариант от 25 ноября 2023 или раньше:
Доп. название: FastwindGlobe Ransomware
Расширение: .<random{9}>, например: .KYtDtQsij
Записка: KYtDtQsij.README.txt
Email: fastwindGlobe@mail.ee, fastwindglobe@cock.li
Telegram: @decryptfastwind
!!! Эти же вымогатели ранее использовали FastWind Ransomware.
---
Содержание записки:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: fastwindGlobe@mail.ee
In case of no answer in 24h, send e-mail to this address: fastwindglobe@cock.li
You can also contact us via Telegram: @decryptfastwind
In case of non-payment, all your files will be posted to the public Internet!
Your personal DECRYPTION ID: 416527F12E10BB291BC845**********
Добавление новых вариантов прекращено!
Вымогатели могут праздновать!
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support, Topic of Support ***
Thanks: Sandor, quietman7, al1963, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
