Prestige Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует купить у вымогателей программу для расшифровки файлов. Оригинальное название: в записке написано Prestige ranusomeware. Использует библиотеку Crypto C++. На файле написано: 123.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop20.65519
BitDefender -> DeepScan:Generic.Ransom.Spora.C08F87D6
ESET-NOD32 -> A Variant Of Win32/Filecoder.Prestige.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Prestige.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Prestige.B
Rising -> Trojan.Generic@AI.91 (RDML:bhj***
Tencent -> Win32.Trojan.Filecoder.Kajl
TrendMicro -> Ransom_Prestige.R03BC0DJE22
---
© Генеалогия: родство выясняется >> Prestige
Сайт "ID Ransomware" Prestige пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была якобы обнаружена сотрудниками Microsoft в начале октября 2022 г. По их утверждению, программа-вымогатель распространяется российскими хакерами, и направлена на украинских и польских пользователей.
Так как компания Microsoft находится в США, много раз была уличена в русофобском и антироссийском настроении, потому верить очередному "выплеску русофобии" нет необходимости. Антивирусные продукты Microsoft много лет занимаются шпионажем в пользу НАТО, потому должны быть удалены со всех компьютеров в России, Беларуси и изъяты из продаж в магазинах.
Здесь мы только суммируем информацию. Программа-вымогатель есть, угроза шифрования файлов существует, а кто её запускает — это другая тема.
К зашифрованным файлам добавляется расширение: .enc
Записка с требованием выкупа называется: README
Записка с требованием выкупа называется: README
Этот файл не имеет расширения .txt и запускается с помощью следующей команды в Блокноте.
YOU PERSONAL FILES HAVE BEEN ENCRYPTED.
To decrypt all the data, you will need to purchase our decryption software.
Contact us Prestige.ranusomeware@Proton.me. In the letter, type your ID = *******.
* ATTENTION *
- Do not try to decrypt your data using third party software, it may cause permanent data loss.
- Do not modify or rename encrypted files. You will lose them.
Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ.
Чтобы расшифровать все данные, вам надо приобрести нашу программу для расшифровки.
Пишите нам на Prestige.ranusomeware@Proton.me. В письме введите свой ID = *******.
* ВНИМАНИЕ *
- Не пытайтесь расшифровать свои данные сторонними программами, это приведет к потере данных.
- Не изменяйте и не переименовывайте зашифрованные файлы. Вы потеряете их.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые и резервные копии файлов, чтобы затруднить восстановление.
➤ По данным MSTIC (Microsoft) вымогатели использовали следующие утилиты: RemoteExec — платный инструмент для безагентного удаленного выполнения кода; Impacket WMIexec — инструмент на основе сценариев с открытым исходным кодом для удаленного выполнения кода.
Чтобы получить доступ к учетным данным с высоким уровнем привилегий, использовались следующие инструменты для повышения привилегий и извлечения учетных данных:
winPEAS — набор скриптов с открытым исходным кодом для повышения привилегий в Windows;
comsvcs.dll — используется для дампа памяти процесса LSASS и кражи учетных данных;
ntdsutil.exe — используется для резервного копирования базы данных Active Directory, вероятно, для последующего использования учетных данных.
Список типов файлов, подвергающихся шифрованию:
.1cd, .7z, .abk, .accdb, .accdc, .accde, .accdr, .alz, .apk, .apng, .arc, .asd, .asf, .asm, .asx, .avhd, .avi, .avif, .bac, .backup, .bak, .bak2, .bak3, .bh, .bkp, .bkup, .bkz, .bmp, .btr, .bz, .bz2, .bzip, .bzip2, .c, .cab, .cer, .cf, .cfu, .cpp, .crt, .db, .db3, .dbf, .db-wal, .der, .dmg, .dmp, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dsk, .dt, .dump, .dz, .ecf, .edb, .epf, .ess, .exb, .ged, .gif, .gpg, .gzi, .gzip, .hdd, .img, .iso, .jar, .java, .jpeg, .jpg, .js, .json, .kdb, .key, .lz, .lz4, .lzh, .lzma, .mdmr, .mkv, .mov, .mp3, .mp4, .mpeg, .myd, .nude, .nvram, .oab, .odf, .ods, .old, .ott, .ovf, .pac, .pdf, .pern, .pfl, .pfx, .php, .pkg, .pl2, .png, .pot, .potm, .potx, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .pvm, .py, .qcow, .qcow2, .r0, .rar, .raw, .rz, .s7z, .sdb, .sdc, .sdd, .sdf, .sfx, .skey, .sldm, .sldx, .sql, .sqlite, .svd, .svg, .tar, .taz, .tbz, .tbz2, .tg, .tib, .tiff, .trn, .txt, .txz, .tz, .vb, .vbox, .vbox-old, .vbox-prev, .vdi, .vdx, .vhd, .vhdx, .vmc, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmx, .vmxf, .vsd, .vsdx, .vss, .vst, .vsx, .vtx, .wav, .wbk, .webp, .wmdb, .wmv, .xar, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .z, .zbf, .zip, .zipx, .zl, .zpi, .zz (194 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README - название файла с требованием выкупа;
123.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Prestige.ranusomeware@Proton.me
BTC: -
Файлы, связанные с этим Ransomware:
README - название файла с требованием выкупа;
123.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Prestige.ranusomeware@Proton.me
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 8119c78b7cfb7d9ce37286ec9fc263e2
SHA-1: 986ba7a5714ad5b0de0d040d1c066389bcb81a67
SHA-256: 5fc44c7342b84f50f24758e39c8848b2f0991e8817ef5465844f5f2ff6085a57
Vhash: 075056656d15556038z6b!z
Imphash: a32bbc5df4195de63ea06feb46cd6b55
Публичный образец этого вредоносного файла, не доказывает того, что за распространением Prestige Ransomware стоят российские хакеры, потому я считаю заявление MSTIC (Microsoft) лживым и бездоказательным.
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Новость от 10 ноября 2022:
Еще одна антироссийская и русофобская статья на сайте BC >>
"Страдальцы" — объекты в Украине и Польше. Технология вранья.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Write-up, Topic of Support ***
Thanks: MSTIC (Microsoft), BleepingComputer Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
