BlackHunt

BlackHunt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать вымогателям, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: BlackHunt. На файле написано: BlackHunt.exe или случайное название.
---
Обнаружения:

DrWeb -> Trojan.Encoder.37002

BitDefender -> Trojan.GenericKD.64497764, Gen:Variant.Ser.Fragtor.1387

ESET-NOD32 -> A Variant Of Win32/Filecoder.OKE

Kaspersky -> UDS:Trojan-Ransom.Win32.Generic

Malwarebytes -> Ransom.BlackHunt

Microsoft -> Ransom:Win32/Conti.ZC

QuickHeal -> Ransom.Conti

Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Tencent -> Win32.Trojan.Filecoder.Hkjl, Win32.Trojan.Filecoder.Pcnw

TrendMicro -> Ransom_Conti.R002C0DLR22, Ransom.Win32.BLACKHUNT.THLBHBB

---

© Генеалогия: CONTI-2 (stolen code) + другой код >> BlackHunt

Сайт "ID Ransomware" идентифицирует это как BlackHunt (с 22 марта 2023).

Информация для идентификации

Активность этого крипто-вымогателя была в конце ноября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были во Вьетнаме. Потом крипто-вымогатель стал распространяться и в других странах. 

К зашифрованным файлам добавляется расширение: .Black

Фактические используется составное расширение по шаблону: .[<random{16}>].[<email>].Black

Примеры таких расширений: 

.[rKcCw3Up38KUtBH5].[tset@gmail.com].Black

.[rCw3KcU4Kp5HtUB6].[amike1096@gmail.com].Black

Записка с требованием выкупа написана на голубом экране : 

Содержание записки о выкупе:

WARNING WARNING WARNING.

Your Network Infected With BlackHunt Ransomware Team. ALL Your important

Files Encrypted and Stolen , Do You Want Your Files? read [ReadMe] Files carefully

and contact us by [tset@gmail.com] AND [tset2@gmail.com]

Перевод записки на русский язык:

ВНИМАНИЕ ВНИМАНИЕ ВНИМАНИЕ.

Ваша сеть заражена командой BlackHunt Ransomware. ВСЕ Ваши важные

Файлы зашифрованы и украдены, Вам нужны ваши файлы? Прочтите файлы [ReadMe] и пишите на [tset@gmail.com] И [tset2@gmail.com]

Вероятно такой тип записки бы ранним, тестовым вариантом. Кроме того, логин почты 'tset' очень похож на слово 'test'. В декабре 2022 мы видели уже другой тип записки с требованием выкупа в виде файлов #BlackHunt_ReadMe.hta и #BlackHunt_ReadMe.txt, в которых используется другой email-адрес. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Выполняет сдедующие деструктивные действия: 

Добавляется в Автозагрузку, изменяя ключи реестра. 

Добавляет задачу в Планировщик задач. 

Создает файлы внутри системного каталога. 

Удаляет план резервного копирования Windows и теневые копии тома.

Отключает восстановление системы. 

Отключает диспетчер задач Windows (taskmgr).

Отключает Защитник Windows.

Пытается загрузить отсутствующие библиотеки DLL.

Включить загрузку в безопасном режиме. 

Запрашивает список всех запущенных процессов. 

Может попытаться обнаружить виртуальную машину, чтобы помешать анализу.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackHunt.exe - возможное название вредоносного файла;

<random>.exe - случайное название вредоносного файла;

#BlackHunt_ReadMe.hta - название файла с требованием выкупа;

#BlackHunt_Update.txt - название файла с требованием выкупа;

#BlackHunt_Private.key, #BlackHunt_Public.key - файлы с ключами;

#BlackHunt_Update.hta - еще один файл HTA;

#BlackHunt_Logs.txt - журнал действий. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ProgramData\#BlackHunt_ReadMe.hta

C:\ProgramData\#BlackHunt_Update.hta

C:\ProgramData\#BlackHunt_ReadMe.txt

C:\ProgramData\#BlackHunt_Private.key

C:\ProgramData\#BlackHunt_Public.key

C:\ProgramData\#BlackHunt_Logs.txt

C:\ProgramData\#BlackHunt_ID.txt

C:\ProgramData\#BlackHunt_BG.jpg

C:\ProgramData\#BlackHunt_Icon.ico

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\Software\Classes\Black

HKEY_LOCAL_MACHINE\Software\Classes\Black

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "{2C5F9FCC-F266-43F6-BFD7-838DAE269E11}" /t REG_SZ /d "C:\ProgramData\#BlackHunt_ReadMe.hta" /f

"HKEY_LOCAL_MACHINE\Software\Classes\.Black\DefaultIcon" /ve /t REG_SZ /d "C:\ProgramData\#BlackHunt_Icon.ico"

"HKEY_LOCAL_MACHINE\Software\Classes\Black\DefaultIcon" /ve /t REG_SZ /d "C:\ProgramData\#BlackHunt_Icon.ico"  /f

"HKEY_LOCAL_MACHINE\Software\Classes\Black" /f

И другие, см. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tset@gmail.com, tset2@gmail.com

amike1096@gmail.com

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 16deea31a988e7af71001c2eda8ad614

SHA-1: 8d992884b713b56d1edbf40306b2e11dc54f9887

SHA-256: 977083fc01e2982258eac0a13e56cd697d9f6941f5a365e9d02d544fc3e15000

Vhash: 075066655d55151560c8z8a1z2dz3011z55za7z

Imphash: f6ebbc99dee0ebb360681d57876ef849

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d7a24de75b761cb98f580dafda4ba885

SHA-1: 86dc51cfc817937f9525b8aa2fa71e918288a44d

SHA-256: f725792a5ef0512f3c5356d79fb3be5afcbaffaa4af41498342f7d09d703761f

Vhash: 075066655d55151560c8z8a1z2dz3011z55za7z

Imphash: f6ebbc99dee0ebb360681d57876ef849

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 25 декабря 2022: 

Название версии: BlackHunt v1.0

Расширение: .Black

Полное расширение: .[rCw3KcU4Kp5HtUB6].[amike1096@gmail.com].Black
Записка: #BlackHunt_ReadMe.hta
Email: amike1096@gmail.com, onion746@onionmail.com, justin@cyberfear.com, magicback@onionmail.org и другие

Tor URL: hxxx://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion

IOC: VT + VT

=== 2023 ===

Вариант от 5 июня 2023 и позже:

Сообщение на форуме >>

Расширение: .Hunt2

Составное расширение (пример): .[GxxaNAHrhs0Qw1fe].[Cyberexploit.59@gmail.com].Hunt2

Записки: #BlackHunt_ReadMe.hta, #BlackHunt_ReadMe.txt

Изображение, заменяющее обои: #BlackHunt_BG.jpg

Файл ключа: #BlackHunt_Private.key

Пути нахождения файлов: 

C:\Program Files\#BlackHunt_Private.key

C:\Program Files\#BlackHunt_ReadMe.hta

C:\Program Files\#BlackHunt_ReadMe.txt

C:\Program Files (x86)\#BlackHunt_Private.key

C:\Program Files (x86)\#BlackHunt_ReadMe.hta

C:\Program Files (x86)\#BlackHunt_ReadMe.txt

---

Email: Cyberexploit.59@gmail.com, Cybererror.59@gmail.com

Tor-URL: http://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion 

Вариант от 18 декабря 2023: 

Сообщение на форуме >>

Расширение: .Hunt2

Составное расширение (пример): .[oXzXQKBjntMCPZ4i].[keyseller@mailfence.com].Hunt2

Записка: #BlackHunt_ReadMe.txt

Email: keyseller@mailfence.com, keyseller@skiff.com

=== 2024 ===

Вариант от 12 августа 2024 или раньше: 

Сообщение на форуме >>

Расширение: .Hunt2

Составное расширение (пример): .[TlMJfwTGBiye6ZXT].[gotchadec@onionmail.org].Hunt2

Записки: #BlackHunt_ReadMe.hta, #BlackHunt_ReadMe.txt

Файл ключа: #BlackHunt_Private.key

Email: gotchadec@onionmail.org, Yamaguchigumi@cock.li

Telegram: @GotchaDec 

Tor-URL: hxxx://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 RakeshKrish12, Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.