Monti

Monti Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей ОС Linux с помощью комбинации алгоритмов, а затем требует выкуп чтобы вернуть файлы. Оригинальное название: Monti. На файле написано: monti.elf. Есть версии крипто-вымогателя для Linux и Windows. 
---
Обнаружения:
DrWeb -> Linux.Encoder.135
BitDefender -> Trojan.Generic.32380713
ESET-NOD32 -> Linux/Filecoder.Conti.A
Kaspersky -> HEUR:Trojan-Ransom.Linux.Conti.gen
Microsoft -> Ransom:Linux/Conti.A
Rising -> Ransom.Conti/Linux!8.15360 (CLOUD)
Tencent -> Linux.Trojan.Conti.Ewnw
TrendMicro -> Trojan.Linux.CONTI.USELVL622
---

© Генеалогия: CONTI modified >> Monti

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале/середине/конце ноября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .puuuk

Записка с требованием выкупа называется: readme.txt или README.txt

Содержание записки о выкупе:

All of your files are currently encrypted by MONTI strain. If you don't know who we are - just "Google it."

As you already know, all of your data has been encrypted by our software.

It cannot be recovered by any means without contacting our team directly.

DON'T TRY TO RECOVER your data by yourselves. Any attempt to recover your data (including the usage of the additional recovery software) can damage your files. However, if you want to try - we recommend choosing the data of the lowest value.

DON'T TRY TO IGNORE us. We've downloaded a pack of your internal data and are ready to publish it on our news website if you do not respond.

So it will be better for both sides if you contact us as soon as possible.

DON'T TRY TO CONTACT feds or any recovery companies.

We have our informants in these structures, so any of your complaints will be immediately directed to us.

So if you will hire any recovery company for negotiations or send requests to the police/FBI/investigators, we will consider this as a hostile intent and initiate the publication of whole compromised

data immediately.

To prove that we REALLY CAN get your data back - we offer you to decrypt two random files completely free of charge.

You can contact our team directly for further Instructions through our website :

TOR VERSION :

(you should download and install TOR browser first https://torproject.org)

http://monti**********************************************.onion/chat/

Our blog :

(also through TOR)

hxxx://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion

YOU SHOULD BE AWARE!

We will speak only with an authorized person. It can be the CEO, top management, etc.

In case you are not such a person - DON'T CONTACT US! Your decisions and action can result in serious harm to your company!

Inform your supervisors and stay calm!

Перевод записки на русский язык:

Все ваши файлы сейчас зашифрованы штаммом MONTI. Если вы не знаете, кто мы - просто "погуглите".

Как вы уже знаете, все ваши данные зашифрованы нашей программой.

Их никак нельзя восстановить, не связавшись напрямую с нашей командой.

НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ данные самостоятельно. Любая попытка восстановить ваши данные (включая использование дополнительных программ для восстановления) может повредить ваши файлы. Однако если вы хотите попробовать — рекомендуем выбирать данные наименьшего значения.

НЕ ПЫТАЙТЕСЬ ИГНОРИРОВАТЬ НАС. Мы скачали пакет ваших внутренних данных и готовы опубликовать его на нашем новостном сайте, если вы не ответите.

Поэтому для обеих сторон будет лучше, если вы свяжетесь с нами как можно скорее.

НЕ ПЫТАЙТЕСЬ СВЯЗАТЬСЯ с федералами или любыми компаниями по восстановлению.

У нас есть свои информаторы в этих структурах, поэтому любая ваша жалоба будет немедленно направлена к нам.

Поэтому, если вы наймете любую компанию по восстановлению для переговоров или отправите запросы в полицию/ФБР/следователям, мы будем рассматривать это как враждебный умысел и инициируем публикацию всех скомпрометированных данных немедленно.

Чтобы доказать, что мы ДЕЙСТВИТЕЛЬНО МОЖЕМ вернуть ваши данные - мы предлагаем вам совершенно бесплатно расшифровать два случайных файла.

Вы можете связаться с нашей командой напрямую для получения дальнейших инструкций через наш веб-сайт:

ВЕРСИЯ ТОР:

(сначала необходимо скачать и установить браузер TOR https://torproject.org)

http://monti*************************************************** *.onion/чат/

Наш блог:

(также через ТОР)

hxxx://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion

ВЫ ДОЛЖНЫ ЗНАТЬ!

Мы будем говорить только с уполномоченным лицом. Это может быть генеральный директор, высшее руководство и др.

Если вы не такой человек - НЕ СВЯЗЫВАЙТЕСЬ С НАМИ! Ваши решения и действия могут нанести серьезный вред вашей компании!

Сообщите начальству и сохраняйте спокойствие!

Из записки о выкупе видно, что вымогатели Monti управляют двумя разными сайтами в сети Tor: один для размещения данных, украденных у жертв, и другой для переговоров о выкупе. На момент написания статьи сайт переговоров о выкупе был недоступен. На сайте для размещения украденных данных есть "стена позора", которую оператор Monti скопировал у других вымогателей, таких как Ragnar Locker. В настоящее время на сайте утечки нет списка жертв, но есть провокационное сообщение, которое может указывать на то, что многие жертвы программы-вымогателя Monti успешно сотрудничали и заплатили выкуп, за исключением одной жертвы в Аргентине.

Скриншоты сайта вымогателей

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы, текстовые файлы, PDF-файлы, базы данных, файлы журналов, фотографии и пр.

Файлы, связанные с этим Ransomware:
readme.txt или README.txt - название файла с требованием выкупа;

result.txt - текстовый файл показывает, сколько файлов было зашифровано;
monti.elf - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion

Tor-URL: hxxx://monti***.onion/chat/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Fortinet
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CryWiper

CryWiper Ransomware

BrowserUpdate Ransomware

(фейк-шифровальщик, вымогатель, стиратель, деструктор) 
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. На самом деле файлы умышленно повреждаются без возможности восстановления. Оригинальное название: в записке не указано. На файле написано: browserupdate.exe. Написан на языке C++ и собран с помощью набора инструментов MinGW-w64 и компилятора GCC. Для Windows x64. Первоисточник информации: Лаборатория Касперского. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> Trojan-Ransom.Win64.CryWiper.a
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ✂ Xorist + другие >> CryWiper

Сайт "ID Ransomware" CryWiper пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце ноября - начале декабря 2022 г. Атаки ориентированы на российские мэрии и суды. Вероятно распространяется из Украины политически мотивированными хакерами и преступниками. 

К фейк-зашифрованным (фактически испорченным) файлам добавляется расширение: .CRY

Для уничтожения пользовательских файлов CryWiper генерирует последовательность данных при помощи известного генератора псевдослучайных чисел "Вихрь Мерсенна" и записывает эти данные вместо оригинального содержимого файла.

То есть сами файлы не шифруются, а стираются. Расширение добавляется для того, чтобы излишне доверчивые и наивные пострадавшие заплатили выкуп, но не получили назад свои файлы. Уплата выкупа бесполезна! 

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

All your important files were encrypted on this computer.

You can verify this by click on see files an try open them.

Encrtyption was produced using unique KEY generated for this computer.

To decrypted files, you need to otbtain private key.

The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;

The server will destroy the key within 24 hours after encryption completed.

Payment have to be made in maxim 24 hours

To retrieve the private key, you need to pay 0.5 BITCOINS

Bitcoins have to be sent to this address: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd

After you've sent the payment send us an email to : fast_decrypt_and_protect@tutanota.com with subject : ERROR-ID-63100778(0.5BITC0INS)

If you are not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

After we confirm the payment , we send the private key so you can decrypt your system.

Перевод записки на русский язык:

Все ваши важные файлы были зашифрованы на этом компьютере.

Вы можете убедиться, нажав просмотр файлов и попытаться их открыть.

Шифрование выполнено с уникальным КЛЮЧОМ, сгенерированным для этого компьютера.

Для расшифровки файлов вам надо получить закрытый ключ.

Единственная копия закрытого ключа, которая позволит расшифровать файлы, есть на секретном сервере в Интернете;

Сервер уничтожит ключ в течение 24 часов после завершения шифрования.

Оплата должна быть произведена в течение максимум 24 часов

Чтобы получить закрытый ключ, вам надо заплатить 0,5 BITCOINS

Биткоины должны быть отправлены на этот адрес: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd

После отправки платежа отправьте нам электронное письмо по адресу: fast_decrypt_and_protect@tutanota.com с темой: ERROR-ID-63100778(0.5BITC0INS)

Если вы не знакомы с биткоинами, вы можете купить их здесь:

САЙТ: www.localbitcoin.com

После подтверждения платежа мы отправляем закрытый ключ, чтобы вы могли расшифровать свою систему.

Для справки: 
Email-адрес fast_decrypt_and_protect@tutanota.com известен их предыдущих вымогательских кампаниях 2017-2018 года по распространению Xorist Ransomware и замечен в некоторых других малоизвестных проектах. Строка ERROR-ID-63100778 также похожа на те, что использовались в Xorist Ransomware. 

Можно сравнить текст с одной из предыдущих записок, см. скриншот ниже. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Вредоносные функции: 

- с помощью планировщика заданий создает задачу запуска вайпера каждые 5 минут;

- передает имя компьютера в командный центр и ждет команду на начало новой атаки;

- останавливает процессы серверов баз данных MySQL, MS SQL, MS Exchange, MS Active Directory;

- удаляет теневые копии файлов, но только на диске "C:";

- запрещает подключение к системе по протоколу RDP.

Список типов файлов, подвергающихся шифрованию:
Это базы данных, архивы и документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр.

Пропускаемые типы файлов: 

.exe, .dll, .lnk, .sys, .msi, .CRY

Пропускаемые директории: 

C:\Windows, Boot, tmp, winnt, temp, thumb, System Volume Information, Trend Micro

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
browserupdate.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\System32\browserupdate.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fast_decrypt_and_protect@tutanota.com
BTC: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd

Сервер URL: hxxx://82.221.141.8/IYJHNkmy3XNZ

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 14808919a8c40ccada6fb056b7fd7373

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Лаборатория Касперского
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.