BTC-azadi

BTC-azadi Ransomware

BTC-azadi NextGen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью комбинации алгоритмов (возможно: Curve25519, Salsa20, ChaCha20), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Crypter.exe. 
---
Обнаружений в январе 2023:
не было
---

Обнаружения в марте 2023:

DrWeb -> Trojan.Encoder.37369
BitDefender -> Gen:Variant.Fragtor.201207
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic, Trojan-Ransom.Win32.Azadi
Malwarebytes -> Ransom.FileCryptor / Generic.Ransom.FileCryptor.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (TFE:5:mf7HVilERiG)
Tencent -> Malware.Win32.Gencirc.10be3b2e
TrendMicro -> Ransom.Win32.BTCAZADI.SMTH


© Генеалогия: более ранние варианты >> Proxima >> BTC-azadi, BTC-azadi NG, Cylance > более поздние (похожие) варианты

Этимология названия: 

Вымогатели не сообщили названия своей программы. В таком случае мы может использовать слова из расширения и логина почты: BTC + azadi.

В переводе с персидского (фарси) и некоторых других родственных ему языков, azadi (آزادی) означает "свобода" (на англ. freedom). Хорошее слово, но оно используется в вымогательских целях, потому: BTC-azadi. На момент написания статьи мы не знаем, какое значение вымогатели вложили в это слово, когда создавали логин для почты, возможно это просто ник или чья-то фамилия. 

Сайт "ID Ransomware" это пока не идентифицирует. 

Вернее, идентифицирует неправильно, опираясь на расширение .BTC, которые использовалось в разных вымогательских атаках. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2023 г. Затем продолжилось в новых вариантах (см. после основной статьи).  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .BTC

Фактически используется составное расширение по шаблону: .EMAIL=[azadi33@smime.ninja]ID=[<random{16}>].BTC

В секции random{16} используется набор из 16 цифр и букв в верхнем регистре, например таких: 23868595F549B276

Записка с требованием выкупа называется: How To Restore Files.txt

Содержание записки о выкупе:

ATTENTION!

At the moment, your system is not protected.

We can fix itand restore files.

To get started, send a file to decrypt trial.

You can trust us after opening the test file.

To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me

Your Decryption ID: 23868595F54*****

Перевод записки на русский язык:

ВНИМАНИЕ!

На данный момент ваша система не защищена.

Мы можем это исправить и восстановить файлы.

Сначала пошлите файл на пробную расшифровку.

Вы можете доверять нам после открытия тест-файла.

Для восстановления системы пишите на оба адреса: azadi33@smime.ninja и azadi33@keemail.me

Ваш ID расшифровки: 23868595F549B397

В некоторых сообщениях в разных вариантах, которые присылали пострадавшие, есть ошибки (опечатки или обманки). Нет возможности показать даже некоторые из них. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Restore Files.txt - название файла с требованием выкупа;

Crypter.exe - название вредоносного файла;

RUN.dll - еще один вредоносный файл; 

<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\RUN.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: azadi33@smime.ninja, azadi33@keemail.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023

BTC-azadi Ransomware - январь 2023

Cylance Ransomware - март 2023

BTC-azadi NextGen Ransomware - с марта 2023

.Merlin Ransomware - март-май 2023

.FAST Ransomware - апрель-май 2023

.resq100, .havoc - июнь-июль 2023

.alvaro, .harward - июль-сентябрь 2023

BlackShadow Ransomware - май-июль 2023

BlackBerserk (BlackRecover) - с июля 2023

другие варианты - август-ноябрь 2023

Lambda (LambdaCrypter) Ransomware - октябрь 2023

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 8 марта 2023:

Дата создания файла: 4 марта 2023. 

Короткое расширение: .BTC

Составное расширение (пример): .EMAIL=[antistrees2000@keemail.me]ID=[6A3C5245BE2098C3].BTC

Записка: #FILE ENCRYPTED.txt

Email: antistrees2000@keemail.me, jackdecrypt@smime.ninja

---

На компьютере пострадавшего были замечены расширения разной длины:

.EMAIL=antis.BTC

.EMAIL=antistrees2000@keemail.BTC

.EMAIL=antistrees2000@keemail_meID=.BTC

.EMAIL=antistrees2000@keemail_meID=6A3C5245BE2098C3.BTC

Но в анализе все расширения оказались одинаковыми:

.EMAIL=[antistrees2000@keemail.me]ID=[6A3C5245BE2098C3].BTC

---

Результаты анализа: VT, TG, IA

Обнаружения: 

DrWeb -> Trojan.Encoder.37369

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Generic.Ransom.FileCryptor.DDS

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

TrendMicro -> Ransom.Win32.BTCAZADI.SMTH

Обновление от 24 мая 2023:

Дата создания файла: 17 апреля 2023. 

Сообщение: twitter.com/pcrisk/status/1661618927758131201

Расширение: .FAST

Составное расширение (пример): .EMAIL=[fastdec@tutanota.com]ID=[A883F5AA2ED1B435].FAST

Записка: #FILEENCRYPTED.txt

Email: fastdec@tutanota.com, azadi3@outlookpro.net

Результаты анализа: VT, TG, IA

Обнаружения: 

DrWeb -> Trojan.Encoder.37369

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Generic.Ransom.FileCryptor.DDS

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

TrendMicro -> Ransom.Win32.BTCAZADI.THEBEBC

---

Родственные варианты, назовем их BTC-azadi NextGen Ransomware: 

Вариант от 10 марта 2023, активный в марте-мае 2023:

Расширение: .Merlin

Записка: Merlin_Recover.txt

Email: Merlin@outlookpro.net, Merlin@cyberfear.com, Merlin@onionmail.org

Файл: windows.exe

IOC: VT, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37363

BitDefender -> Generic.Ransom.Spora.1F35E5E6

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Malware.AI.367607394

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

Rising -> Trojan.Generic@AI.98 (RDML:AP***

Tencent -> Malware.Win32.Gencirc.10be6c93

TrendMicro -> Ransom.Win32.REMNIL.THBAFBC

Вариант от 2 мая 2023:

Сообщение >>

Сообщение >>

Расширение: .Antoni

Запсика: Antoni_Recovery.txt

Email: Antonia@onionmail.org, Antoni@cyberfear.com

IOC: VT: 12C209E50949C1FB740CA751754F7871

Вариант от 24 июня 2023, активный в июне-июле 2023:

Расширение: .resq100

Записка: resq_Recovery.txt

Email: resq100@onionmail.org, resq100@cyberfear.com

Файл: Crypter.exe

IOC: VT, TG

➤ Обнаружения: 

DrWeb -> Trojan.FSWiper.1

BitDefender -> Generic.Ransom.Spora.614094CA

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Trojan.FSWiper

Microsoft -> Ransom:Win32/Resq.PAF!MTB

Rising -> Trojan.Generic@AI.98 (RDML:k***

Tencent -> Malware.Win32.Gencirc.10bf0148

TrendMicro -> TROJ_GEN.R002C0PG123

Вариант от 22 июня, активный в июне-июле 2023:

Расширение: .havoc

Полное расширение: .EMAIL=[aesdecrypt@gmail.com ]ID=[6D150A0B7E53F99E].havoc

Записка: FILES ENCRYPTED.txt

Email: aesdecrypt@gmail.com, bnbrans@outlook.com

Файл: Crypter.exe

IOC: VT, TG, AR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37369

BitDefender -> Gen:Variant.Ransom.Adhubllka.84

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Generic.Ransom.FileCryptor.DDS

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

Rising -> Ransom.Agent!8.6B7 (TFE:5:m***

Tencent -> Malware.Win32.Gencirc.10beffc0

TrendMicro -> Ransom.Win32.BTCAZADI.SMTHYXDIQ

Вариант от 19 июля 2023, активный в июле-сентябре 2023:

Сообщение >>

Расширение: .alvaro

Полное расширение: .EMAIL=[alvarodecrypt@gmail.com]ID=[6D1A0B507E3F959E].alvaro

Записка: FILE ENCRYPTED.txt

Email: alvarodecrypt@gmail.com, alvarodecrypt@outlook.com

Файл: hardware.exe или другой

IOC: VT

Вариант от 23 июля 2023, активный в июле-сентябре 2023:

Расширение: .harward

Полное расширение: .EMAIL[alvarodecrypt@gmail.com]ID=[908D28930971C614].harward

Записка: FILE ENCRYPTED.txt

Доп. файл: file encrypted.txt

Email-1: alvarodecrypt@gmail.com, alvarodecrypt@outlook.com, 

Email-2: antistrees2000@keemail.me, jackdecrypt@smime.ninja

Файл: Crypter.exe

IOC: VT, TG

Вариант от 20 августа 2023, активный в августе-сентябре 2023:

Расширение: .rival

Полное расширение: .EMAIL=[recoveryanti@gmail.com]ID=[A7BF40638C0B7184].rival

Записка: FILE ENCRYPTED.txt

Email: recoveryanti@gmail.com, ransupport@onionmail.org

Файл: Crypter.exe

IOC: VT, TG

➤ Обнаружения: 

BitDefender -> Gen:Variant.Zusy.495910

DrWeb -> Trojan.Siggen21.12718

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

QuickHeal -> Ransom.Cylance.S30114602

TrendMicro -> Ransom.Win32.BTCAZADI.THIODBC

Вариант от 29 августа 2023, активный в августе-сентябре 2023:

Расширение: .elibe

Полное расширение: .EMAIL=[recoveryfile7@gmail.com]ID=[1730E6121CD87855].elibe

FILES ENCRYPTED.txt

Email: recoveryfile7@gmail.com, Eliberansmoware@outlook.com

IOC: VT, TG

➤ Обнаружения: 

DrWeb -> Trojan.Siggen21.12718

BitDefender -> Gen:Variant.Zusy.495910

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

QuickHeal -> Ransom.Cylance.S30114602

TrendMicro -> Ransom.Win32.BTCAZADI.THIAHBC

Вариант от 22 сентября, активный в сентябре-октябре 2023: 

Расширение: .ELCTRONIC

Полное расширение: .EMAIL=[electronicrans@gmail.com]ID=[142B4BFB2B4FD9BD].ELCTRONIC

Записка: README ELECTRONIC.txt

Email: electronicrans@gmail.com, electronicrans@outlook.com

Telegram: @mgam161

IOC: VT, TG

➤ Обнаружения: 

DrWeb -> Trojan.Siggen21.32930

BitDefender -> Gen:Variant.Fugrafa.295066

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Malware.AI.3983766851

Microsoft -> Trojan:Win32/FileCoder.ARA!MTB

QuickHeal -> Ransom.Cylance.S30114602

TrendMicro -> Ransom.Win32.BTCAZADI.THIBHBC

Вариант от 8 декабря, активный в декабре 2023: 

Расширение: .ELECTRONIC

Полное расширение: .EMAIL=[electronicrans@gmail.com]ID=[26A19091FD46D6A5].ELECTRONIC

Записка: README ELECTRONIC.txt

Email: electronicrans@gmail.com, electronicrans@outlook.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support, Topic of Support
 ***

 Thanks: 
 Sandor, rivitna
 Andrew Ivanov (article author)
 quietman7, zzirngzzvn, pcrisk
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Proxima

Proxima Ransomware

Variants: Mikel

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы заплатить выкуп и получить программу расшифровки и подробную инструкцию по использованию и расшифровке файлов. Оригинальное название: Proxima Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: раннее родство выясняется >> Proxima >> BTC-azadi, BTC-azadi NG, Cylance, BlackShadow, BlackRecover

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале-середине января 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Proxima


Записка с требованием выкупа называется: Proxima_Readme.txt

Содержание записки о выкупе:

[~] Proxima Ransomware

>>> What's happened?

ALL YOUR FILES ARE STOLEN AND ENCRYPTED.

To recovery your data and not to allow data leakage, it is possible only through purchase of a private key from us.

>>> What guarantees?

Before paying you can send us a small-sized file (a non-important file), and we will decrypt it for free as guarantee.

>> How will the decryption process proceed after payment?

After payment, we will send you our decryption program + detailed instructions for use. With this program, you will be able to decrypt all your files.

If some files has encrypted but not renamed; these files will be restored after the decryption procedure is completed.

>>> CONTACT US:

Please write an email to: mikel@onionmail.com and mikel@cyberfear.com

Write this ID in the title of your message: XXXXXXXXXXXXXXXX

>>> ATTENTION!

Do not rename or modify encrypted files.

Do not try to decrypt using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price(they add their fee to our).

We use hybrid encryption, no one can restore your files except us.

remember to hurry up, as your email address may not be available for very long.

All your stolen data will be loaded into cybercriminal forums/blogs if you do not pay ransom.

Перевод записки на русский язык:

[~] Proxima Ransomware

>>> Что случилось?

ВСЕ ВАШИ ФАЙЛЫ Украдены и зашифрованы.

Восстановить ваши данные и не допустить утечки данных можно только купив у нас закрытый ключ.

>>> Какие гарантии?

Перед оплатой вы можете отправить нам файл небольшого размера (неважный файл), и мы бесплатно его расшифруем в качестве гарантии.

>> Каким будет процесс расшифровки после оплаты?

После оплаты мы вышлем вам нашу программу расшифровки + подробную инструкцию по использованию. С помощью этой программы вы сможете расшифровать все свои файлы.

Если некоторые файлы зашифрованы, но не переименованы; эти файлы будут восстановлены после завершения процедуры расшифровки.

>>> НАПИШИТЕ НАМ:

Напишите письмо на адрес: mikel@onionmail.com и mikel@cyberfear.com

Напишите этот ID в заголовке вашего сообщения: XXXXXXXXXXXXXXXX

>>> ВНИМАНИЕ!

Не переименовывайте и не изменяйте зашифрованные файлы.

Не пытайтесь расшифровывать с помощью сторонних программ, это может привести к необратимой потере данных.

Расшифровка ваших файлов с помощью третьих лиц может увеличить цену (они добавляют свою комиссию к нашей).

Мы используем гибридное шифрование, никто кроме нас не сможет восстановить ваши файлы.

не забудьте поторопиться, так как ваш email-адрес может быть недоступен очень долго.

Все ваши украденные данные будут загружены на форумы/блоги киберпреступников, если вы не заплатите выкуп.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Использует утилиту ngrok.exe, которая позволяет открыть доступ к внутренним ресурсам компьютера, на котором она запущена, из внешней сети, путем создания публичного адреса, все запросы на который будут переброшены на локальный адрес и заданный порт. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Proxima_Readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mikel@onionmail.com, mikel@cyberfear.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023

BTC-azadi Ransomware - январь 2023

Cylance Ransomware - март 2023

BTC-azadi NextGen Ransomware - с марта 2023

BlackShadow Ransomware - май-июль 2023

BlackBerserk (BlackRecover) - с июля 2023

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 30 января или раньше: 

Сообщение на форуме >>

Моё сообщение >>

Расширение: .Mikel

Записка: Mikel_Help.txt

Email: Mikel@cyberfear.com, Mikel@onionmail.com

➤ Содержание записки: 

Your data have been Stolen, encrypted and inaccessible 

Your critical information has been downloaded, including databases, financial/developmental, accounting, and strategic documents.

The file structure has been changed to unreadable format, but you can recover them all with our tool.

If payment is not made and if we don t hear anything from you for a while, your data will be leaked on TOR darknet and your competitors can have access to your data, we will also attack your company over and over again in the future.

If you want to decrypt all of your data and return your systems to operative state, you require a decryption tool, we are the only ones who own it, and also, if you want your stolen data will be wiped out from our website, you better contact us at the following email addresses:

You can write us to our mailbox:

Mikel@cyberfear.com

Mikel@onionmail.com

write this in the email title:

ID:   A2166DFC847*****

* Make sure to include the ID in the email subject line, otherwise we wont answer your emails.

++++ What assurance is provided that we will not deceive you?

It's just a business and we don't pursue any political objectives. We absolutely do not care about you and your data, except getting benefits,  money and our reputation are the only things that matters to us.  if we do not do our work and liabilities, nobody will cooperate with us which is not in our interests.

Prior to the payment, and to check the ability to return files, you can send us 3 files (under 5MB) of any format that do not include sensitive information. We will decrypt them and send them back to you. That is our guarantee.

++ Important

If you want the decryption procedure to be effective, DO NOT delete or modify the encrypted files, it will cause issues with the decryption process.

++ Beware 

Any organization or individual who asserts they can decrypt your data without paying us should be avoided. They just deceive you and charge you much more money as a consequence; they all contact us and buy the decryption tool from us.

If you do not cooperate with us, it does not matter to us, But you  have to accept its consequences: 

*Your data will be leaked for free on TOR darknet and your competitors can have access to your data.

*We know exactly what vulnerabilities exist in your network and will inform google about them.

*We are experts in Negative SEO. We will do irreparable harm to your website. 

The money we asked for is nothing compare to all of these damages to your business, so we recommend you to pay the price and secure your business, simple.

If you pay, we will give you tips for your security, so it can t be hacked in the future.

besides, you will lose your time and data cause we are the only ones that have the private key. In practice, time is much more valuable than money.

Вариант от 12 февраля 2023 или раньше: 

Расширение: .Proxima

Записка: PROXIMA_README.txt

Email: jason@onionmail.org, jason@cyberfear.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 Topic of Support

 Thanks: 
 Sandor, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

KeyGroup777

KeyGroup777 Ransomware

Key Group Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES в режиме CBC, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: KeyGroup777 Ransomware. На файле написано: reshacker_setup3.exe, svchost.exe или что-то другое. Кроме шифрования файлов программа-вымогатель отправляет личную информацию (PII) с атакованных устройств злоумышленникам. Используется и распространяется антироссийской группой: Key Wolf (Key Wolf Group). Разработчик: DarkZeus. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.24983
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Symantec - > Ransom.Sorry
Tencent -> Trojan-Ransom.Msil.Agent.ga
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14
---

© Генеалогия: Chaos (Chaos Ransomware Builder 4.0) + другой код >> KeyGroup777

Сайт "ID Ransomware" идентифицирует это как Chaos.  

Информация для идентификации

Активность этого варианта KeyGroup777 была замечена в начале января 2023 г. и продолжалась в течение года. Ориентирован на русскоязычных  пользователей, хотя записки написаны на русском и английском языках, но при расширении вектора атаки может начать распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .keygroup777tg
Или одно из похожих. 

Названия файлов кодируются с использованием Base64. 

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:

You became victim of the keygroup777 RANSOMWARE!

The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to

restore your data without a special key. You can purchase this key on the telegram page shown in step 2.

To purchase your key and restore your data, please follow these three easy steps:

register a bitcoin 300$ @keygroup777tg bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk .

2. register a bitcoin wallet :

https://bitcoin-wallet.org/ru/

https://bitcoin-wallet.org/ru/

3. Enter your personal decryption code there:

e5Pc4P8WjF35***

Перевод записки на русский язык:

Вы стали жертвой программы-вымогателя keygroup777!

Файлы на вашем компьютере зашифрованы с помощью алгоритма шифрования военного уровня. Нет никакого способа

восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице Telegram, указанной в шаге 2.

Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:

зарегистрируйте биткойн на 300$ @keygroup777tg bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk.

2. зарегистрируйте биткойн-кошелек:

https://bitcoin-wallet.org/ru/

https://bitcoin-wallet.org/ru/

3. Введите туда свой личный код расшифровки:

e5Pc4P8WjF35***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:

vssadmin delete shadows /all /quiet & wmic shadowcopy delet

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

bcdedit /set {default} recoveryenabled no

wbadmin delete catalog -quiet

➤ Ранние версии программы-вымогателя Key Group использовали крипто-строитель Chaos 4.0 для создания образца программы-вымогателя, нацеленного на российских жертв.  

➤ Программа-вымогатель использует статический ключ AES и вектор инициализации (IV) для рекурсивного шифрования данных жертвы и изменения имени зашифрованных файлов с расширением keygroup777tg. 

➤ Цели для шифрования: 

все диски, кроме диска C и следующие директории и поддиректории: 

%USERPROFILE%\\Desktop

%USERPROFILE%\\Links

%USERPROFILE%\\Contacts

%USERPROFILE%\\Desktop

%USERPROFILE%\\Documents

%USERPROFILE%\\Downloads

%USERPROFILE%\\Pictures

%USERPROFILE%\\Music

%USERPROFILE%\\OneDrive

%USERPROFILE%\\Saved Games

%USERPROFILE%\\Favourites

%USERPROFILE%\\Searches

%USERPROFILE%\\Videos

%APPDATA%

%PUBLIC%\\Documents

%PUBLIC%\\Pictures

%PUBLIC%\\Music

%PUBLIC%\\Videos

%PUBLIC%\\Desktop

➤ Key Group Ransomware может отключать обновления различных антивирусных программ, изменяя файл хостов внутри ОС Windows. На скриншоте ниже показаны целевые антивирусы и редирект на 77.88.55.60 – легитимные серверы Яндекс.RU. Кроме того, трафик перенаправляется на локальный хост, потому он будет удален, что фактически отключит обновления антивирусной защиты. 

➤ В более новых версиях вымогатели стали использовать NjRAT — инструмент удаленного администрирования (RAT). 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt - название файла с требованием выкупа;
reshacker_setup3.exe, svchost.exe, worm.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @keygroup777Tg

@keygroup777cyber

@keygroup777fatherbot

Email: keygroup777hackeruk@gmail.com
BTC: bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 604fd6351a04b871dc77b6c7ad24ff3c

SHA-1: 3ed571a894c8239ea506c9eb8e53bf9cb8a2f2f8

SHA-256: 1dc05f28533a88807c1dca013c1bffa9a7afd78da1426c1fc329861dab11e5f5

Vhash: 21503615151b00714f0034

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант KeyGroup777 от 30 августа 2022:

Основан на Xorist. Имеет нескольо однотипных вариантов с разными расширениями и контактами. 

Расширение: .keygroup, .keygroup777

Записка: HOW TO DECRYPT FILES.txt

BTC: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg

Email: elanor35runte35@myrambler.ru, kristiana.vinogradova.77@mail.ru

Telegram: @keygroup777, @keygroup777cyber, @keygroup777fatherbot, @keygroup777huis1, @keygroup777huis2

Файл: keygroup1.exe

IOC: VT, IA, TG

MD5: a7ed00a3b0f827a3dccc69d8908f5a22

SHA-1: 7a36afb00dc04927478303dc7df10c088d00da37

SHA-256: bf17f462722749cdbad455170d45b0b314311178207921a3ea9144b03eb31eb2

Vhash: 04403e0f7d101013z11z6hz1011z1fz

Imphash: a3581bfe28e762682dbc13d06bf2fda0

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.25389

BitDefender -> Trojan.Ransom.AIG

ESET-NOD32 -> Win32/Filecoder.Q

Kaspersky -> Trojan-Ransom.Win32.Xorist.ln

Malwarebytes -> Trojan.FileLock

Microsoft -> Ransom:Win32/Sorikrypt

Rising -> Ransom.Sorikrypt!8.8822 (TFE:5:H50DeYUdIVS)

Symantec -> Ransom.CryptoTorLocker

Tencent -> Trojan.Win32.CryptoTorLocker2015.a

TrendMicro -> Ransom_XORIST.SMA

Вариант от 22 марта 2023: 

Сообщение >>

Описание шифровальщика-деструктора из статьи на сайте BI.ZONE >> 

Используется и распространяется антироссийской группой: Key Wolf (Key Wolf Group). 

Записка содержит предложение перевести деньги на Bitcoin-кошелек. 

Содержание записки от злоумышленников:
We are the keygroup777 ransomware we decided to help Ukraine destroy Russian computers, you can help us and transfer money to a bitcoin wallet ***
---

Этот вариант отслеживает в буфере обмена адреса вводимых bitcoin-кошельков и подменяет их на адрес кошелька злоумышленников. 

---

Файлы: Информирование зарегистрированных.hta и Информирование зарегистрированных.exe

➤ Особенности шифрования файлов:

Файлы с размером меньше 2117152 байт шифруются с помощью AES256‑CBC. Ключ и IV генерируются с помощью функции Rfc2898DeriveBytes с неким паролем и солью [1, 2, 3, 4, 5, 6, 7, 8]. Пароль имеет размер 20 байт, имеет чарсет abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/ и генерируется с помощью стандартной функции Random(). После шифрования в файл записывается пароль в XML‑теге <EncryptedKey>, который зашифрован RSA1024‑OAEP и закодирован в Base64, после чего идет сам зашифрованный файл, закодированный в Base64.

Для файлов с размером ≥ 2117152 байт, но ≤ 200000000 байт размер файла делится на 4, и генерируется столько же случайных байт. Они помещаются в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстановимым.

Для файлов с размером ≥ 200 000 000 байт генерируется случайное число байтов в промежутке от 200000000 до 300000000 байт и помещается в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстановимым.

Вариант от 29 апреля 2023: 

Файл: fusk.exe

IOC: VT, IA: MD5: 7e1577b6e42d47b30ae597eee720d3b1

➤ Обнаружения: 

BitDefender -> IL:Trojan.MSILZilla.24983

DrWeb -> Trojan.Encoder.34437

ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A

Malwarebytes -> Generic.Malware.AI.DDS

Microsoft -> Ransom:MSIL/FileCoder.AD!MTB

Rising -> Ransom.Destructor!1.B060 (CLASSIC)

TrendMicro -> Ransom_FileCoder.R002C0CI123

Вариант от 24 июня 2023:

Файл: WARNEP.exe 

IOC: VT, IA: MD5: c2e1048e1e5130e36af297c73a83aff6

➤ Обнаружения: 

BitDefender -> IL:Trojan.MSILZilla.24983

DrWeb -> Trojan.Encoder.34437

ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A

Malwarebytes -> Generic.Malware.AI.DDS

Microsoft -> Ransom:MSIL/FileCoder.AD!MTB

Rising -> Ransom.Destructor!1.B060 (CLASSIC)

TrendMicro -> Ransom.MSIL.CHAOS.SMRA14

Новость от 3 августа 2023:

EclecticIQ создали инструмент расшифровки (скрипт) для версии Key Group Ransomware от 3 августа 2023 года. 

"Key Group использует статический ключ N0dQM0I1JCM= в кодировке Base64 для шифрования данных жертв. Злоумышленник пытался повысить случайность зашифрованных данных, используя криптографический метод, называемый «солением». Соль была статической и использовалась для каждого процесса шифрования, что представляло собой существенный недостаток в процедуре шифрования. Эти ошибки помогли аналитикам создать инструмент расшифровки для этой конкретной версии программы-вымогателя Key Group. "

Статья на сайте EclecticIQ >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 EclecticIQ, BleepingComputer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.