BTC-azadi

BTC-azadi Ransomware

BTC-azadi NextGen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью комбинации алгоритмов (возможно: Curve25519, Salsa20, ChaCha20), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Crypter.exe. 
---
Обнаружений в январе 2023:
не было
---

Обнаружения в марте 2023:

DrWeb -> Trojan.Encoder.37369
BitDefender -> Gen:Variant.Fragtor.201207
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic, Trojan-Ransom.Win32.Azadi
Malwarebytes -> Ransom.FileCryptor / Generic.Ransom.FileCryptor.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (TFE:5:mf7HVilERiG)
Tencent -> Malware.Win32.Gencirc.10be3b2e
TrendMicro -> Ransom.Win32.BTCAZADI.SMTH


© Генеалогия: более ранние варианты >> Proxima >> BTC-azadi, BTC-azadi NG, Cylance > более поздние (похожие) варианты

Этимология названия: 

Вымогатели не сообщили названия своей программы. В таком случае мы может использовать слова из расширения и логина почты: BTC + azadi.

В переводе с персидского (фарси) и некоторых других родственных ему языков, azadi (آزادی) означает "свобода" (на англ. freedom). Хорошее слово, но оно используется в вымогательских целях, потому: BTC-azadi. На момент написания статьи мы не знаем, какое значение вымогатели вложили в это слово, когда создавали логин для почты, возможно это просто ник или чья-то фамилия. 

Сайт "ID Ransomware" это пока не идентифицирует. 

Вернее, идентифицирует неправильно, опираясь на расширение .BTC, которые использовалось в разных вымогательских атаках. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2023 г. Затем продолжилось в новых вариантах (см. после основной статьи).  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .BTC

Фактически используется составное расширение по шаблону: .EMAIL=[azadi33@smime.ninja]ID=[<random{16}>].BTC

В секции random{16} используется набор из 16 цифр и букв в верхнем регистре, например таких: 23868595F549B276

Записка с требованием выкупа называется: How To Restore Files.txt

Содержание записки о выкупе:

ATTENTION!

At the moment, your system is not protected.

We can fix itand restore files.

To get started, send a file to decrypt trial.

You can trust us after opening the test file.

To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me

Your Decryption ID: 23868595F54*****

Перевод записки на русский язык:

ВНИМАНИЕ!

На данный момент ваша система не защищена.

Мы можем это исправить и восстановить файлы.

Сначала пошлите файл на пробную расшифровку.

Вы можете доверять нам после открытия тест-файла.

Для восстановления системы пишите на оба адреса: azadi33@smime.ninja и azadi33@keemail.me

Ваш ID расшифровки: 23868595F549B397

В некоторых сообщениях в разных вариантах, которые присылали пострадавшие, есть ошибки (опечатки или обманки). Нет возможности показать даже некоторые из них. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Restore Files.txt - название файла с требованием выкупа;

Crypter.exe - название вредоносного файла;

RUN.dll - еще один вредоносный файл; 

<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\RUN.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: azadi33@smime.ninja, azadi33@keemail.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023

BTC-azadi Ransomware - январь 2023

Cylance Ransomware - март 2023

BTC-azadi NextGen Ransomware - с марта 2023

.Merlin Ransomware - март-май 2023

.FAST Ransomware - апрель-май 2023

.resq100, .havoc - июнь-июль 2023

.alvaro, .harward - июль-сентябрь 2023

BlackShadow Ransomware - май-июль 2023

BlackBerserk (BlackRecover) - с июля 2023

другие варианты - август-ноябрь 2023

Lambda (LambdaCrypter) Ransomware - октябрь 2023

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 8 марта 2023:

Дата создания файла: 4 марта 2023. 

Короткое расширение: .BTC

Составное расширение (пример): .EMAIL=[antistrees2000@keemail.me]ID=[6A3C5245BE2098C3].BTC

Записка: #FILE ENCRYPTED.txt

Email: antistrees2000@keemail.me, jackdecrypt@smime.ninja

---

На компьютере пострадавшего были замечены расширения разной длины:

.EMAIL=antis.BTC

.EMAIL=antistrees2000@keemail.BTC

.EMAIL=antistrees2000@keemail_meID=.BTC

.EMAIL=antistrees2000@keemail_meID=6A3C5245BE2098C3.BTC

Но в анализе все расширения оказались одинаковыми:

.EMAIL=[antistrees2000@keemail.me]ID=[6A3C5245BE2098C3].BTC

---

Результаты анализа: VT, TG, IA

Обнаружения: 

DrWeb -> Trojan.Encoder.37369

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Generic.Ransom.FileCryptor.DDS

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

TrendMicro -> Ransom.Win32.BTCAZADI.SMTH

Обновление от 24 мая 2023:

Дата создания файла: 17 апреля 2023. 

Сообщение: twitter.com/pcrisk/status/1661618927758131201

Расширение: .FAST

Составное расширение (пример): .EMAIL=[fastdec@tutanota.com]ID=[A883F5AA2ED1B435].FAST

Записка: #FILEENCRYPTED.txt

Email: fastdec@tutanota.com, azadi3@outlookpro.net

Результаты анализа: VT, TG, IA

Обнаружения: 

DrWeb -> Trojan.Encoder.37369

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Generic.Ransom.FileCryptor.DDS

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

TrendMicro -> Ransom.Win32.BTCAZADI.THEBEBC

---

Родственные варианты, назовем их BTC-azadi NextGen Ransomware: 

Вариант от 10 марта 2023, активный в марте-мае 2023:

Расширение: .Merlin

Записка: Merlin_Recover.txt

Email: Merlin@outlookpro.net, Merlin@cyberfear.com, Merlin@onionmail.org

Файл: windows.exe

IOC: VT, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37363

BitDefender -> Generic.Ransom.Spora.1F35E5E6

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Malware.AI.367607394

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

Rising -> Trojan.Generic@AI.98 (RDML:AP***

Tencent -> Malware.Win32.Gencirc.10be6c93

TrendMicro -> Ransom.Win32.REMNIL.THBAFBC

Вариант от 2 мая 2023:

Сообщение >>

Сообщение >>

Расширение: .Antoni

Запсика: Antoni_Recovery.txt

Email: Antonia@onionmail.org, Antoni@cyberfear.com

IOC: VT: 12C209E50949C1FB740CA751754F7871

Вариант от 24 июня 2023, активный в июне-июле 2023:

Расширение: .resq100

Записка: resq_Recovery.txt

Email: resq100@onionmail.org, resq100@cyberfear.com

Файл: Crypter.exe

IOC: VT, TG

➤ Обнаружения: 

DrWeb -> Trojan.FSWiper.1

BitDefender -> Generic.Ransom.Spora.614094CA

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Trojan.FSWiper

Microsoft -> Ransom:Win32/Resq.PAF!MTB

Rising -> Trojan.Generic@AI.98 (RDML:k***

Tencent -> Malware.Win32.Gencirc.10bf0148

TrendMicro -> TROJ_GEN.R002C0PG123

Вариант от 22 июня, активный в июне-июле 2023:

Расширение: .havoc

Полное расширение: .EMAIL=[aesdecrypt@gmail.com ]ID=[6D150A0B7E53F99E].havoc

Записка: FILES ENCRYPTED.txt

Email: aesdecrypt@gmail.com, bnbrans@outlook.com

Файл: Crypter.exe

IOC: VT, TG, AR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37369

BitDefender -> Gen:Variant.Ransom.Adhubllka.84

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Generic.Ransom.FileCryptor.DDS

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

Rising -> Ransom.Agent!8.6B7 (TFE:5:m***

Tencent -> Malware.Win32.Gencirc.10beffc0

TrendMicro -> Ransom.Win32.BTCAZADI.SMTHYXDIQ

Вариант от 19 июля 2023, активный в июле-сентябре 2023:

Сообщение >>

Расширение: .alvaro

Полное расширение: .EMAIL=[alvarodecrypt@gmail.com]ID=[6D1A0B507E3F959E].alvaro

Записка: FILE ENCRYPTED.txt

Email: alvarodecrypt@gmail.com, alvarodecrypt@outlook.com

Файл: hardware.exe или другой

IOC: VT

Вариант от 23 июля 2023, активный в июле-сентябре 2023:

Расширение: .harward

Полное расширение: .EMAIL[alvarodecrypt@gmail.com]ID=[908D28930971C614].harward

Записка: FILE ENCRYPTED.txt

Доп. файл: file encrypted.txt

Email-1: alvarodecrypt@gmail.com, alvarodecrypt@outlook.com, 

Email-2: antistrees2000@keemail.me, jackdecrypt@smime.ninja

Файл: Crypter.exe

IOC: VT, TG

Вариант от 20 августа 2023, активный в августе-сентябре 2023:

Расширение: .rival

Полное расширение: .EMAIL=[recoveryanti@gmail.com]ID=[A7BF40638C0B7184].rival

Записка: FILE ENCRYPTED.txt

Email: recoveryanti@gmail.com, ransupport@onionmail.org

Файл: Crypter.exe

IOC: VT, TG

➤ Обнаружения: 

BitDefender -> Gen:Variant.Zusy.495910

DrWeb -> Trojan.Siggen21.12718

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

QuickHeal -> Ransom.Cylance.S30114602

TrendMicro -> Ransom.Win32.BTCAZADI.THIODBC

Вариант от 29 августа 2023, активный в августе-сентябре 2023:

Расширение: .elibe

Полное расширение: .EMAIL=[recoveryfile7@gmail.com]ID=[1730E6121CD87855].elibe

FILES ENCRYPTED.txt

Email: recoveryfile7@gmail.com, Eliberansmoware@outlook.com

IOC: VT, TG

➤ Обнаружения: 

DrWeb -> Trojan.Siggen21.12718

BitDefender -> Gen:Variant.Zusy.495910

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB

QuickHeal -> Ransom.Cylance.S30114602

TrendMicro -> Ransom.Win32.BTCAZADI.THIAHBC

Вариант от 22 сентября, активный в сентябре-октябре 2023: 

Расширение: .ELCTRONIC

Полное расширение: .EMAIL=[electronicrans@gmail.com]ID=[142B4BFB2B4FD9BD].ELCTRONIC

Записка: README ELECTRONIC.txt

Email: electronicrans@gmail.com, electronicrans@outlook.com

Telegram: @mgam161

IOC: VT, TG

➤ Обнаружения: 

DrWeb -> Trojan.Siggen21.32930

BitDefender -> Gen:Variant.Fugrafa.295066

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Malwarebytes -> Malware.AI.3983766851

Microsoft -> Trojan:Win32/FileCoder.ARA!MTB

QuickHeal -> Ransom.Cylance.S30114602

TrendMicro -> Ransom.Win32.BTCAZADI.THIBHBC

Вариант от 8 декабря, активный в декабре 2023: 

Расширение: .ELECTRONIC

Полное расширение: .EMAIL=[electronicrans@gmail.com]ID=[26A19091FD46D6A5].ELECTRONIC

Записка: README ELECTRONIC.txt

Email: electronicrans@gmail.com, electronicrans@outlook.com

=== 2024 ===

*** Пропущенные варианты ***

Вариант от 6 ноября 2024: 

Самоназвание: Kasper Ransomware

Расширение: .kasper

Записка: README kasper.txt

Email: kasperskyrans@outlook.com, kasperskyrans@gmail.com

Telegram: @kasperrecovery

IOC: VT, IA

https://www.virustotal.com/gui/file/9256108aa898b9cfc4d177e8594c3881ebe1aab13091e879614a547ae9b00bb0/detection

MD5: e26b78957c1360ed4f023579eb01fa21 

SHA-1: 6ebaae04d60475980012f8442e9a29949ec7334c 

SHA-256: 9256108aa898b9cfc4d177e8594c3881ebe1aab13091e879614a547ae9b00bb0 

Vhash: 015056655d15556078z65hz3031z3fz 

Imphash: 5faa97909af8129b66dff3dd95bb8fb1

Обнаружения: 

DrWeb -> Trojan.Encoder.41226

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Microsoft -> Trojan:Win32/Filecoder.ARA!MTB

Вариант от 14 ноября 2024: 

Самоназвание: Biobio Ransomware, как новый вариант Kasper Ransomware

Расширение: .biobio

Полное расширение: .EMAIL=[biobiorans@gmail.com]ID=[CC3B1F89FAA517E4].biobio

Записка: biobio ransmoware.txt

Email: biobiorans@keemail.me, biobiorans@gmail.com

Telegram: @biobiorans

IOC: VT, IA

MD5: 4aed4c0e78d355e497f2cc509ff078b5 

SHA-1: 31a2ccfd5a679d2badc5fb66f243d4887d9ca444 

SHA-256: ed4e298040946a3be24dcde8303216644c2d2b78444bb1c9bfc7d17c748aeaa5 

Vhash: 015056655d15556078z65hz3031z3fz 

Imphash: 5faa97909af8129b66dff3dd95bb8fb1

Обнаружения:

DrWeb -> Trojan.Encoder.41226

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Microsoft -> Trojan:Win32/Filecoder.ARA!MTB

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support, Topic of Support
 ***

 Thanks: 
 Sandor, rivitna
 Andrew Ivanov (article author)
 quietman7, zzirngzzvn, pcrisk
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.