Proxima

Proxima Ransomware

Variants: Mikel

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы заплатить выкуп и получить программу расшифровки и подробную инструкцию по использованию и расшифровке файлов. Оригинальное название: Proxima Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: раннее родство выясняется >> Proxima >> BTC-azadi, BTC-azadi NG, Cylance, BlackShadow, BlackRecover

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале-середине января 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Proxima


Записка с требованием выкупа называется: Proxima_Readme.txt

Содержание записки о выкупе:

[~] Proxima Ransomware

>>> What's happened?

ALL YOUR FILES ARE STOLEN AND ENCRYPTED.

To recovery your data and not to allow data leakage, it is possible only through purchase of a private key from us.

>>> What guarantees?

Before paying you can send us a small-sized file (a non-important file), and we will decrypt it for free as guarantee.

>> How will the decryption process proceed after payment?

After payment, we will send you our decryption program + detailed instructions for use. With this program, you will be able to decrypt all your files.

If some files has encrypted but not renamed; these files will be restored after the decryption procedure is completed.

>>> CONTACT US:

Please write an email to: mikel@onionmail.com and mikel@cyberfear.com

Write this ID in the title of your message: XXXXXXXXXXXXXXXX

>>> ATTENTION!

Do not rename or modify encrypted files.

Do not try to decrypt using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price(they add their fee to our).

We use hybrid encryption, no one can restore your files except us.

remember to hurry up, as your email address may not be available for very long.

All your stolen data will be loaded into cybercriminal forums/blogs if you do not pay ransom.

Перевод записки на русский язык:

[~] Proxima Ransomware

>>> Что случилось?

ВСЕ ВАШИ ФАЙЛЫ Украдены и зашифрованы.

Восстановить ваши данные и не допустить утечки данных можно только купив у нас закрытый ключ.

>>> Какие гарантии?

Перед оплатой вы можете отправить нам файл небольшого размера (неважный файл), и мы бесплатно его расшифруем в качестве гарантии.

>> Каким будет процесс расшифровки после оплаты?

После оплаты мы вышлем вам нашу программу расшифровки + подробную инструкцию по использованию. С помощью этой программы вы сможете расшифровать все свои файлы.

Если некоторые файлы зашифрованы, но не переименованы; эти файлы будут восстановлены после завершения процедуры расшифровки.

>>> НАПИШИТЕ НАМ:

Напишите письмо на адрес: mikel@onionmail.com и mikel@cyberfear.com

Напишите этот ID в заголовке вашего сообщения: XXXXXXXXXXXXXXXX

>>> ВНИМАНИЕ!

Не переименовывайте и не изменяйте зашифрованные файлы.

Не пытайтесь расшифровывать с помощью сторонних программ, это может привести к необратимой потере данных.

Расшифровка ваших файлов с помощью третьих лиц может увеличить цену (они добавляют свою комиссию к нашей).

Мы используем гибридное шифрование, никто кроме нас не сможет восстановить ваши файлы.

не забудьте поторопиться, так как ваш email-адрес может быть недоступен очень долго.

Все ваши украденные данные будут загружены на форумы/блоги киберпреступников, если вы не заплатите выкуп.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Использует утилиту ngrok.exe, которая позволяет открыть доступ к внутренним ресурсам компьютера, на котором она запущена, из внешней сети, путем создания публичного адреса, все запросы на который будут переброшены на локальный адрес и заданный порт. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Proxima_Readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mikel@onionmail.com, mikel@cyberfear.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023

BTC-azadi Ransomware - январь 2023

Cylance Ransomware - март 2023

BTC-azadi NextGen Ransomware - с марта 2023

BlackShadow Ransomware - май-июль 2023

BlackBerserk (BlackRecover) - с июля 2023

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 30 января или раньше: 

Сообщение на форуме >>

Моё сообщение >>

Расширение: .Mikel

Записка: Mikel_Help.txt

Email: Mikel@cyberfear.com, Mikel@onionmail.com

➤ Содержание записки: 

Your data have been Stolen, encrypted and inaccessible 

Your critical information has been downloaded, including databases, financial/developmental, accounting, and strategic documents.

The file structure has been changed to unreadable format, but you can recover them all with our tool.

If payment is not made and if we don t hear anything from you for a while, your data will be leaked on TOR darknet and your competitors can have access to your data, we will also attack your company over and over again in the future.

If you want to decrypt all of your data and return your systems to operative state, you require a decryption tool, we are the only ones who own it, and also, if you want your stolen data will be wiped out from our website, you better contact us at the following email addresses:

You can write us to our mailbox:

Mikel@cyberfear.com

Mikel@onionmail.com

write this in the email title:

ID:   A2166DFC847*****

* Make sure to include the ID in the email subject line, otherwise we wont answer your emails.

++++ What assurance is provided that we will not deceive you?

It's just a business and we don't pursue any political objectives. We absolutely do not care about you and your data, except getting benefits,  money and our reputation are the only things that matters to us.  if we do not do our work and liabilities, nobody will cooperate with us which is not in our interests.

Prior to the payment, and to check the ability to return files, you can send us 3 files (under 5MB) of any format that do not include sensitive information. We will decrypt them and send them back to you. That is our guarantee.

++ Important

If you want the decryption procedure to be effective, DO NOT delete or modify the encrypted files, it will cause issues with the decryption process.

++ Beware 

Any organization or individual who asserts they can decrypt your data without paying us should be avoided. They just deceive you and charge you much more money as a consequence; they all contact us and buy the decryption tool from us.

If you do not cooperate with us, it does not matter to us, But you  have to accept its consequences: 

*Your data will be leaked for free on TOR darknet and your competitors can have access to your data.

*We know exactly what vulnerabilities exist in your network and will inform google about them.

*We are experts in Negative SEO. We will do irreparable harm to your website. 

The money we asked for is nothing compare to all of these damages to your business, so we recommend you to pay the price and secure your business, simple.

If you pay, we will give you tips for your security, so it can t be hacked in the future.

besides, you will lose your time and data cause we are the only ones that have the private key. In practice, time is much more valuable than money.

Вариант от 12 февраля 2023 или раньше: 

Расширение: .Proxima

Записка: PROXIMA_README.txt

Email: jason@onionmail.org, jason@cyberfear.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 Topic of Support

 Thanks: 
 Sandor, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.