DcHelp

DcHelp Ransomware

DiskCryptorHelp Ransomware

MeshAgent Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компьютеров и серверов с помощью утилиты DiskCryptor, а затем требует написать на email или перейти на сайт вымогателей, чтобы там выбрать свой случай, ознакомиться с информацией в разделе "Вопрос-Ответ", приобрести пароль и получить доступ к своим файлам. Сумма выкупа различается: от $600 до $14999. Требуется оплата в Bitcoin (BTC), Ethereum (ETH), Tether (USDT - erc20). Оригинальное название: DcHelp. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие, использующие DiskCryptor >> DcHelp

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была с начала апреля 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: нет данных, т.к. шифрует диск, используя утилиту DiskCryptor или только повреждает таблицу разделов. 

Записка с требованием выкупа выводится перед жертвой на чёрном экране после включения и перезагрузки компьютера. Перезагрузка осуществляется сразу после шифрования для завершающего этапа. Обычный сброс и перезагрузка бесполезны. 

Содержание текста чёрном экране:

Enter pass 

SERVER LOCKED 

Contact by email: DCHELP@MAILFENCE.COM or purchase passwords at https://DCHELP.ORG

Enter pass: _

Перевод текста на русский язык:

Ввод пароля

СЕРВЕР БЛОКИРОВАН 

Контакт с нами по email: DCHELP@MAILFENCE.COM или купите пароли на https://DCHELP.ORG

Ввод пароля: _

Скриншоты с сайта вымогателей:

Содержание раздела по конкретной жертве:

FOND***

Пароль для серверов: WIN-***

Оплата возможна только Bitcoin (BTC), Ethereum (ETH), Tether (USDT - erc20) .

После покупки автоматически вам на email высылается текстовый документ со всеми паролями для ваших ПК и Серверов.

По всем вопросам смотрите раздел Вопрос-Ответ или заполните форму Обратной связи

---

Содержание раздела сайта "Вопрос-Ответ": 

+ Восстановление информации возможно?

Да. После приобретения паролей вы сразу получите к ней доступ в полном объеме на 100%. При наличии одного из паролей и имени PC в описании вашего товара, вы расшифруете один из ваших PC и убедитесь в полном восстановлении всей информации и работоспособности бесплатно перед приобретением всех паролей.

+ Это цена за один пароль или за все?

Указанная цена соответствует стоимости ВСЕХ паролей для восстановления ВСЕХ зашифрованных компьютеров и серверов.

+ Можно приобрести только один (два три и т.д) пароли?

Нет, приобрести отдельно один пароль от указанного вами PC - нельзя. Пароли можно приобрести только все одним пакетом

+ Что делать если сервер (компьютер) не запрашивает ввод пароля?

Необходимо подключить ваш шифрованный жесткий к другому компьютеру с установленной программой Diskcryptor, используя приобретенный пароль расшифровать жесткий диск, после дешифровки вернуть его назад, загрузка сервера пройдет в нормальном режиме.

+ Как приобрести крипто валюту для оплаты паролей?

Вы можете воспользоваться сервисом bestchange.com либо одной из бирж (например binance.com)

+ Другие вопросы?

По всем возникшим вопросам заполните форму обратной связи в разделе Обратная связь, Вам обязательно ответят.

---

Судя по скриншоту с кодом сайта, сайт использует определение страны по IP-адресу и может отображать текст на других языках, когда количество пострадавших будет больше одного. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Использует легитимную утилиту DiskCryptor для осуществления шифрования. Для выполнения вредоносного файла нужен взлом службы удаленных рабочих столов и ручной запуск файла на установку, или он вызывается на выполнение скриптом, который попадает на ПК жертвы обманным путем. В таком случае вредоносу нужно передать аргумент, который используется как пароль для DiskCryptor. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
dcrypt11.exe, dc-exe-p.Bat, dc-exe-inst - вредоносные файлы;
<random>.exe - случайное название вредоносного файла

Advanced_Port_Scanner_2.5.3869.exe - файл, используемый злоумышленниками для сканирования открытых портов. 

mesh.exe, Mesh-P.Bat - файлы от MeshAgent; 

PsExec.exe - легитимная утилита, используемая злоумышленниками;  

Hosts.txt - ещё один файл, используемый злоумышленниками. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dchelp@mailfence.com
URL: hxxxx://dchelp.org  - зарегистрирован в конце декабря 2022.  

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.


*

---

=== СПОСОБЫ ИСПРАВЛЕНИЯ === WAYS TO RECTIFY ===

1. Деинсталлируйте и откажитесь от использования MeshAgent. 

2. Получить пароль дешифрования стандартными способами затруднительно, во всяком случая без физического доступа к устройству и диску. 

Но можно воспользоваться способом из арсенала восстановления разделов и данных. Если у вас нет возможности приобрести Pro-версию, то воспользуйтесь бесплатной версией AOMEI Partition Assistant.

Там есть опция "Мастер восстановления раздела". 

У меня нет желания писать подробное руководство, там всё довольно понятно. В конце операции не забудьте про кнопку "Применить" в левом верхнем углу программы. 

Разумеется, восстанавливаемый диск должен быть подключен вторым в исправном компьютере. 

Я сам не раз восстанавливал повреждённые разделы с помощью этой или аналогичной программы. 

Если данные на диске, к которым у вас сейчас нет доступа, очень важны для вас, то можете начать с опции "Копирование раздела". 

Обратите внимание, вам придётся сохранять копируемый раздел на диск, поэтому заранее позаботьтесь о том, чтобы на жёстком диске было достаточно места для копирования. 

После этой операции вы сможете оперировать уже с этим скопированным разделом вместо физического. И снова не забудьте про кнопку "Применить" в левом верхнем углу программы. 

Попробуйте оба способа, если не поможет, пишите, попробуем что-то ещё. Я описал тот способ, который не займёт у вас много времени и сил. Но будьте осторожны, не щёлкайте всё подряд. 

P.S. Кстати, снова стала доступна Pro-версия по акции. Если обычная версия у вас уже установлена, то просто выберите в правом верхнем углу кнопку "три полоски" и введите код: AOPR-Z8PW8-8BJMW-S2650

P.P.S. Позже пострадавшие сообщили, что мой способ исправления уже не помогает, неудивительно, конечно же, шифрование уже изменили. Не теряйте надежды, пробуйте другой. Уплата выкупа стимулирует вымогателей на новые атаки. 

=== ДОПОЛНЕНИЯ ===

С помощью гаджета "Форма для связи" Sergey сообщил 2 сентября 2023:

После шифровальщика Disk Cryptor помогают программы восстановления удалённых файлов, так как сам заголовок раздела получается зашифрованный, а все файлы на жестком диске остаются в исходном состоянии и значатся как

потерянные или удалённые. Лучшая по состоянию на 2023 год такая программа - Disk Drill - ищет быстро (HDD 500 GB - 3 часа), восстанавливает много, приятный и русскоязычный интерфейс). Также от этих же разработчиков (508 Software LLC) составлен профессиональный обзор 22 популярных программ аналогичного назначения:

https://www.pandorarecovery.com/windows/

С помощью гаджета "Форма для связи" Александр сообщил 5 сентября 2024:

Почти везде оставили установленный DiskCryptor — его можно использовать для полной дешифровки:

а) сначала расшифровываем все диски;

б) затем удаляем загрузчик DiskCryptor-а.

И расшифровка без снятия диска в случае с Windows 11 нереальна.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Предшественники, использующие похожие методы и средства: 

HDDCryptor Ransomware 

Bad Rabbit Ransomware 

MBR-ONI Ransomware 

MCrypt2018 Ransomware 

Нет времени и желания разбираться в их родстве. 

Список в помощь! >>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 апреля 2023:

Новая жертва на сайте вымогателей. 

Информация от пострадавшей компании. Хакеры установили себе вход в сеть с помощью MeshAgent. Далее подобрали пароль на админа в домене и одновременно на разных машинах и серверах запустили шифрование с помощью программы DiskCryptor.

Обновление от 23 апреля 2023:

Две новые жертвы на сайте вымогателей. 

Обновление от 25 апреля 2023:

Две новые жертвы на сайте вымогателей. 

Обновление от 27 апреля 2023:

Две новые жертвы на сайте вымогателей. 

Количество пострадавших растёт и все они платят выкуп, т.к. после этого их "квадратик" исчезает. 

Это вымогательство продолжается. 

Обновление от 18 июня 2023:

Новый URL: hxxxs://dcrestore.org/  зарегистрирован в 17 июня 2023. 

На потом его прикрыли. 

Обновление от 3 сентября 2023:

URL: hxxxx://dchelp.org - прежний адрес до сих пор активен. 

=== 2024 ===

Август-сентябрь 2024:

URL: hxxxx://dchelp.org - прежний адрес до сих пор активен. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.