Rancoz

Rancoz Ransomware

Aliases: Recrans, Buddy

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов асимметричного и симметричного шифрования:  NTRUEncrypt + ChaCha20-Poly, а затем требует связаться по email с вымогателями, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37560
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.GH
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Filecoder
Microsoft -> Ransom:Win64/FileCoder!MSR
Rising -> Ransom.Agent!8.6B7 (TFE:5:Y2TWqSoWumN)
Tencent -> Malware.Win32.Gencirc.10bf015e
TrendMicro -> Ransom.Win64.RECRANS.THEOHBC
---

© Генеалогия: Vice Society? >> Rancoz, Buddy

Сайт "ID Ransomware" Rancoz отдельно пока не идентифицирует. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была в мая — июне 2023 г., но продолжилась и позже. Распространяются разные, но похожие варианты. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляются расширения: 

.rec_rans
.buddyransome

Записка с требованием выкупа называется: HOW_TO_RECOVERY_FILES.txt

Содержание записки о выкупе:

~~~ Hello! Your company has been hacked! ~~~

>>>> Your data are stolen and encrypted

>>>> What guarantees that we will not deceive you? 

We are not a politically motivated group and we do not need anything other than your money.   

If you pay, we will provide you the programs for decryption and we will delete your data. 

Life is too short to be sad. Be not sad, money, it is only paper.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future. 

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

>>>> You need to contact us by email rec_rans@aol.com and decrypt some files for free

>>>> The data will be published on TOR website if you do not pay the ransom 

Download and install TOR Browser https://www.torproject.org/ 

Links for Tor Browser:

hxxx://ze677xuzard4lx4iul2yzf5ks4gqqzoulgj5u4n5n4bbbsxjbfr7eayd.onion 

>>>> Your personal ID:

708D02E60E8B38510DB352F3735E900747B1A8857DCBF6DE7A5814F7B8FC1C

***

>>>> Provide your personal ID in the email

>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

>>>> Warning! If you do not pay the ransom we will attack your company repeatedly again!

Перевод записки на русский язык:

~~~ Привет! Вашу компанию взломали! ~~~

>>>> Ваши данные украдены и зашифрованы

>>>> Какие гарантии, что мы вас не обманем?

Мы не политически мотивированная группа, и нам ничего не нужно, кроме ваших денег.

Если вы заплатите, мы предоставим вам программы для дешифровки и удалим ваши данные.

Жизнь слишком коротка, чтобы грустить. Не грустите, деньги, это всего лишь бумага.

Если мы не предоставим вам дешифровщики или не удалим ваши данные после оплаты, то нам никто не заплатит.

Поэтому для нас очень важна наша репутация. Мы атакуем компании по всему миру, и после оплаты не будет ни одной недовольной жертвы.

>>>> Вам необходимо связаться с нами по email rec_rans@aol.com и бесплатно расшифровать некоторые файлы.

>>>> Данные будут опубликованы на сайте TOR, если вы не заплатите выкуп.

Скачайте и установите браузер TOR: https://www.torproject.org/

Ссылки на браузер Tor:

hxxx://ze677xuzard4lx4iul2yzf5ks4gqqzoulgj5u4n5n4bbbsxjbfr7eayd.onion

>>>> Ваш персональный ID:

***

>>>> Укажите свой персональный ID в письме.

>>>> Внимание! Не УДАЛЯЙТЕ и НЕ ИЗМЕНЯЙТЕ файлы, это может привести к проблемам с восстановлением!

>>>> Внимание! Если вы не заплатите выкуп, мы снова будем атаковать вашу компанию!

Информатором жертвы также является изображение с кратким текстом, заменяющее обои Рабочего стола: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает, не шифрует файлы с расширениями: 
.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .drv, .exe, .hlp, .hta, .icns, .ico, .ics, .idx, .lnk .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .rom, .rtp, .scr, .shs, .sys, .theme, .themepack, .wpx,

Пропускает, не шифрует следующие папки: 

$RECYCLE.BIN        

Avast, Avira, COMODO, Chrome, Common Files, Common7, 

Dell,Dr.Web, ESET, Firefox,

Install Shield Installation Information, Intel, Internet Explorer, 

Kaspersky Lab, McAfee, 

Microsoft, Microsoft Help, Microsoft SDKs, Microsoft Shared, Microsoft VS Code,Microsoft Visual Studio, Microsoft.NET, MovieMaker, Mozilla, Mozilla Firefox,

NVIDIA Corporation, Opera, 

Package Cache, Packages, Reference assemblies,

Spytechsoftware, Symantec, Symantec Client Security, sysconfig, System Volume Information, Temp,

Windows, Windows App Certification Kit, Windows Defender Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows NT, Windows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, Windows Security Windows Sidebar WindowsApps,WindowsPowerShell, Wsus, 

Yandex Browser

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVERY_FILES.txt - название файла с требованием выкупа;
noise.bmp - изображение, заменяющее обои Рабочего стола; 

<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://ze677xuzard4lx4iul2yzf5ks4gqqzoulgj5u4n5n4bbbsxjbfr7eayd.onion

Email: rec_rans@aol.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: 8d9f3e223f8d5e350b87dc0908fee0a5 

SHA-1: 9fe3060e5cbe3a9ab6c3fb3dee40bd6cd385a6f6 

SHA-256: b95a4443bb8bff80d927ac551a9a5a5cfac3e3e03a5b5737c0e05c75f33ad61e 

Vhash: 0150976d1555551c0d1d1075zb004a275z27z3011z65z27z 

Imphash: 2825ea409a6656bb0fee4eaa43c75e09

---

IOC: VT, HA, IA, TG, AR

MD5: 97b55eb62ff8541c384312c705789d26 

SHA-1: 9e600ee964b5ff8cf5190c3817e9fc53688e0d4c 

SHA-256: d5e632836622d52c91e4ef059e9124184fceaf85783278880797f788ce141588 

Vhash: 0150976d1555551c0d1d1075zb004a275z27z3011z65z27z 

Imphash: 2825ea409a6656bb0fee4eaa43c75e09

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vice Society Ransomware - июнь 2021

Vice Society NextGen - 2021-2023

Rancoz Ransomware - май 2023

Buddy Ransomware - июнь 2023

Rancoz NextGen - 2023-2025

Titan Ransomware - май-июнь 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Cyble, Fortinet, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.