Если вы не видите здесь изображений, то используйте VPN.

вторник, 27 июня 2023 г.

DiskHelpYou

DiskHelpYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


DiskHelpYou Ransomware

Этот крипто-вымогатель блокирует данные виртуальных машин бизнес-пользователей с помощью модифицированной версии LockBit 3, а затем требует связаться с вымогателями с помощью указанных контактов, чтобы узнать, как заплатить выкуп и вернуть свои файлы. Оригинальное название: видимо DiskHelpYou, но в записке не указано. На файле написано: нет данных. 
Других подобных случаев на данный момент неизвестно. Пострадавшие смогли извлечь некоторые данные из бэкапов и восстановить. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: 
LockBit 3 + Babuk ESXi >> DiskHelpYou

Этимология названия:
Вымогатели использовали фразу "DiskHelpYou", но не дали своим вымогательским инструментам никакого названия. Мы же использовали это название для публикации и информирования пострадавших. 


Сайт "ID Ransomware" это пока отдельно не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Перед шифрованием хакеры вымогателей долго изучают корпоративную сеть, графики работы админов, чтобы провести атаку в тот момент, когда никто не заметит и не помешает. 

К зашифрованным файлам добавляется расширение: .diskhelpyou

Записка с требованием выкупа называется: How-To-Restore-Your-Files.txt

DiskHelpYou Ransomware note, записка о выкупе

DiskHelpYou Ransomware note, записка о выкупе

На скриншотах видно, что после текста вымогателей много пустых ячеек. 

Содержание записки о выкупе:

>>>> Your data are stolen and encrypted    
  If you pay, we will provide you the programs for decryption and we will delete your data. 
  If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future. 
  Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
>>>>>>>>>>>> DANGER <<<<<<<<<<<<
>>>> Warning! Do not DELETE or MODIFY any files, We WILL NOT be able to RESTORE them!
>>>>>>>>>>>> DANGER <<<<<<<<<<<<
>>>> You need contact us and decrypt one file for free.
>>>> You have 48 hours to contact us or We will remove the decryption keys!
===================================================
>>>>>>>>>>>> Telegram: @diskhelpyou hxxxs://t.me/diskhelpyou
>>>>>>>>>>>> Tox: 951CF1240F29C2AE92B63503574787A55988C9CD3192F383C79E288B2ED3AF5BC0F7867EA4A8 (https://qtox.github.io)
>>>>>>>>>>>> Mail: diskhelpyou@onionmail.org

Перевод записки на русский язык:
>>>> Ваши данные украдены и зашифрованы
 Если вы заплатите, мы предоставим вам программы для дешифровки и удалим ваши данные.
 Если мы не предоставим вам дешифровщики или не удалим ваши данные после оплаты, то в дальнейшем нам никто платить не будет.
 Поэтому для нас очень важна наша репутация. Мы атакуем компании по всему миру и после оплаты не осталось недовольных жертв.
>>>>>>>>>>>> ОПАСНО <<<<<<<<<<<<
>>>> Внимание! НЕ УДАЛЯЙТЕ и НЕ ИЗМЕНЯЙТЕ файлы, МЫ НЕ СМОЖЕМ ВОССТАНОВИТЬ их!
>>>>>>>>>>>> ОПАСНО <<<<<<<<<<<<
>>>> Вам нужно написать нам и бесплатно расшифровать один файл.
>>>> У вас есть 48 часов, чтобы написать нам, иначе мы удалим ключи дешифровки!
***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How-To-Restore-Your-Files.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @diskhelpyou hxxxs://t.me/diskhelpyou
Tox: 951CF1240F29C2AE92B63503574787A55988C9C***
Email: diskhelpyou@onionmail.org
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализа: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -

Результаты анализа файла дешифровщика:
IOC: VT, IA
MD5: 2f17b8eb0ce9fbc5814591698a07b973

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: rivitna Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 3 июня 2023 г.

XXXXXX, Darxe

XXXXXX Ransomware

Darxe Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


XXXXXX, Darxe Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: AAA.exe. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37643
BitDefender -> Trojan.GenericKD.65372298
ESET-NOD32 -> WinGo/Filecoder.DQ
Kaspersky -> Trojan-Ransom.Win64.Agent.dqq
Malwarebytes -> Malware.AI.4273547575
Microsoft -> Trojan:Win64/Delf!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10be7865
TrendMicro -> Trojan.Win64.DELF.R002C0TAN23
---

© Генеалогия: родство выясняется >> 
XXXXXX (Darxe)


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .XXXXXX


Записка с требованием выкупа называется: HOW_TO_FIX_FILES.XXXXXX.txt

XXXXXX (Darxe) Ransomware note, записка о выкупе

Содержание записки о выкупе:
Attention!
----------------------------
| What happened?
----------------------------
We hacked your network and now all your files, documents, photos, databases, and other important data are safely encrypted with reliable algorithms.
You cannot access the files right now. But do not worry. You can get it back! It is easy to recover in a few steps.
After the payment the decryptor will be given to you, so you can restore all your files.
----------------------------
| How to contact us and get my files back?
----------------------------
The only method to restore your files and be safe from data leakage is to purchase a unique for you private key which is securely stored on our servers. 
To contact us and purchase the key you have to email us.
- Email me at : darxe@onionmail.org
----------------------------
| What about guarantees?
----------------------------
We understand your stress and worry.
So you have a FREE opportunity to test a service by instantly decrypting for free three files from every system in your network.
If you have any problems our friendly support team is always here to assist you in a email!

Dear system administrators, do not think you can handle it by yourself. Inform leadership as soon as possible.
By hiding the fact of the breach you will be eventually fired and sometimes even sued.
-------------------------------------------------------------------------------
THIS IS A SPECIAL BLOCK WITH A PERSONAL AND CONFIDENTIAL INFORMATION! DO NOT TOUCH IT WE NEED IT TO IDENTIFY AND AUTHORIZE YOU
---BEGIN KEY---
0ded5548dee4c5***



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_FIX_FILES.XXXXXX.txt - название файла с требованием выкупа;
AAA.exe - название вредоносного файла/ 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: darxe@onionmail.org
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: Aravind3367, quietman7 Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *