DiskHelpYou

DiskHelpYou Ransomware

(шифровальщик-вымогатель, zip/rar/7z-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель блокирует данные виртуальных машин бизнес-пользователей с помощью модифицированной версии архиватора, а затем требует связаться с вымогателями с помощью указанных контактов, чтобы узнать, как заплатить выкуп и вернуть свои файлы. Оригинальное название: видимо DiskHelpYou, но в записке не указано. На файле написано: нет данных. 

Выполняет ли вымогатель предварительное шифрование, перед помещением файлов в архив, на данный момент неизвестно. Большие архивы громоздки для пересылки и изучения. Пострадавшие смогли извлечь некоторые данные и восстановить. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: аналогичные zip/rar/7z ransomware + BabLock (Rorschach) + что-то еще >> DiskHelpYou

Сайт "ID Ransomware" это пока отдельно не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К помещенным в один большой архив, защищенный паролем и таким образом  зашифрованным файлам добавляется расширение: .diskhelpyou

Уточняю: файлы помещены в большой архив, расширение заменено на .diskhelpyou

Записка с требованием выкупа называется: How-To-Restore-Your-Files.txt

На скриншотах видно, что после текста вымогателей много пустых ячеек. 

Содержание записки о выкупе:

>>>> Your data are stolen and encrypted    

  If you pay, we will provide you the programs for decryption and we will delete your data. 

  If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future. 

  Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

>>>>>>>>>>>> DANGER <<<<<<<<<<<<

>>>> Warning! Do not DELETE or MODIFY any files, We WILL NOT be able to RESTORE them!

>>>>>>>>>>>> DANGER <<<<<<<<<<<<

>>>> You need contact us and decrypt one file for free.

>>>> You have 48 hours to contact us or We will remove the decryption keys!

===================================================

>>>>>>>>>>>> Telegram: @diskhelpyou hxxxs://t.me/diskhelpyou

>>>>>>>>>>>> Tox: 951CF1240F29C2AE92B63503574787A55988C9CD3192F383C79E288B2ED3AF5BC0F7867EA4A8 (https://qtox.github.io)

>>>>>>>>>>>> Mail: diskhelpyou@onionmail.org

Перевод записки на русский язык:

>>>> Ваши данные украдены и зашифрованы

 Если вы заплатите, мы предоставим вам программы для дешифровки и удалим ваши данные.

 Если мы не предоставим вам дешифровщики или не удалим ваши данные после оплаты, то в дальнейшем нам никто платить не будет.

 Поэтому для нас очень важна наша репутация. Мы атакуем компании по всему миру и после оплаты не осталось недовольных жертв.

>>>>>>>>>>>> ОПАСНО <<<<<<<<<<<<

>>>> Внимание! НЕ УДАЛЯЙТЕ и НЕ ИЗМЕНЯЙТЕ файлы, МЫ НЕ СМОЖЕМ ВОССТАНОВИТЬ их!

>>>>>>>>>>>> ОПАСНО <<<<<<<<<<<<

>>>> Вам нужно написать нам и бесплатно расшифровать один файл.

>>>> У вас есть 48 часов, чтобы написать нам, иначе мы удалим ключи дешифровки!

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How-To-Restore-Your-Files.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Telegram: @diskhelpyou hxxxs://t.me/diskhelpyou

Tox: 951CF1240F29C2AE92B63503574787A55988C9C***

Email: diskhelpyou@onionmail.org

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализа: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Результаты анализа файла дешифровщика:

IOC: VT, IA

MD5: 2f17b8eb0ce9fbc5814591698a07b973

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 the affected user who sent the information
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

XXXXXX, Darxe

XXXXXX Ransomware

Darxe Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: AAA.exe. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37643
BitDefender -> Trojan.GenericKD.65372298
ESET-NOD32 -> WinGo/Filecoder.DQ
Kaspersky -> Trojan-Ransom.Win64.Agent.dqq
Malwarebytes -> Malware.AI.4273547575
Microsoft -> Trojan:Win64/Delf!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10be7865
TrendMicro -> Trojan.Win64.DELF.R002C0TAN23
---

© Генеалогия: родство выясняется >> XXXXXX (Darxe)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .XXXXXX

Записка с требованием выкупа называется: HOW_TO_FIX_FILES.XXXXXX.txt

Содержание записки о выкупе:

Attention!

----------------------------

| What happened?

----------------------------

We hacked your network and now all your files, documents, photos, databases, and other important data are safely encrypted with reliable algorithms.

You cannot access the files right now. But do not worry. You can get it back! It is easy to recover in a few steps.

After the payment the decryptor will be given to you, so you can restore all your files.

----------------------------

| How to contact us and get my files back?

----------------------------

The only method to restore your files and be safe from data leakage is to purchase a unique for you private key which is securely stored on our servers. 

To contact us and purchase the key you have to email us.

- Email me at : darxe@onionmail.org

----------------------------

| What about guarantees?

----------------------------

We understand your stress and worry.

So you have a FREE opportunity to test a service by instantly decrypting for free three files from every system in your network.

If you have any problems our friendly support team is always here to assist you in a email!

Dear system administrators, do not think you can handle it by yourself. Inform leadership as soon as possible.

By hiding the fact of the breach you will be eventually fired and sometimes even sued.

-------------------------------------------------------------------------------

THIS IS A SPECIAL BLOCK WITH A PERSONAL AND CONFIDENTIAL INFORMATION! DO NOT TOUCH IT WE NEED IT TO IDENTIFY AND AUTHORIZE YOU

---BEGIN KEY---

0ded5548dee4c5***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_FIX_FILES.XXXXXX.txt - название файла с требованием выкупа;
AAA.exe - название вредоносного файла/ 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: darxe@onionmail.org
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Aravind3367, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.