BlackBerserk Ransomware
BlackRecover Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.37755
BitDefender -> Gen:Variant.Doina.60878
ESET-NOD32 -> Win32/Filecoder.OOO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.99 (RDML:uHS3FewE7V+PAmoD60V4zA)
Tencent -> Malware.Win32.Gencirc.13ead5b2
TrendMicro -> Ransom.Win32.CELANCYC.YXDG1Z
---
© Генеалогия: раннее родство выясняется >> Proxima >> ✂ BTC-azadi + другой код > BlackShadow, BlackBerserk (BlackRecover)
Активность этого крипто-вымогателя была в середине и второй половине июля 2023 г., возможно и раньше. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Много пострадавших обратились за помощью на русскоязычных форумах. Есть данные, что первоначально кто-то с ником "ravelt" настраивал сервера по удаленке, а потом через него пошел взлом.
К зашифрованным файлам добавляется расширение: .Black
Записка с требованием выкупа называется: Black_Recover.txt
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Некоторые деструктивные функции:
Записка с требованием выкупа называется: Black_Recover.txt
*
Содержание записки о выкупе: Your ID : ADEDBF77D41*****
# In subject line please write your personal ID
Contact us:
Black.Berserk@onionmail.org
Black.Berserk@skiff.com
ATTENTION!
All files have been stolen and encrypted by us and now have Black suffix.
# What about guarantees?
To prove that we can decrypt your files, send us two unimportant encrypted files.(up to 1 MB) and we will decrypt them for free.
+Do not delete or modify encrypted files.
+Decryption of your files with the help of third parties may cause increased price(they add their fee to our).
Перевод записки на русский язык:
Ваш ID: ADEDBF77D41*****
# В теме письма укажите свой личный ID
Связь с нами:
Black.Berserk@onionmail.org
Black.Berserk@skiff.com
ВНИМАНИЕ!
Все файлы украдены и зашифрованы нами и теперь имеют суффикс Black.
# Какие гарантии?
Чтобы доказать, что мы можем расшифровать ваши файлы, пришлите нам два неважных зашифрованных файла (до 1 МБ), и мы расшифруем их бесплатно.
+ Не удаляйте и не изменяйте зашифрованные файлы.
+Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавят свою цену к нашей).
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Некоторые деструктивные функции:
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
/c vssadmin.exe delete shadows /all /quiet&&wbadmin delete catalog -quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
Использует PowerShell для запуска вредоноса и отключения защитных функций системы. Завершает работу и отключает запуск на старте системы некоторых служб. Очищает все системные журналы, чтобы скрыть порядок своих действий.
Запрограммирован на очистку всех "корзин" ($RECYCLE.BIN) на всех дисках, даже тех, что отсутствуют:
P:\$RECYCLE.BIN,Q:\$RECYCLE.BIN,R:\$RECYCLE.BIN,S:\$RECYCLE.BIN,T:\$RECYCLE.BIN,U:\$RECYCLE.BIN,V:\$RECYCLE.BIN,W:\$RECYCLE.BIN,X:\$RECYCLE.BIN,F:\$RECYCLE.BIN,G:\$RECYCLE.BIN,K:\$RECYCLE.BIN,L:\$RECYCLE.BIN,M:\$RECYCLE.BIN,N:\$RECYCLE.BIN,O:\$RECYCLE.BIN,Y:\$RECYCLE.BIN,Z:\$RECYCLE.BIN,A:\$RECYCLE.BIN,B:\$RECYCLE.BIN,C:\$RECYCLE.BIN,D:\$RECYCLE.BIN,E:\$RECYCLE.BIN,H:\$RECYCLE.BIN,I:\$RECYCLE.BIN,J:\$RECYCLE.BIN
P:\Recycler,Q:\Recycler,R:\Recycler,S:\Recycler,T:\Recycler,U:\Recycler,V:\Recycler,W:\Recycler,X:\Recycler,F:\Recycler,G:\Recycler,K:\Recycler,L:\Recycler,M:\Recycler,N:\Recycler,O:\Recycler,Y:\Recycler,Z:\Recycler,A:\Recycler,B:\Recycler,C:\Recycler,D:\Recycler,E:\Recycler,H:\Recycler,I:\Recycler,J:\Recycler
Использует легитимные программы для собственных целей.
Использует легитимные программы для собственных целей.
Использует различные системные функции для своей выгоды.
Перезагружает систему для завершения атаки и шифрования.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Black_Recover.txt - название файла с требованием выкупа;
Msmpeges.exe - название вредоносного файла;
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Black_Recover.txt - название файла с требованием выкупа;
Msmpeges.exe - название вредоносного файла;
Diag.exe - название дополнительного вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Pictures\Msmpeges.exe
C:\Windows\SysWOW64\schtasks.exe
C:\Users\Admin\AppData\Local\Temp\Msmpeges.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\Users\Admin\Desktop\Black_Recover.txt
C:\Users\Admin\AppData\Local\Temp\0F3LWP.tmp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
Global\BlackMutex
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Black.Berserk@onionmail.org, Black.Berserk@skiff.com
BTC: -
Сетевые подключения и связи:
Email: Black.Berserk@onionmail.org, Black.Berserk@skiff.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 1dde7e42e33b9ed602f9c839cca7150b
SHA-1: 538a0f38f2745dff05c7f2e05fc1fe3165b7767e
SHA-256: edcccd772c68c75f56becea7f54fb7ee677863b6beaca956c52ee20ec23b472d
Vhash: 015066651d1515556078z717z4035z4031z3fz
Imphash: 3a9d8d3df56e44da448e2fafa92efb25
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Proxima Ransomware - январь 2023
BTC-azadi Ransomware - январь 2023
Cylance Ransomware - март 2023
BTC-azadi NextGen Ransomware - с марта 2023
другие варианты - март-апрель-май 2023
BlackShadow Ransomware - май-июль 2023
BlackBerserk (BlackRecover) Ransomware - с июля 2023
другие варианты - август-декабрь 2023
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 2 августа 2023:
Расширение: .Sezar
Записка: Sezar_Recover.txt
IOC: VT: IA: MD5: b65636c6fe0c868e179c9599ba2a9467
Обнаружения:
ESET-NOD32 - > A Variant Of Win32/Agent_AGen.BJV
Kaspersky - > HEUR:Trojan-PSW.Win32.Stealer.gen
Microsoft - > Trojan:Win32/Wacatac.B!ml
TrendMicro - > Ransom.Win32.CELANCYC.SM
Вариант от 22 сентября 2023:
Расширение: .Gomez
Записка: Gomez_Recover.txt
Email: Gomez1754@cyberfear.com, Gomez1754@skiff.com
IOC: VT: IA: MD5: dd97b9e6ea68c10b4137429a47530d9d
➤ Обнаружения:
DrWeb -> Trojan.Encoder.37806
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Ransom:Win64/BlackShadow.YAA!MTB
TrendMicro -> Ransom.Win32.CELANCYC.YXDIYZ
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***
Thanks: Sandor, PCrisk, Petrovic Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.