BlackBerserk, BlackRecover

BlackBerserk Ransomware

BlackRecover Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов и компаний с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Msmpeges.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37755
BitDefender -> Gen:Variant.Doina.60878
ESET-NOD32 -> Win32/Filecoder.OOO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.99 (RDML:uHS3FewE7V+PAmoD60V4zA)
Tencent -> Malware.Win32.Gencirc.13ead5b2
TrendMicro -> Ransom.Win32.CELANCYC.YXDG1Z
---

© Генеалогия: раннее родство выясняется >> Proxima >> ✂ BTC-azadi + другой код > BlackShadow, BlackBerserk (BlackRecover) 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине и второй половине июля 2023 г., возможно и раньше. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Много пострадавших обратились за помощью на русскоязычных форумах. Есть данные, что первоначально кто-то с ником "ravelt" настраивал сервера по удаленке, а потом через него пошел взлом.

К зашифрованным файлам добавляется расширение: .Black

Записка с требованием выкупа называется: Black_Recover.txt

*

Содержание записки о выкупе:

Your ID : ADEDBF77D41*****

# In subject line please write your personal ID

Contact us:

Black.Berserk@onionmail.org

Black.Berserk@skiff.com

ATTENTION!

All files have been stolen and encrypted by us and now have Black suffix.

# What about guarantees?

To prove that we can decrypt your files, send us two unimportant encrypted files.(up to 1 MB) and we will decrypt them for free.

+Do not delete or modify encrypted files.

+Decryption of your files with the help of third parties may cause increased price(they add their fee to our).

Перевод записки на русский язык:

Ваш ID: ADEDBF77D41*****

# В теме письма укажите свой личный ID

Связь с нами:

Black.Berserk@onionmail.org

Black.Berserk@skiff.com

ВНИМАНИЕ!

Все файлы украдены и зашифрованы нами и теперь имеют суффикс Black.

# Какие гарантии?

Чтобы доказать, что мы можем расшифровать ваши файлы, пришлите нам два неважных зашифрованных файла (до 1 МБ), и мы расшифруем их бесплатно.

+ Не удаляйте и не изменяйте зашифрованные файлы.

+Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавят свою цену к нашей).

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Некоторые деструктивные функции:

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 

/c vssadmin.exe delete shadows /all /quiet&&wbadmin delete catalog -quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

Использует PowerShell для запуска вредоноса и отключения защитных функций системы. Завершает работу и отключает запуск на старте системы некоторых служб. Очищает все системные журналы, чтобы скрыть порядок своих действий. 

Запрограммирован на очистку всех "корзин" ($RECYCLE.BIN) на всех дисках, даже тех, что отсутствуют:  

P:\$RECYCLE.BIN,Q:\$RECYCLE.BIN,R:\$RECYCLE.BIN,S:\$RECYCLE.BIN,T:\$RECYCLE.BIN,U:\$RECYCLE.BIN,V:\$RECYCLE.BIN,W:\$RECYCLE.BIN,X:\$RECYCLE.BIN,F:\$RECYCLE.BIN,G:\$RECYCLE.BIN,K:\$RECYCLE.BIN,L:\$RECYCLE.BIN,M:\$RECYCLE.BIN,N:\$RECYCLE.BIN,O:\$RECYCLE.BIN,Y:\$RECYCLE.BIN,Z:\$RECYCLE.BIN,A:\$RECYCLE.BIN,B:\$RECYCLE.BIN,C:\$RECYCLE.BIN,D:\$RECYCLE.BIN,E:\$RECYCLE.BIN,H:\$RECYCLE.BIN,I:\$RECYCLE.BIN,J:\$RECYCLE.BIN

P:\Recycler,Q:\Recycler,R:\Recycler,S:\Recycler,T:\Recycler,U:\Recycler,V:\Recycler,W:\Recycler,X:\Recycler,F:\Recycler,G:\Recycler,K:\Recycler,L:\Recycler,M:\Recycler,N:\Recycler,O:\Recycler,Y:\Recycler,Z:\Recycler,A:\Recycler,B:\Recycler,C:\Recycler,D:\Recycler,E:\Recycler,H:\Recycler,I:\Recycler,J:\Recycler

Использует легитимные программы для собственных целей. 

Использует различные системные функции для своей выгоды. 

Перезагружает систему для завершения атаки и шифрования. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Black_Recover.txt - название файла с требованием выкупа;
Msmpeges.exe - название вредоносного файла; 

Diag.exe - название дополнительного вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\Pictures\Msmpeges.exe

C:\Windows\SysWOW64\schtasks.exe

C:\Users\Admin\AppData\Local\Temp\Msmpeges.exe

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

C:\Users\Admin\Desktop\Black_Recover.txt

C:\Users\Admin\AppData\Local\Temp\0F3LWP.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\BlackMutex

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Black.Berserk@onionmail.org, Black.Berserk@skiff.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1dde7e42e33b9ed602f9c839cca7150b

SHA-1: 538a0f38f2745dff05c7f2e05fc1fe3165b7767e

SHA-256: edcccd772c68c75f56becea7f54fb7ee677863b6beaca956c52ee20ec23b472d

Vhash: 015066651d1515556078z717z4035z4031z3fz

Imphash: 3a9d8d3df56e44da448e2fafa92efb25

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023

BTC-azadi Ransomware - январь 2023

Cylance Ransomware - март 2023

BTC-azadi NextGen Ransomware - с марта 2023

другие варианты - март-апрель-май 2023

BlackShadow Ransomware - май-июль 2023

BlackBerserk (BlackRecover) Ransomware - с июля 2023

другие варианты - август-декабрь 2023

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2 августа 2023: 

Расширение: .Sezar

Записка: Sezar_Recover.txt

IOC: VT: IA: MD5: b65636c6fe0c868e179c9599ba2a9467

Обнаружения: 

ESET-NOD32 - > A Variant Of Win32/Agent_AGen.BJV

Kaspersky - > HEUR:Trojan-PSW.Win32.Stealer.gen

Microsoft - > Trojan:Win32/Wacatac.B!ml

TrendMicro - > Ransom.Win32.CELANCYC.SM

Вариант от 22 сентября 2023: 

Расширение: .Gomez

Записка: Gomez_Recover.txt

Email: Gomez1754@cyberfear.com, Gomez1754@skiff.com

IOC: VT: IA: MD5: dd97b9e6ea68c10b4137429a47530d9d

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37806

ESET-NOD32 -> A Variant Of Win32/Filecoder.OOO

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Microsoft -> Ransom:Win64/BlackShadow.YAA!MTB

TrendMicro -> Ransom.Win32.CELANCYC.YXDIYZ

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Sandor, PCrisk, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.