INC Ransomware
INC Ransom Ransomware
INC Encryptor Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется >>
Информация для идентификации
Активность этого крипто-вымогателя была замечена в начале августа 2023 г., но началась, видимо, на месяц раньше (12 июня 2023). Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .INC
Записки с требованием выкупа называются:
Записки с требованием выкупа называются:
INC-README.TXT
INC-README.HTML
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с использованием скомпрометированных действительных учетных записей, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;
Inc. Ransomware
We have hacked you and downloaded all confidential data of your company and its clients.
It can be spread out to people and media. Your reputation will be ruined.
Do not hesitate and save your business.
Please, contact us via:
http://incpaysp74dphcbjyv***.onion
Your personal ID:
***
We're the ones who can quickly recover your systems with no losses. Do not try to devalue our tool - nothing will come of it.
Starting from now, you have 72 hours to contact us if you don't want your sensitive data being published in our blog:
http://incblog7vmuq7rktic73***.onion
You should be informed, in our business reputation - is a basic condition of the success.
Inc provides a deal. After successfull negotiations you will be provided:
1. Decryption assistance;
2. Initial access;
3. How to secure your network;
4. Evidence of deletion of internal documents;
5. Guarantees not to attack you in the future.
Перевод записки на русский язык:
Inc. Ransomware
Мы взломали вас и скачали все конфиденциальные данные вашей компании и ее клиентов.
Их можно распространить среди людей и СМИ. Ваша репутация будет испорчена.
Не медлите и спасите свой бизнес.
Свяжитесь с нами через:
http://incpaysp74dphcbjyv***.onion
Ваш личный ID:
***
Мы — те, кто сможет быстро и без потерь восстановить ваши системы. Не пытайтесь обесценить наш инструмент — ничего не выйдет.
Начиная с этого момента, у вас есть 72 часа для связи с нами, если вы не хотите, чтобы ваши конфиденциальные данные были опубликованы в нашем блоге:
http://incblog7vmuq7rktic73***.onion
Вы информированы, что в нашей деловой репутации – это основное условие успеха.
Inc предлагает сделку. После успешных переговоров вам будут предоставлены:
1. Помощь в расшифровке;
2. Первоначальный доступ;
3. Как защитить свою сеть;
4. Доказательства удаления внутренних документов;
5. Гарантии не атаковать вас в будущем.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с использованием скомпрометированных действительных учетных записей, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ Использует инструментов из арсенала Windows: net.exe, nltest.exe, Wordpad, Notepad, MSPaint, Internet Explorer, Windows Explorer, mstsc.exe, msdt.exe
➤ Использует дополнительные инструменты: 7-Zip, MEGASync, Advanced IP Scanner, PuTTY, lsassy.py, PSExec
PSExec используется для запуска исполняемого файла шифрования. Перед запуском переименовывается в файл winupdь при запуске на удаленном узле.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;
INC Encryptor.pdb - файл проекта шифровальщика.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\source\INC Encryptor\Release\INC Encryptor.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor URL: incpaysp74dphcbjyv***.onion
Tor URL: incblog7vmuq7rktic73***.onion
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA256: accd8bc0d0c2675c15c169688b882ded17e78aed0d914793098337afc57c289c
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***
Thanks: MalwareHunterTeam, Huntress, S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.