CryptoExpertoo

CryptoExpertoo Ransomware

(rar-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель блокирует файлы пользователей и помещает их в RAR-архив, а затем предлагает помочь за определенную плату, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: другие RAR и ZIP вымогатели >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в сентябре 2023 г. Ориентирован на англоязычных пользователей, но взапсике текст продублирован на испанском, русском, турецкомможет распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .CRYPTED

Фактически используется составное расширение по шаблону: .ID-<XXXXXXXXX>.{cryptoexpertoo@hotmail.com}.CRYPTED

Пример зашифрованного файла:

пт.pdf.ID-17716AR69.{cryptoexpertoo@hotmail.com}.CRYPTED

Записка с требованием выкупа называется: readme_files encrypted.txt

Содержание записки о выкупе:

Hello!

All files are encrypted.

Attempting to decrypt files will damage them.

I can help you for a fee.

Your ID 17716AR69.

Contact me by email - cryptoexpertoo@hotmail.com

Hallo!

Alle Dateien sind verschlüsselt.

Beim Versuch, Dateien zu entschlüsseln, werden diese beschädigt.

Ich kann Ihnen gegen eine Gebühr helfen.

Ihre ID 17716AR69.

Kontaktieren Sie mich per E-Mail - cryptoexpertoo@hotmail.com

Привет!

Все файлы зашифрованы.

Попытка расшифровать файлы приведет к их повреждению.

Я могу помочь вам за определенную плату.

Ваш ID 17716AR69.

Свяжитесь со мной по электронной почте — cryptoexpertoo@hotmail.com.

Merhaba!

Tüm dosyalar şifrelenmiştir.

Dosyaların şifresini çözmeye çalışmak onlara zarar verir.

Ücret karşılığında yardımcı olabilirim.

Kimliğiniz 17716AR69.

Bana e-posta yoluyla ulaşın - cryptoexpertoo@hotmail.com

¡Hola!

Todos los archivos están cifrados.

Intentar descifrar archivos los dañará.

Puedo ayudarte pagando una tarifa.

Su DNI 17716AR69.

Contáctame por correo electrónico: cryptoexpertoo@hotmail.com

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

LostTrust

LostTrust Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: LostTrust Ransomware. На файле написано: ransomware.exe. Используется для вымогательства и кражи данных группой LostTrust Team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34939
BitDefender -> Gen:Variant.Ransom.Sfile.37
ESET-NOD32 -> A Variant Of Win32/Filecoder.SFile.A
Kaspersky -> Trojan.Win32.DelShad.mas
Malwarebytes -> Malware.AI.491590415
Microsoft -> VirTool:Win32/Injector.FU
Rising -> Trojan.Generic@AI.100 (RDML:NW/5j1***
Tencent -> Win32.Trojan.Filecoder.Htgl
TrendMicro -> Ransom.Win32.SFILE.SM
---

© Генеалогия: SFile, SFile2 >> MetaEncryptor >> LostTrust

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Начал атаковать организации в марте 2023 года, но получил широкую известность только в сентябре, когда начал использовать сайт утечки данных. Ориентирован на англоязычных пользователей, может распространяться по всему миру. На момент написания статьи на сайте утечки данных перечислено около 50 жертв из разных стран (США, Канада, Мексика, Италия, Румыния и др.), при этом данные некоторых из них уже утекли из-за неуплаты выкупа.

К зашифрованным файлам добавляется расширение: .losttrustencoded

Записка с требованием выкупа называется: !LostTrustEncoded.txt

Содержание записки о выкупе:

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

LOSTTRUST            

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

To the board of directors.

Your network has been attacked through various vulnerabilities found in your system.

We have gained full access to the entire network infrastructure.

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

Our team has an extensive background in legal and so called white hat hacking.

However, clients usually considered the found vulnerabilities to be minor and poorly paid for our services.

So we decided to change our business model. Now you understand how important it is to allocate a good budget for IT security.

This is serious business for us and we really don't want to ruin your privacy, 

reputation and a company.

We just want to get paid for our work whist finding vulnerabilities in various networks.

Your files are currently encrypted with our tailor made state of the art algorithm.

Don't try to terminate unknown processes, don't shutdown the servers, do not unplug drives, all this can lead to partial or complete data loss.

We have also managed to download a large amount of various, crucial data from your network.

A complete list of files and samples will be provided upon request.

We can decrypt a couple of files for free. The size of each file must be no more than 5 megabytes.

All your data will be successfully decrypted immediately after your payment.

You will also receive a detailed list of vulnerabilities used to gain access to your network.

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

If you refuse to cooperate with us, it will lead to the following consequences for your company:

1. All data downloaded from your network will be published for free or even sold

2. Your system will be re-attacked continuously, now that we know all your weak spots 

3. We will also attack your partners and suppliers using info obtained from your network

4. It can lead to legal actions against you for data breaches

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

                    !!!!Instructions for contacting our team!!!!

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

   ---> Download and install TOR browser from this site : https://torproject.org

   ---> For contact us via LIVE CHAT open our website : hxxx://hscr6cjzhgoybibuzn2xud7u4crehuoo4ykw3swut7m7irde74hdfzyd.onion/s/qnwbjsfd

   ---> If Tor is restricted in your area, use VPN

   ---> All your Data will be published in 3 Days if NO contact made

   ---> Your Decryption keys will be permanently destroyed in 3 Days if no contact made

   ---> Your Data will be published if you will hire third-party negotiators to contact us

�

Перевод записки на русский язык:

LOSTTRUST

Совету директоров.

Ваша сеть подверглась атаке через различные уязвимости, обнаруженные в вашей системе.

Мы получили полный доступ ко всей сетевой инфраструктуре.

Наша команда имеет богатый опыт в области легального и так называемого "белого" хакинга. Однако клиенты, как правило, считали найденные уязвимости незначительными и плохо оплачивали наши услуги.

Поэтому мы решили изменить нашу бизнес-модель. Теперь вы понимаете, насколько важно выделять хороший бюджет на обеспечение ИТ-безопасности.

Для нас это серьезный бизнес, и мы очень не хотим испортить вашу частную жизнь, репутацию и компанию, репутацию и компанию.

Мы просто хотим получать деньги за свою работу по поиску уязвимостей в различных сетях.

В настоящее время ваши файлы зашифрованы с помощью нашего современного алгоритма.

Не пытайтесь завершить неизвестные процессы, не выключайте серверы, не отключайте диски, все это может привести к частичной или полной потере данных.

Кроме того, нам удалось скачать из вашей сети большое количество разнообразных, критически важных данных.

Полный список файлов и образцов будет предоставлен по запросу.

Мы можем бесплатно расшифровать несколько файлов. Размер каждого файла не должен превышать 5 мегабайт.

Все ваши данные будут успешно расшифрованы сразу после оплаты.

Вы также получите подробный список уязвимостей, используемых для получения доступа к вашей сети.

Если Вы откажетесь от сотрудничества с нами, это приведет к следующим последствиям для Вашей компании:

1. Все данные, загружаемые из вашей сети, будут публиковаться бесплатно или даже продаваться

2. Ваша система будет постоянно подвергаться повторным атакам, поскольку мы знаем все ваши слабые места. 

3. Мы также будем атаковать ваших партнеров и поставщиков, используя информацию, полученную из вашей сети.

4. Это может привести к судебным искам против вас в связи с утечкой данных

!!!!Инструкции для связи с нашей командой!!!!

---> Скачайте и установите браузер TOR с этого сайта: https://torproject.org

---> Для связи с нами через LIVE CHAT откройте наш сайт: hxxx://hscr6cjzhgoybibuzn2xud7u4crehuoo4ykw3swut7m7irde74hdfzyd.onion/s/qnwbjsfd

---> Если Tor запрещен в вашем регионе, используйте VPN

---> Все ваши данные будут опубликованы через 3 дня, если с вами не свяжутся 

---> Ваши ключи дешифрования будут уничтожены в течение 3 дней, если с вами не свяжутся 

---> Ваши данные будут опубликованы, если вы наймете сторонних переговорщиков для связи с нами

�

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ LostTrust Team сами о себе

➤ Очищает журналы системы, удаляет теневые копии, останаливает ряд процессов.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!LostTrustEncoded.txt - название файла с требованием выкупа;
ransomware.exe -  название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
TOR-URL: hxxx://hscr6cjzhgoybibuzn2xud7u4crehuoo4ykw3swut7m7irde74hdfzyd.onion/

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 4ae8efc6c80fe086aa27117619718fc2

SHA-1: 09170b8fd03258b0deaa7b881c46180818b88381

SHA-256: 25a906877af7aed44c21b4c947a34666c3480629a929a227b67b273245ee3708

Vhash: 035046655d156068z512z121z21z13z20a1zffz

Imphash: e8fe6c58a0a1d7d1162ad35656f7aaec

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 BleepingComputer, TheCyberExpress
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Slide

Slide Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+ECC (как утверждают вымогатели в записке), а затем требует написать на email или в Telegram вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Slide, указано в записке. На файле написано: нет данных.

---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Slide

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце сентября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Slide

Фактически используется составное расширение по шаблону: .[Ex2@onionmail.org].Slide

Записка с требованием выкупа не имеет постоянного названия и называется по шаблону: #<ID{16}>.txt
Например: #B618798A2F0A0DD3.txt

Содержание записки о выкупе:

  ~~~ SLIDE ~~~

>>> What happened?

    We encrypted and stolen all of your files.

    We use AES and ECC algorithms.

    Nobody can recover your files without our decryption service.

>>> How to recover?

    We are not a politically motivated group and we want nothing more than money.

    If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?

    You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.

    If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?

   Our email address: Ex2@onionmail.org

   Our Telegram ID: @Filesupp

   In case of no answer within 24 hours, contact to this email: Ex2@onionmail.org

   Write your personal ID in the subject of the email.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>>>> Your personal ID: B618798A2F0A0DD3 <<<<<

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>> Warnings!

  - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.

   They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

  - Do not hesitate for a long time. The faster you pay, the lower the price.

  - Do not delete or modify encrypted files, it will lead to problems with decryption of files.

Перевод записки на русский язык:

~~~ SLIDE ~~~

>>> Что случилось?

     Мы зашифровали и украли все ваши файлы.

     Мы используем алгоритмы AES и ECC.

     Никто не сможет восстановить ваши файлы без нашей службы расшифровки.

>>> Как восстановиться?

     Мы не политически мотивированная группа, и нам не нужно ничего, кроме денег.

     Если вы заплатите, мы предоставим вам программу для расшифровки и уничтожим украденные данные.

>>> Какие гарантии?

     Вы можете отправить нам неценный файл размером менее 1 МГ, мы его расшифруем в качестве гарантии.

     Если мы не отправим вам программу для расшифровки или не удалим украденные данные, никто не будет платить нам в будущем, поэтому мы сдержим свое обещание.

>>> Как с нами связаться?

    Наш адрес email: Ex2@onionmail.org.

    Наш ID в Telegram: @Filesupp

    При отсутствии ответа в течение 24 часов напишите нам на email: Ex2@onionmail.org.

    В теме письма укажите свой личный ID.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>>>> Ваш личный ID: B618798A2F0A0DD3 <<<<<

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>> Предупреждения!

   - Не обращайтесь в восстановительные компании, это всего лишь посредники, которые заработают на вас деньги и обманут.

    Они тайно договариваются с нами, покупают программу для дешифрования и продадут ее вам в разы дороже или просто обманут.

   - Не медлите долго. Чем быстрее вы платите, тем ниже цена.

   - Не удаляйте и не изменяйте зашифрованные файлы, это приведет к проблемам с расшифровкой файлов.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email:  Ex2@onionmail.org

Telegram ID: @Filesupp

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

3AM

3AM Ransomware

Three-AM-time Ransomware

3AM Doxware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы расшифровать и вернуть украденные файлы. Оригинальное название: 3AM ("3 часа ночи"). Написан на языке программирования Rust. Специалисты Symantec Threat Hunter Team, описавшие атаку 3AM, не предоставили публичный образец для изучения и описания. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство не выявлено >> 3AM

Сайт "ID Ransomware" идентифицирует это как 3AM (с 13-14 сентября 2023). 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была обнаружена гораздо раньше, но рассказано о ней было только 13 сентября 2023 г. в отчете Symantec Threat Hunter Team, описавших единственный инцидент, но не предоставивших публичный образец для исследования. 

По утверждению Symantec THT, атакующие сначала пытались использовать один из вариантов LockBit Ransomware, но когда LockBit был заблокирован, они запустили неизвестный на том момент 3AM Ransomware. Злоумышленникам удалось развернуть его только на трех компьютерах в сети организации, но и он был заблокирован на двух из трех компьютеров.

Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .threeamtime


Записка с требованием выкупа называется: RECOVER-FILES.txt 

Содержание записки о выкупе:

Hello. "3 am" The time of mysticism, isn't it?

All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state.

All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk).

There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more.

We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part.

We propose to reach an agreement and conclude a deal.

Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used.

Please contact us as soon as possible, using Tor-browser:

hxxx://threeam7***.onion/recovery 

Access key:

[32 CHARS SPECIFIED BY -k COMMAND LINE PARAMETER]

Перевод записки на русский язык:

Привет. "3 часа ночи" Время мистики, не так ли?

Все ваши файлы загадочным образом зашифрованы, а системы "не подают признаков жизни", резервные копии исчезли. Но мы можем очень быстро это исправить и вернуть все ваши файлы и работу систем в исходное состояние.

Все ваши попытки восстановить данные самостоятельно приведут к их порче и невозможности восстановления. Мы не рекомендуем Вам делать это самостоятельно!!! (или делаете на свой страх и риск).

Есть еще один важный момент: мы украли из вашей локальной сети довольно большой объем конфиденциальных данных: финансовые документы; персональные данные ваших сотрудников, клиентов, партнеров; рабочая документация, почтовая корреспонденция и многое другое.

Мы предпочитаем держать это в секрете, у нас нет цели разрушить ваш бизнес. Поэтому с нашей стороны утечки быть не может.

Предлагаем договориться и заключить сделку.

В противном случае ваши данные будут проданы в DarkNet/DarkWeb. Можно только догадываться, как они будут использоваться.

Напишите нам как можно скорее, используя Tor-браузер:

hxxx://threeam7***.onion/recovery 

Ключ доступа:

[32 СИМВОЛА ***]

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Программа-вымогатель сначала пытается настроить атакованный компьютер под себя, удалить бэкапы и теневые копии файлов, остановить несколько служб на зараженном компьютере, прежде чем начнет шифровать файлы. Подробности ниже. 

➤ Настраивает под себя файервол Windows: 

"netsh.exe" advfirewall firewall set rule "group=”Network Discovery”" new enable=Yes

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:

"wbadmin.exe" delete systemstatebackup -keepVersions:0 -quiet

"wbadmin.exe" DELETE SYSTEMSTATEBACKUP

"wbadmin.exe" DELETE SYSTEMSTATEBACKUP -deleteOldest

"bcdedit.exe" /set {default} recoveryenabled No

"bcdedit.exe" /set {default} bootstatuspolicy ignoreallfailures

"wmic.exe" SHADOWCOPY DELETE /nointeractive

➤ Выполняет команду "net" stop /y для: 

acronis, AcronisAgent, AcrSch, AcrSch2Svc, Afee, AVP, Back, backup, Backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecVSSProvider, BacupExecRPCService, bedbg, CAARCUpdateSvc, CASAD2WebSvc, ccEvtMgr, ccSetMgr, CCSF, DCAgent, EhttpSrv, ekrn, Endpoint, Enterprise, EPSecurity, EPUpdate, Eraser, EsgShKernel, ESHASRV, Exchange, FA_Scheduler, GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, IISAdmin, IMAP4, KAVF, klnagent, MBAM, McShield, memtas, mepocs, mfefire, mfemms, mfevtp, mms, Monitor, MsDts, NetMsmq, ntrt, PDVF, POP3, Report, RESvc, Smcinst, SmcService, SMTP, SNAC, sql, svc$, swi_, task, tmlisten, TrueKey, UIODetect, veeam, Veeam, VeeamNFSSvc, VeeamTransportSvc, vmcomp, vmwp, vss, W3S, wbengine, WRSVC, xchange, YooBackup, YooIT

➤ Атакующие использовали инструмент Cobalt Strike и инициировали разведывательные команды, такие как whoami, netstat, quser и netshare, чтобы облегчить горизонтальное перемещение по сети атакованной организации. Чтобы сохранить устойчивость, злоумышленники добавили нового пользователя. Затем они использовали инструмент wput для передачи файлов на свой FTP-сервер.

➤ Уже после шифрования вредоносная программа пытается выполнить следующую команду для удаления теневых резервных копий тома:

vssadmin.exe delete shadows /all /quiet

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVER-FILES.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Маркеры: 

Зашифрованные файлы содержат строку маркера "0x666", за которой следуют данные, добавленные Ransomware.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://threeam7***.onion/recovery 

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Данные с сайта вымогателей

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

SHA256: 307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Threat Hunter Team (Symantec)
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.