3AM Ransomware
Three-AM-time Ransomware
3AM Doxware
(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство не выявлено >> 3AM
Информация для идентификации
Ранняя активность этого крипто-вымогателя была обнаружена гораздо раньше, но рассказано о ней было только 13 сентября 2023 г. в отчете Symantec Threat Hunter Team, описавших единственный инцидент, но не предоставивших публичный образец для исследования.
По утверждению Symantec THT, атакующие сначала пытались использовать один из вариантов LockBit Ransomware, но когда LockBit был заблокирован, они запустили неизвестный на том момент 3AM Ransomware. Злоумышленникам удалось развернуть его только на трех компьютерах в сети организации, но и он был заблокирован на двух из трех компьютеров.
Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .threeamtime
Записка с требованием выкупа называется: RECOVER-FILES.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Программа-вымогатель сначала пытается настроить атакованный компьютер под себя, удалить бэкапы и теневые копии файлов, остановить несколько служб на зараженном компьютере, прежде чем начнет шифровать файлы. Подробности ниже.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RECOVER-FILES.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Записка с требованием выкупа называется: RECOVER-FILES.txt
Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more.
We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used.
Please contact us as soon as possible, using Tor-browser:
hxxx://threeam7***.onion/recovery
Access key:
[32 CHARS SPECIFIED BY -k COMMAND LINE PARAMETER]
Перевод записки на русский язык:
Привет. "3 часа ночи" Время мистики, не так ли?
Все ваши файлы загадочным образом зашифрованы, а системы "не подают признаков жизни", резервные копии исчезли. Но мы можем очень быстро это исправить и вернуть все ваши файлы и работу систем в исходное состояние.
Все ваши попытки восстановить данные самостоятельно приведут к их порче и невозможности восстановления. Мы не рекомендуем Вам делать это самостоятельно!!! (или делаете на свой страх и риск).
Есть еще один важный момент: мы украли из вашей локальной сети довольно большой объем конфиденциальных данных: финансовые документы; персональные данные ваших сотрудников, клиентов, партнеров; рабочая документация, почтовая корреспонденция и многое другое.
Мы предпочитаем держать это в секрете, у нас нет цели разрушить ваш бизнес. Поэтому с нашей стороны утечки быть не может.
Предлагаем договориться и заключить сделку.
В противном случае ваши данные будут проданы в DarkNet/DarkWeb. Можно только догадываться, как они будут использоваться.
Напишите нам как можно скорее, используя Tor-браузер:
hxxx://threeam7***.onion/recovery
Ключ доступа:
[32 СИМВОЛА ***]
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Программа-вымогатель сначала пытается настроить атакованный компьютер под себя, удалить бэкапы и теневые копии файлов, остановить несколько служб на зараженном компьютере, прежде чем начнет шифровать файлы. Подробности ниже.
➤ Настраивает под себя файервол Windows:
"netsh.exe" advfirewall firewall set rule "group=”Network Discovery”" new enable=Yes
➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:
"wbadmin.exe" delete systemstatebackup -keepVersions:0 -quiet
"wbadmin.exe" DELETE SYSTEMSTATEBACKUP
"wbadmin.exe" DELETE SYSTEMSTATEBACKUP -deleteOldest
"bcdedit.exe" /set {default} recoveryenabled No
"bcdedit.exe" /set {default} bootstatuspolicy ignoreallfailures
"wmic.exe" SHADOWCOPY DELETE /nointeractive
➤ Выполняет команду "net" stop /y для:
acronis, AcronisAgent, AcrSch, AcrSch2Svc, Afee, AVP, Back, backup, Backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecVSSProvider, BacupExecRPCService, bedbg, CAARCUpdateSvc, CASAD2WebSvc, ccEvtMgr, ccSetMgr, CCSF, DCAgent, EhttpSrv, ekrn, Endpoint, Enterprise, EPSecurity, EPUpdate, Eraser, EsgShKernel, ESHASRV, Exchange, FA_Scheduler, GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, IISAdmin, IMAP4, KAVF, klnagent, MBAM, McShield, memtas, mepocs, mfefire, mfemms, mfevtp, mms, Monitor, MsDts, NetMsmq, ntrt, PDVF, POP3, Report, RESvc, Smcinst, SmcService, SMTP, SNAC, sql, svc$, swi_, task, tmlisten, TrueKey, UIODetect, veeam, Veeam, VeeamNFSSvc, VeeamTransportSvc, vmcomp, vmwp, vss, W3S, wbengine, WRSVC, xchange, YooBackup, YooIT
➤ Атакующие использовали инструмент Cobalt Strike и инициировали разведывательные команды, такие как whoami, netstat, quser и netshare, чтобы облегчить горизонтальное перемещение по сети атакованной организации. Чтобы сохранить устойчивость, злоумышленники добавили нового пользователя. Затем они использовали инструмент wput для передачи файлов на свой FTP-сервер.
➤ Уже после шифрования вредоносная программа пытается выполнить следующую команду для удаления теневых резервных копий тома:
vssadmin.exe delete shadows /all /quiet
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RECOVER-FILES.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Маркеры:
Зашифрованные файлы содержат строку маркера "0x666", за которой следуют данные, добавленные Ransomware.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://threeam7***.onion/recovery
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://threeam7***.onion/recovery
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Данные с сайта вымогателей
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA256: 307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Topic of Support ***
Thanks: Threat Hunter Team (Symantec) Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
