Cataka

Cataka Ransomware

CATAKA Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в $1500 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: clip.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38146
BitDefender -> Generic.Ransom.Small.D5A61D14
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.B
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Chaos.MSIL
Microsoft -> Trojan:Win32/ScarletFlash.A
Rising -> Ransom.HakunaMatata!1.E7BF (CLASSIC)
Tencent -> Malware.Win32.Gencirc.13f35a47
TrendMicro -> Ransom.MSIL.HAKUNAMATATA.THJBEBC
---

© Генеалогия: ✂ Chaos + другой код >>

Сайт "ID Ransomware это не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине — конце октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется случайное расширение: .<random>

Примеры таких расширений: 

.qMQea

.yPkJX

.5TgUi

Записка с требованием выкупа называется: Readme.txt

Содержание записки о выкупе:

--- CATAKA RANSOMWARE---

Oops sorry your file has been encrypted using a very strong algorithm.

It might be impossible to open it without a special key from me.

But don't worry, because you can still recover all files that have been encrypted using my key.

To get the key, you can buy it for $1500 using Bitcoin currency.

If you are interested in making a payment, 

Contact email: itsevilcorp90@hotmail.com

Перевод записки на русский язык:

--- CATAKA RANSOMWARE---

К сожалению, ваш файл зашифрован с очень надежным алгоритмом.

Возможно, его невозможно открыть без моего специального ключа.

Но не волнуйтесь, вы можете восстановить все файлы, зашифрованные с помощью моего ключа.

Чтобы получить ключ, вы можете купить его за $1500 в валюте Биткойн.

Если вы заинтересованы в совершении платежа,

Пишите на email: itevilcorp90@hotmail.com

Записка с указанием на прочтение текстового файла написана на изображении, заменяющем обои Рабочего стола: 

Текст на экране:

All your files are stolen and encrypted

Find readme.txt and follow the instruction

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Прибивает приложения, чтобы не мешали шифровать файлы:

agntsvc, CNTAoSMgr, code, dbeng50, dbsnmp, encsvc, excel, firefoxconfig, infopath, isqlplussvc, mbamtray msaccess, msftesql, mspub, mydesktopqos, mydesktopservice, mysqld, mysqld-nt, mysqld-opt, Ntrtscan, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, PccNTMon, powerpnt, ProcessHacker, sqbcoreservice, sqlagent, sqlbrowser, sqlservr, sqlwriter, steam, synctime, tbirdconfig, thebat, thebat64, thunderbird, tmlisten, VBoxSVC, VirtualBoxVM, visio, vmplayer, winword, wordpad, wps, xfssvccon, zoolz 

Список типов файлов, подвергающихся шифрованию:
.1c, .1cd, .3ds, .3fr, .3g2, .3gp, .7z, .7zip, .accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .ace, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .amv, .apk, .arj, .arw, .ascx, .asm, .asmx, .asp, .aspx, .avi, .avs, .backup, .bak, .bay, .bin, .bk, .blob, .bmp, .bz2, .c, .cab, .cer, .cfm, .ckp, .config, .contact, .core, .cpp, .crt, .cs, .css, .csv, .cub, .cvs, .dacpac, .dae, .dat, .db, .db3, .dbc, .dbf, .dbs, .dbt, .dbv, .dbx, .dc3, .dcm, .dcr, .dib, .dic, .dif, .divx, .djvu, .dmg, .doc, .docm, .docx, .dot, .dotx, .dt, .dwg, .dwt, .epsp, .exif, .exr, .f4v, .flv, .frm, .geo, .gif, .gz, .gzip, .htm, .html, .ibank, .ico, .iff, .inc, .indd, .ini, .iso, .jar, .java, .jpe, .jpeg, .jpg, .js, .json, .json, .jsp, .jsp, .jsx .key, .kmz, .kwm, .lnk, .log, .lzh, .lzma, .lzo, .m1v, .m4a, .m4p, .m4v, .max, .mda, .mdb, .mde, .mdf, .mdw, .mht, .mhtml, .mka, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrg, .mrg, .msg, .mwb, .myd, .myi, .ndf, .nef, .nrw, .obj, .odc, .odm, .odp, .ods, .odt, .oft, .onepkg, .onetoc2, .opt, .oqy, .orf, .ova, .p12, .p7b, .p7c, .pam, .pas, .pdb, .pdf, .pfx, .php, .pict, .pl, .pls, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppt, .pptm, .pptx, .ps, .psb, .psd, .pst, .py, .qry, .r3d, .rar, .raw, .rb, .rgbe, .rss, .rtf, .safe, .sdb, .sdf, .settings, .sie, .slk, .sln, .sql, .sqlite, .sqlite3, .stm, .sum, .svg, .svgz, .swf, .swift, .tab, .tar, .tar.gz, .tar.xz, .tbi, .tgz, .tif, .tmd, .torrent, .txt, .txz, .udl, .uxdc, .vb, .vbox, .vbs, .vdi, .vmdk, .vmx, .vob, .vsdx, .vss, .wallet, .wav, .wdb, .webm, .wim, .wma, .wmf, .wmv, .wpd, .wps, .xhtml, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp2, .xz, .z, .zip, .zipx

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, изображения, фотографии, чертежи, 1С-файлы, веб-файлы, музыка, видео, файлы образов, архивы и пр.

Пропускает файлы и папки: 

$recycle.bin,

autorun.inf, 

boot.ini, bootfont.bin, bootmgr, bootmgr.efi, bootmgfw.efi, 

.bat, .bat.exe, clip.exe и другие exe-файлы, 

desktop.ini, iconcache.db, 

ntuser.dat, ntuser.ini, 

thumbs.db, 

windows, windows.old, windows.old.old, 

amd, boot, games, msocache, nvidia, 

documents and settings, intel, perflogs, 

program files, program files (x86), programdata, 

Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;
clip.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: itsevilcorp90@hotmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Скриншоты из pestudio:

Скриншоты из dnSpy:

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1974b3efe52893678a024e9fe8ff07a0

SHA-1: 4d5b9d7b81cf7e38e65d402bf30a3b90f7271022

SHA-256: 38e48171841e732efe6ce8b4713c315a805a6cbb347eb98b9a6e4daeb230b095

Vhash: 22403655151d00812b0017

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Secles

Secles Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями через Telegram, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Secles. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Secles

Сайт "ID Ransomware" идентифицирует это как Secles (c 13 января 2024). 

Информация для идентификации

Активность этого крипто-вымогателя была в середине октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .secles

Фактически для зашифрованных файлов используется не только расширение, но составное имя файла по шаблону:

.id[victim_ID].[contact].Original_file_name.doc.secles

Пример зашифрованного файла: 

 .id[iVqVdOay].[t.me_seclesbot].Document.doc.secles

В корне диска создается папка C:\secles

Записка с требованием выкупа называется: ReadMe.txt

Содержание записки о выкупе:

to recover your data install telgram messanger at @seclesbot ( https://t.me/seclesbot ) you will talk with support using the bot , admin will be monitoring

if for any reason bot is not avaiable you can find link and id of new bot at our onion site 

2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion  

you will need to install tor browser for that ( https://www.torproject.org/download/ ) you dont need to install tor if our telegram bot is working

you id is : iVqVdOay

you will get two sample decryption (decoding) before any payment for free 

this is strong ransomware, any day you waste without paying is one business day you waste

our price is reasonable,the wasted days will cost you more 

some notes:

1-although illegal and bad but this is business,you are our client after infection and we will treat you like respectfully like a client and we have reputation 

2-do not delete files at c:\seles , if you want to change os take a backup of the folder 

3-do not play with encrypted file, take a backup if you want to waste some time playing with them

4-if you take a middleman do deal with us directly , take one with good reputation ,we always provide decryptor after payment and only ask for one payment , if you take a random middle man from interner he may take you money and not pay as and disappear or lie to you

Перевод записки на русский язык:
*** Текст записки содержит много ошибок, поэтому переводить его нет смысла. ***


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\secles

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @seclesbot

Tor-URL: hxxx://2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion 

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

GhostLocker

GhostLocker Ransomware

GhostLocker 2.0 Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в #BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Распространяется группой GhostSec. 
---
Обнаружения (нет файла ранней версии):
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> GhostLocker

Сайт "ID Ransomware" GhostLocker пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя началась в начале октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .ghost

Записка с требованием выкупа называется: lmao.html

Содержание записки о выкупе:

GhostLocker

We run shit because we can

ALL YOUR IMPORTANT FILES ARE STOLEN AND ENCRYPTED

YOUR PERSONAL ENCRYPTION ID: *** (SAVE THIS)

All your important files have been stolen and encrypted with RSA-2048 and AES-128 military grade ciphers. That means that no matter how much you were to try, the only way to get your files back is working with us and following our demands.

You have 48 hours (2 days) to contact us. If you do not make an effort to contact us within that time-frame, the ransom amount will increase.

If you do not pay the ransom, your files will be destroyed forever.

---

You can contact us on the following

***

---

Attention

DO NOT pay the ransom to anyone else than the top contact information mentioned up there.

DO NOT rename the encrypted files

DO NOT try to decrypt your data using third party software, it may cause permanent data loss

Any involvement of law enforcement/data recovery teams/third party security vendors will lead to permanent loss of data and a public data release immediately

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
lmao.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 139D210C68BD57025DF70D94570DECB5

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новости от 16-17 октября 2023:

Сообщение >>

Сообщение >>

Группа вымогателей Stormous объявила, что в дополнение к StormousX они будут использовать GhostLocker Ransomware в сотрудничестве с GhostSec.

Вариант от 19 ноября 2023:

Новый вариант: GhostLocker 2.0 

Сообщение >>

Расширение: .ghost

Записка: lmao.html или RansomNote.html

---

IOC: VT, IA, TG + TG

MD5: 8ad67a1b7a5f2428c93f7a13a398e39c 

SHA-1: d4f71fc5479a02c8ff57c90fc67b948adb5604e0 

SHA-256: 8b758ccdfbfa5ff3a0b67b2063c2397531cf0f7b3d278298da76528f443779e9 

Vhash: 0760f6655d55551555757az2d!z 

Imphash: 4f2f006e2ecf7172ad368f8289dc96c1

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.38480

BitDefender -> Generic.Ransom.Snatch.26EF41A1

ESET-NOD32 -> A Variant Of WinGo/Filecoder.FE

Kaspersky -> Trojan-Ransom.Win32.Crypren.ajpw

Malwarebytes -> Ransom.GhostLocker

Microsoft -> Ransom:Win64/GhostLocker.YAA!MTB

Symantec -> Trojan.IcedID

Tencent -> Win32.Trojan-Ransom.Crypren.Udkl

TrendMicro -> Ransom.Win64.GHOSTLOCKER.THKBOBC

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, FalconFeedsio, Dark Web Intelligence, Brute Bee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Lambda

Lambda Ransomware

Lambda Ransomware (2023)

LambdaCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов (возможно: Curve25519, ChaCha20), а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: LambdaCrypter.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38085
BitDefender -> Gen:Variant.ClipBanker.180
ESET-NOD32 -> Win32/Filecoder.OPB
Kaspersky -> HEUR:Trojan-Ransom.Win32.Gen.gen
Malwarebytes -> Malware.AI.1027041180
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.100 (RDML:h7*
Tencent -> Malware.Win32.Gencirc.11b74af6
TrendMicro -> Ransom.Win32.CELANCYC.THJOFBC
---

© Генеалогия: ✂ Proxima >> ✂ BTC-azadi, BTC-azadi NG, BlackShadow, BlackRecover и другие > Lambda (2023)

Сайт "ID Ransomware" идентифицирует это как Lambda Ransomware. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Lambda


Записка с требованием выкупа называется: LAMBDA_README.txt

Содержание записки о выкупе:

[[=== Lambda Ransomware ===]]

[+] What's happened?

All your files are encrypted and stolen, but you need to follow our instructions. otherwise, you cant return your data (NEVER).

[+] What guarantees?

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.

To check the ability of returning files, we decrypt one file for free. That is our guarantee.

If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. time is much more valuable than money.

[+] Instructions:

a) Download and install Tor Browser from this site: https://www.torproject.org/

b) Open our website: hxxx://nn5ua7gc7jkllpoztymtfcu64yjm7znlsriq3a6v5kw7l6jvirnczyyd.onion

c) Enter this UID in the input: ****************

!!! DANGER !!!

DON'T try to change files by yourself, DON'T use any third party software for restoring your data or antivirus/edr solutions - its may entail damage of the private key and, as result, The Loss all data.

SPEAK for yourself. Since no one else has the private key, any interfere of third party companies/individuals is tantamount to scamming you.

ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.

!!! !!! !!!

Перевод записки на русский язык:

[[=== Lambda Ransomware ===]]

[+] Что случилось?

Все ваши файлы зашифрованы и украдены, но вам нужно следовать нашим инструкциям. иначе вы не сможете вернуть свои данные (НИКОГДА).

[+] Какие гарантии?

Это просто бизнес. Нам абсолютно плевать на вас и ваши сделки, кроме получения выгоды. Если мы не выполним свою работу и обязательства – с нами никто сотрудничать не будет. Это не в наших интересах.

Для проверки возможности возврата файлов мы бесплатно расшифруем один файл. Это наша гарантия.

Если вы не будете сотрудничать с нашим сервисом – для нас это не имеет значения. Но вы потеряете свое время и данные, ведь приватный ключ есть только у нас. время гораздо ценнее денег.

[+] Инструкции:

а) Загрузите и установите Tor Browser с этого сайта: https://www.torproject.org/

б) Откройте наш сайт: hxxx://nn5ua7gc7jkllpoztymtfcu64yjm7znlsriq3a6v5kw7l6jvirnczyyd.onion

в) Введите этот UID во входные данные: ****************

!!! ОПАСНОСТЬ !!!

НЕ пытайтесь изменить файлы сами, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные/EDR-решения - это может повлечь за собой повреждение закрытого ключа и приведет к потере всех данных.

Говори за себя. Поскольку никто больше не имеет закрытого ключа, любое вмешательство сторонних компаний/частных лиц равносильно мошенничеству.

ЕЩЕ РАЗ: В ваших интересах вернуть свои файлы. Мы со своей стороны (лучшие специалисты) делаем все для восстановления, но просьба не мешать.

!!! !!! !!!

Добавляет текст на экран входа Windows: 
All of your files are stolen and encrypted!Find LAMBDA_README.txt and follow instructions

Интересные "Hello Kitty" и "hot-dog" в коде:

 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Препятствует восстановлению файлов: 

Удаляет теневые копии файлов, очищает журналы системы, очищает корзины от удаленных файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, бэкапы, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LAMBDA_README.txt - название файла с требованием выкупа;

LLTKTPF.bmp, LPW10.tmp, 0F3LWP.tmp - вспомогательные временные файлы; 

LambdaDebug.txt - файл записи отладочной информации; 
LambdaCrypter.exe - название вредоносного файла. 

Скриншоты из pestudio:

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
SOFTWARE\Classes\.Lambda\DefaultIcon

См. ниже результаты анализов.

Мьютексы:

Global\ClickToRunPackageLocker

Global\LambdaMutex

См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://nn5ua7gc7jkllpoztymtfcu64yjm7znlsriq3a6v5kw7l6jvirnczyyd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6c292c92e703a155612fe50ea96161d1

SHA-1: e6ea7c6f564a2fbe15beaf3419dc334d536f250c

SHA-256: a1bcb4ceb586cd9dc78323ce2888080ea88a58708a3a95e546bff46d74fc13c8

Vhash: 025056655d15556155zc00771z3041z4045z4061z51z71zf7z

Imphash: 1c948a2965f69dde54a4b06b3846df84

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023

BTC-azadi Ransomware - январь 2023

Cylance Ransomware - март 2023

BTC-azadi NextGen Ransomware - с марта 2023

другие варианты - март-апрель-май 2023

BlackShadow Ransomware - май-июль 2023

BlackBerserk (BlackRecover) Ransomware - с июля 2023

другие варианты - август-ноябрь 2023

Lambda (LambdaCrypter) Ransomware - октябрь 2023

Synapse Ransomware (Exotic) Ransomware - февраль 2024

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 10 февраля 2024: 

Самоназвание: SynapseCrypter Ransomware

Доп. название: Exotic Ransomware

Сообщение >>

Расширение: .Synapse

Записка: RO9qk5Nq7.README.txt

Tor-URL: hxxx://ugoakjk3v6hop3epjhdgn4num43ndb5glgixhraeg2xm455gxqtu2qid.onion

Файл: SynapseCrypter.exe

IOC: VT, IA

MD5: 4b33216a968a3a12895b87b9ee258637 

SHA-1: 1667d33737263cfe955429bd704b1190070026db 

SHA-256: aaf01487c83e889aae33f7e8874f1f96eb3ed50b894af513872c10812bff983f 

Vhash: 025056655d15556265zc00841z7051z4043z204081z51z500117z 

Imphash: a7865d61935a63d927451a29461faab5

Обнаружения: 

DrWeb -> Trojan.Encoder.38619

ESET-NOD32 -> A Variant Of Win32/Filecoder.LambdaCrypter.A

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Tencent -> Win32.Trojan.Filecoder.Rimw

TrendMicro -> TROJ_GEN.R002H09BC24

---

Шифровальшик пропускает папки:

$recycle.bin, config.msi, $windows.~bt, $windows.~ws, windows, windows nt, windows.old, boot, programdata, system volume information, tor browser, intel, msocache, perflogs, public, all users, default, microsoft, Microsoft Visual Studio 16.0

Шифровальшик пропускает файлы:

autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db, GDIPFONTCACHEV1.DAT, d3d9caps.dat 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Michael Gillespie, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.