GhostLocker

GhostLocker Ransomware

GhostLocker 2.0 Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в #BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Распространяется группой GhostSec. 
---
Обнаружения (нет файла ранней версии):
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> GhostLocker

Сайт "ID Ransomware" GhostLocker пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя началась в начале октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .ghost

Записка с требованием выкупа называется: lmao.html

Содержание записки о выкупе:

GhostLocker

We run shit because we can

ALL YOUR IMPORTANT FILES ARE STOLEN AND ENCRYPTED

YOUR PERSONAL ENCRYPTION ID: *** (SAVE THIS)

All your important files have been stolen and encrypted with RSA-2048 and AES-128 military grade ciphers. That means that no matter how much you were to try, the only way to get your files back is working with us and following our demands.

You have 48 hours (2 days) to contact us. If you do not make an effort to contact us within that time-frame, the ransom amount will increase.

If you do not pay the ransom, your files will be destroyed forever.

---

You can contact us on the following

***

---

Attention

DO NOT pay the ransom to anyone else than the top contact information mentioned up there.

DO NOT rename the encrypted files

DO NOT try to decrypt your data using third party software, it may cause permanent data loss

Any involvement of law enforcement/data recovery teams/third party security vendors will lead to permanent loss of data and a public data release immediately

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
lmao.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 139D210C68BD57025DF70D94570DECB5

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новости от 16-17 октября 2023:

Сообщение >>

Сообщение >>

Группа вымогателей Stormous объявила, что в дополнение к StormousX они будут использовать GhostLocker Ransomware в сотрудничестве с GhostSec.

Вариант от 19 ноября 2023:

Новый вариант: GhostLocker 2.0 

Сообщение >>

Расширение: .ghost

Записка: lmao.html или RansomNote.html

---

IOC: VT, IA, TG + TG

MD5: 8ad67a1b7a5f2428c93f7a13a398e39c 

SHA-1: d4f71fc5479a02c8ff57c90fc67b948adb5604e0 

SHA-256: 8b758ccdfbfa5ff3a0b67b2063c2397531cf0f7b3d278298da76528f443779e9 

Vhash: 0760f6655d55551555757az2d!z 

Imphash: 4f2f006e2ecf7172ad368f8289dc96c1

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.38480

BitDefender -> Generic.Ransom.Snatch.26EF41A1

ESET-NOD32 -> A Variant Of WinGo/Filecoder.FE

Kaspersky -> Trojan-Ransom.Win32.Crypren.ajpw

Malwarebytes -> Ransom.GhostLocker

Microsoft -> Ransom:Win64/GhostLocker.YAA!MTB

Symantec -> Trojan.IcedID

Tencent -> Win32.Trojan-Ransom.Crypren.Udkl

TrendMicro -> Ransom.Win64.GHOSTLOCKER.THKBOBC

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, FalconFeedsio, Dark Web Intelligence, Brute Bee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.