CyberVolk

CyberVolk Ransomware

Aliases: CyberBytes, Cyb3r Bytes

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+SHA-512+RSA-4096, а затем требует выкуп $1000 в BTC, чтобы вернуть файлы. Оригинальное название: CyberVolk. На файле написано: ransom.exe. Написан на C/C++. Группа называет себя CyberVolk. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.39187
BitDefender -> Trojan.GenericKD.73332128
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQW
Kaspersky -> HEUR:Trojan-Ransom.Win32.GenericCryptor.gen
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Ransom:Win32/CyberVolk.PA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> ***
TrendMicro -> Ransom_CyberVolk.R002C0DG524
---

© Генеалогия: родство выясняется >> CyberVolk

Сайт "ID Ransomware" идентифицирует это как CyberVolk с 5 июля 2024. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .cvenc 

Записка с требованием выкупа называется: CyberVolk_ReadMe.txt

Содержание записки о выкупе:

Greetings.

 All your files have been encrypted by CyberVolk ransomware.

 Please never try to recover your files without decryption key which I give you after pay. 

They could be disappeared� 

You should follow my words.

Pay $1000 BTC to below address.

My telegram : @hacker7

Our Team : https://t.me/cubervolk

We always welcome you and your payment.

Требования выкупа также написаны на экране блокировки, кроме того, меняются обои рабочего стола на собственные с тем же кибер-волком.  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CyberVolk_ReadMe.txt - название файла с требованием выкупа;

tmp.bmp - изображение, заменяющее обои рабочего стола; 

time.dat - специальный файл с цифрами; 
ransom.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\AppData\Local\Temp\Rar$DRb3416.36390\ransom.exe

C:\Users\admin\AppData\Roaming\time.dat

C:\Users\admin\AppData\Local\Temp\tmp.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -

Telegram: @hacker7

Telegram:  hxxxs://t.me/hackerk7

Telegram:  hxxxs://t.me/cubervolk

BTC: bc1q3c9pt084cafxfvyhn8wvh7mq04rq6naew0mk87

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, AR 

MD5: 648bd793d9e54fc2741e0ba10980c7de 

SHA-1: f5d0c94b2be91342dc01ecf2f89e7e6f21a74b90 

SHA-256: 102276ae1f518745695fe8f291bf6e69856b91723244881561bb1a2338d54b12 

Vhash: 086046655d1567z90058hz12z1bfz 

Imphash: f032b4cc0eb4f2eac3f528efe4c73962

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыдущий вариант от 25 июня 2024:

Самоназвание: Cyb3r Bytes (Cyberbytes) Ransomware 

Группа хакеров: Cyb3r Bytes Team

Сообщение >>

Расширение: .cvenc

Записка: CyberVolk_ReadMe.txt

Telegram: @xpolarized

Team: hxxxs://t.me/cyb3rbytes

IOC-1: VT, IA

IOC-2: VT, IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.39188

ESET-NOD32 -> A Variant Of Win32/Filecoder.OQWFortinet

Malwarebytes -> Ransom.CyberVolk

Microsoft -> Ransom:Win32/CyberVolk.PA!MTB

TrendMicro -> Ransom_CyberVolk.R011C0DG624

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, petik, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Wikipedia

Wikipedia Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей и виртуальных машин с помощью комбинации алгоритмов AES-128 CTR и RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Пострадавшие, сообщают, что дешифровщик, полученный после уплаты выкупа не работает с файлами больше 4 Гб и вымогатели не отвечают на претензии. Но, как показывает опыт, некоторые большие файлы могут быть повреждены после резета ПК, потому проблема может быть и не связана с дешифровщиком. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Wikipedia

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в июне 2024 г. и продолжилась в июле 2024. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wikipedia


Записки с требованием выкупа могут называться: 

how_to_decrypt_files.txt 

* Содержание записки, возможно частично изменено пострадавшим перед передачей файла. 

Содержание записки о выкупе:

ATTENTION !

All your files have been securely ENCRYPTED.

No third party decryption software EXISTS.

MODIFICATION or RENAMING encrypted files may cause decryption failure.

To start the decryption process, Contact me.

My email address: widosru39@tutamail.com

After the payment has been confirmed,

you will receive the decryptor for decryption!

Other information:

If you don't own bitcoin, you can buy it very easily here.

www.coinmama.com

www.bitpanda.com

www.localbitcoins.com

www.paxful.com

You can find a larger list here:

https://bitcoin.org/en/exchanges

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
 VHD-файлы виртуальных машин.

Файлы, связанные с этим Ransomware:
read me.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: widosru39@tutamail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

IN RUSSIAN: Для расшифровки файлов и исправления ошибок в шифровании обращайтесь в тему поддержки на форуме Bleeping Computer. Помощь предоставляется только пострадавшим, без посредников. 

---

IN ENGLISH: To decrypt files and fix files encryption errors, please contact the Support Topic on the Bleeping Computer forum. Assistance is provided only to affected users (extortion victims), without intermediaries.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Прямого родства пока не обнаружено. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 июля 2024:

Сообщение на форуме >>

Расширение: .wikipedia

Записка: how_to_decrypt_files.txt 

Email: itlomec2938@proton.me

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 quietman7, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Fog

Fog Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES и RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: locker_out.exe. Распространяется группой с одноименным названием. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.39051
BitDefender -> Trojan.GenericKD.72709544
ESET-NOD32 -> Win32/Agent.AGMY
Kaspersky -> Trojan-Ransom.Win32.Agent.bbre
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Rapidstop.E!cl
Rising -> Trojan.Kryptik!8.8 (TFE:2:Ypv5fBuNKuN)
Tencent -> ***
TrendMicro -> Ransom.Win32.FOG.THEOFBD
---

© Генеалогия: родство выясняется >> Fog

Сайт "ID Ransomware" идентифицирует Fog с 25 июня 2024.

Информация для идентификации

Активность этого крипто-вымогателя была замечена группой реагирования на инциденты Arctic Wolf с начала мая 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Был замечен в атаках на неназванных бизнес-пользователей в США. 

К зашифрованным файлам добавляются расширения: .fog или .flocked 

Записка с требованием выкупа называется: readme.txt

Оригинал записки не был предоставлен исследователями. Странные пошли исследователи...


Фраза с сайта вымогателей:
We call ourselves Fog and we take responsibility for this incident.

Перевод фразы на русский язык:
Мы называем себя Fog и берем ответственность за этот инцидент.


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Использует известные свободно  распространяемые инструменты PsExec, Metasploit, SoftPerfect Network Scanner, Advanced Port Scanner, SharpShares и файл PowerShell-скрипта Get-Creds.ps1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;

DbgLog.sys - специальный файл, используемый вымогателем для собственных целей;  

Get-Creds.ps1 - скрипт PowerShell, используемый для получения паролей от Veeam Backup и Replication Credentials Manager; 
locker_out.exe, lck.exe, fs.exe - названия вредоносных файлов в разных вариантах. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\locker_out.exe

C:\Users\User\AppData\Local\Temp\DbgLog.sys

C:\Users\User\Desktop\DbgLog.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://xql562evsy7njcsngacphc2erzjfecwotdkobn3m4uxu2gtqh26newid.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG

MD5: 617d79c02ebac68b613d5b7cdbf001fd 

SHA-1: 83f00af43df650fda2c5b4a04a7b31790a8ad4cf 

SHA-256: e67260804526323484f564eebeb6c99ed021b960b899ff788aed85bb7a9d75c3 

Vhash: 015066655d75155560a3z12z4ehz33z2fz 

Imphash: 3aee5e872c96d4317cae38099830979c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ArcticWolf, MalwareHunterTeam, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ShrinkLocker

ShrinkLocker Ransomware

BitLocker_Exploiter Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем оставляет email-адрес вместо названия системного диска, чтобы пострадавшие могли связаться с вымогателями по этому адресу и заплатить выкуп, чтобы расшифровать диск и вернуть файлы. Оригинальное название: неизвестно. Название "ShrinkLocker" было дано исследователями, описавшими его в Securelist на английском языке.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> HEUR:Trojan-Ransom.VBS.BitLock.a
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> ShrinkLocker

Сайт "ID Ransomware" идентифицирует ShrinkLocker с 25 июня 2024. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в апреле-мае 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Нацелен на промышленные и фармацевтические компании, государственные учреждения. Атаки были обнаружены в Мексике, Индонезии и Иордании.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.

К сожалению, исследователи из Securelist, несмотря  на обширное описание, не сообщили ничего о тексте с требованием выкупа. Есть только упоминание того, что на системном диске вместо стандартной метки появляется email-адрес вымогателей. Если никакой записки нет, то так и надо было сказать. Но сообщается о двух разных email-адресах. Откуда второй? Вероятно, он используется в другом варианте вымогателя. 

Однако администраторы не увидят эту метку, если они не загрузят устройство с помощью среды восстановления или других инструментов диагностики, поэтому контактный адрес очень легко не заметить.


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Основная вредоносная активность: 

ShrinkLocker использует для атаки и шифрования функционал Windows: BitLocker, VBScript, PowerShell. 

Вначале запускается вредоносный скрипт на VBScript (файл Disk.vbs). Он проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует BitLocker, причем это работает как для новых, так и для старых версии ОС, даже Windows Server 2008 и 2012. Если на компьютере используются более старые версии ОС Windows (XP, 2000, 2003, Vista), то сценарий автоматически завершает работу и удаляется.

ShrinkLocker изменяет параметры загрузки ОС, а затем пытается зашифровать разделы жесткого диска с помощью BitLocker. 

Также создается новый загрузочный раздел, чтобы можно было загрузить Windows и убедиться, что файлы зашифрованы. Кроме того, этот вымогатель  сохраняет индекс других разделов, а затем выполняет следующие действия с помощью консольной утилиты diskpart:

- уменьшает размер каждого незагрузочного раздела на 100 МБ, что создает 100 МБ нераспределенного пространства в каждом разделе, кроме загрузочного тома;

- разделяет нераспределенное пространство на новые первичные разделы по 100 МБ;

- форматирует разделы с помощью опции override, которая принудительно демонтирует том, если это необходимо, а затем определяет для каждого из них файловую систему и букву диска;

- активирует созданные разделы. 

Если процедура "уменьшения" разделов прошла успешно, ok используется в качестве переменной, и скрипт продолжает работу. 

Скрипт также меняет метку новых загрузочных разделов на email-адрес вымогателей, чтобы жертва могла связаться с ними.

После этого ShrinkLocker отключает средства защиты, используемые для защиты ключа шифрования BitLocker, и удаляет их. 

Дополнение: 

После шифрования дисков вредоносная программа удаляет средства защиты BitLocker (например, TPM, PIN-код, ключ запуска, пароль, пароль восстановления, ключ восстановления), чтобы лишить жертву возможности восстановить ключ шифрования BitLocker, который отправляется злоумышленнику.

Ключ, сгенерированный для шифрования файлов, представляет собой 64-значную комбинацию случайного умножения и замены переменной числами от 0 до 9, специальными символами и голоалфавитным предложением "The quick brown fox jumps over the lazy dog" (перевод: Быстрый бурый лис прыгает через ленивого пса).

Ключ доставляется через инструмент TryCloudflare, легальный сервис, позволяющий разработчикам экспериментировать с CloudFlare Tunnel без добавления сайта в DNS CloudFlare.

На заключительном этапе атаки ShrinkLocker заставляет систему завершить работу, чтобы все изменения вступили в силу, и оставляет пользователю заблокированные диски и отсутствие возможностей восстановления BitLocker.

Список типов файлов, подвергающихся шифрованию:
Вероятно все файлы на диске, среди них: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Disk.vbs - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ProgramData\Microsoft\Windows\Templates\Disk.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: onboardingbinder@proton.me

Email-1: conspiracyid9@protonmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 842f7b1c425c5cf41aed9df63888e768

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up-2, Topic of Support
 ***

 Thanks: 
 Securelist
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

El Dorado

El Dorado Ransomware

El-Dorado Ransomware

Eldorado Ransomware

El Dorado Doxware

(шифровальщик-вымогатель, публикатор, RaaS) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов Chacha20 (для файлов) и RSA-OAEP (для ключей), а затем требует связаться с вымогателями через чат на их сайте, чтобы узнать, как заплатить выкуп, чтобы вернуть файлы и не допустить публикацию украденных файлов. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38915
BitDefender -> Trojan.Generic.35873074
ESET-NOD32 -> A Variant Of WinGo/Filecoder.GG
Kaspersky -> Trojan.Win32.Renamer.bi
Malwarebytes -> Malware.AI.4072399573
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Tencent -> Win32.Trojan.Renamer.Udkl
TrendMicro -> Ransom.Win64.LDRADO.THEAEBD
---

© Генеалогия: LostTrust >> El Dorado

Сайт "ID Ransomware" идентифицирует El Dorado c 13 июня 2024. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .00000001

Записка с требованием выкупа называется: HOW_RETURN_YOUR_DATA.TXT

Содержание записки о выкупе:

To the board of directors.

Your network has been attacked through various vulnerabilities found in your system.

We have gained full access to the entire network infrastructure.

All your confidential information about all employees and all partners and developments 

has been downloaded to our servers and is located with us.

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

Our team has an extensive background in legal and so called white hat hacking.

However, clients usually considered the found vulnerabilities to be minor and poorly paid for our services.

So we decided to change our business model. Now you understand how important it is to allocate a good budget for IT security.

This is serious business for us and we really don't want to ruin your privacy, 

reputation and a company.

We just want to get paid for our work whist finding vulnerabilities in various networks.

Your files are currently encrypted with our tailor made state of the art algorithm.

Don't try to terminate unknown processes, don't shutdown the servers, do not unplug drives,

all this can lead to partial or complete data loss.

We have also managed to download a large amount of various, crucial data from your network.

A complete list of files and samples will be provided upon request.

We can decrypt a couple of files for free. The size of each file must be no more than 5 megabytes.

All your data will be successfully decrypted immediately after your payment.

You will also receive a detailed list of vulnerabilities used to gain access to your network.

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

If you refuse to cooperate with us, it will lead to the following consequences for your company:

1. All data downloaded from your network will be published for free or even sold

2. Your system will be re-attacked continuously, now that we know all your weak spots

3. We will also attack your partners and suppliers using info obtained from your network

4. It can lead to legal actions against you for data breaches

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

                   !!!!Instructions for contacting our team!!!!

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

  ---> Download and install TOR browser from this site : https://torproject.org

  ---> For contact us via LIVE CHAT open our website : hxxx://panelqbinglxczi2gqkwderfvgq6bcv5cbjwxrksjtvr5xv7ozh5wqad.onion/***

  ---> If Tor is restricted in your area, use VPN

  ---> All your Data will be published in 7 Days if NO contact made

  ---> Your Decryption keys will be permanently destroyed in 3 Days if no contact made

  ---> Your Data will be published if you will hire third-party negotiators to contact us

Перевод записки на русский язык:

Совету директоров.

Ваша сеть подверглась атаке через различные уязвимости, обнаруженные в вашей системе.

Мы получили полный доступ ко всей сетевой инфраструктуре.

Вся ваша конфиденциальная информация обо всех сотрудниках, всех партнерах и разработках загружена на наши серверы и находится у нас.

Наша команда имеет обширный опыт в юридической и так называемой белой хакерской деятельности.

Однако клиенты обычно считали найденные уязвимости незначительными и плохо оплачивали наши услуги.

Поэтому мы решили изменить нашу бизнес-модель. Теперь вы понимаете, насколько важно выделить хороший бюджет на ИТ-безопасность.

Для нас это серьезный бизнес, и мы действительно не хотим портить вашу конфиденциальность, репутацию и компанию.

Мы просто хотим получать оплату за свою работу по поиску уязвимостей в различных сетях.

Ваши файлы в настоящее время зашифрованы с помощью нашего современного алгоритма.

Не пытайтесь завершить неизвестные процессы, не выключайте серверы, не отключайте диски — все это может привести к частичной или полной потере данных.

Нам также удалось загрузить из вашей сети большое количество различных важных данных.

Полный список файлов и образцов будет предоставлен по запросу.

Мы можем бесплатно расшифровать пару файлов. Размер каждого файла должен быть не более 5 мегабайт.

Все ваши данные будут успешно расшифрованы сразу после оплаты.

Вы также получите подробный список уязвимостей, используемых для получения доступа к вашей сети.

Если вы откажетесь от сотрудничества с нами, это приведет к следующим последствиям для вашей компании:

1. Все данные, скачанные из вашей сети, будут опубликованы бесплатно или даже проданы.

2. Ваша система будет постоянно подвергаться повторным атакам, теперь, когда мы знаем все ваши слабые места.

3. Мы также будем атаковать ваших партнеров и поставщиков, используя информацию, полученную из вашей сети.

4. Это может привести к судебным искам против вас за утечку данных.

 !!!!Инструкция для связи с нашей командой!!!!

 ---> Загрузите и установите браузер TOR с этого сайта: https://torproject.org.

 ---> Чтобы связаться с нами через LIVE ЧАТ, откройте наш сайт: hxxx://panelqbinglxczi2gqkwderfvgq6bcv5cbjwxrksjtvr5xv7ozh5wqad.onion/***

 ---> Если Tor ограничен в вашем регионе, используйте VPN

 ---> Все ваши данные будут опубликованы через 7 дней, если НЕТ связи

 ---> Ваши ключи дешифрования будут безвозвратно уничтожены через 3 дня, если с вами не будет связи.

 ---> Ваши данные будут опубликованы, если вы наймете сторонних переговорщиков для связи с нами.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Начал предлагаться как решение RaaS на форумах Даркнета, в частности на форуме RAMP, с марта 2024 г., как программа-вымогатель для Windows и Linux.   

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Удаляет теневые копии файлов

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает, не шифрует файлы DLL, LNK, SYS, EXE, а также файлы и каталоги, связанные с загрузкой системы и основными функциями системы, чтобы не повредить работе системе и получить выкуп. 

Файлы, связанные с этим Ransomware:
HOW_RETURN_YOUR_DATA.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Tor-URL: hxxx://panelqbinglxczi2gqkwderfvgq6bcv5cbjwxrksjtvr5xv7ozh5wqad.onion/***

Tor-URL: hxxx://support7iybxvye6f6f5pcl6e6v4axi3u34ghrxljnjpytrw2p7p2iyd.onion/***

Email: -

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG

MD5: 9d1fd92ea00c6eef88076dd55cad611e 

SHA-1: a108c142dba8c9af5236ec64fe5a1ce04c54a3fb 

SHA-256: 8badf1274da7c2bd1416e2ff8c384348fc42e7d1600bf826c9ad695fb5192c74 

Vhash: 056066655d5d15541az28!z 

Imphash: f0ea7b7844bbc5bfa9bb32efdcea957c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Write-up (by Group-IB, on July 3, 2024), Write-up (by BC)

 Thanks: 
 pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.