Если вы не видите здесь изображений, то используйте VPN.

среда, 28 февраля 2024 г.

SecuredMe

SecuredMe Ransomware

ShellLocker 2024 Ransomware

Aliases: Dragon434, ShellLocker

(шифровальщик-вымогатель, блокировщик экрана) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей и блокирует к ним доступ, а затем требует выкуп в $50, чтобы разблокировать ПК и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: lock.exe.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.50
BitDefender -> Gen:Variant.MSILHeracles.35217
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BQ
Kaspersky -> HEUR:Trojan.MSIL.Locker.gen
Malwarebytes -> Ransom.ShellLocker
Microsoft -> Ransom:MSIL/FileCryptor.PE!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Msil.Trojan.Locker.Njgl
TrendMicro -> Ransom.MSIL.SHELLLOCKER.SMTH
---

© Генеалогия: ShellLocker (2016) >> 
SecuredMe (Dragon434)


Сайт "ID Ransomware" идентифицирует это как ShellLocker по известному с 2016 года расширению. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце февраля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .L0cked

Название зашифрованного файла вместе с расширением изменяется, примеры таких файлов:
5EnX.L0cked
UQ$I&t.L0cked

Текст с требованием выкупа написан на экране блокировки: 




Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Этот крипто-вымогатель блокирует горячие клавиши, чтобы пострадавший пользователь не мог закрыть окно блокировщика или переключиться на другие окна. 

Список типов файлов, подвергающихся шифрованию:
.001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .adf, .aep, .aepx, .aet, .aex, .ai, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFont, .config, .contact, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .dat, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .inx, .ion, .iso, .jar, .java, .jnt, .jnt, .jpeg, .jpg, .json, .kdc, .key, .lib, .lng, .lnk, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .SFX, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, 

Это документы MS Office, PDF, текстовые файлы, базы данных MS Access, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
lock.exe - название вредоносного файла;
svchost.exe - файл блокировщика экрана, добавляется в Автозагрузку.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: securedme@dnmx.org
Tor-URL: dragon434pnhqvzhv764bzsguroslimv4kpwtt5gp55dsg53stnoumid.onion
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: petikvx Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 2 февраля 2024 г.

Morok

Morok Ransomware

MorokTeam Ransomware

Aliases: M0r0k, Sunset Wolf

(шифровальщик-вымогатель, хакерская группа) (первоисточник на русском)
Translation into English


Morok Ransomware

Этот крипто-вымогатель используется хакерской группой MorokTeam для шифрования данные бизнес-пользователей, а затем они требуют связаться по email с вымогателями, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Morok Ransomware. На файле написано: registry32. Написан при помощи Python и использует алгоритм Fernet для рекурсивного шифрования файлов. Деятельность хакерской группы обнаружена экспертами из Angara Security. 
---
Обнаружения:
DrWeb -> Python.Encoder.188
BitDefender -> позорно не обнаруживает
ESET-NOD32 -> 
позорно не обнаруживает
Fortinet -> Python/Filecoder.MY!tr.ransom
Kaspersky -> ***
Malwarebytes -> позорно не обнаруживает
Microsoft -> позорно не обнаруживает
Rising -> ***
Tencent -> ***
TrendMicro -> позорно не обнаруживает
---

© Генеалогия: родство выясняется >>



Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность русскоязычной хакерской группы, разработавшей свой крипто-вымогатель, была замечена с ноября 2023 г. Ориентирован на российские организации и предприятия, потому с наибольшей степенью вероятности, хактивисты действуют из враждебно настроенной страны — Украины. 

К зашифрованным файлам никакое расширение пока не добавляется, но в начало зашифрованного файла добавляется строка MR !

Смотрите примеры строки в зашифрованных файлах: 




Записка с требованием выкупа написана на экране блокировки: 

Morok Ransomware note, записка о выкупе

Содержание записки о выкупе:
IF YOU CLOSE THIS WINDOWS YOUR FILES WILL BE ENCRYPTED FOREVER
---
Your files are encrypted
Contact to MorOk Team to get Decrypt Key
m0r0kt34m@gmail.com

Перевод записки на русский язык:
ЕСЛИ ЗАКРОЕТЕ ЭТО ОКНО, ВАШИ ФАЙЛЫ БУДУТ ЗАШИФРОВАНЫ НАВСЕГДА
---
Ваши файлы зашифрованы
Контакт с MorOk Team, чтобы получить ключ расшифровки
m0r0kt34m@gmail.com


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

После проникновения атакующие создают учётные записи, добавляемые затем в привилегированные группы. Названия этих учётных данных должны быть похожи на фамилии действующих сотрудников. 
Для закрепления в скомпрометированной сети и коммуникации с сервером управления с помощью утилиты ngrok выполняется проброса порта 3389 (RDP), что позволяет открыть доступ к внутренним ресурсам машины.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
registry32 - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0r0kt34m@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 24e39519ee702cb2a6656cd03f4b9b0c 
SHA-1: 72e82b1ae36c84a966351b53c3d8f06d603f783b 
SHA-256: 762237bf9f23bd83e6e5bc156781dd0b68f6405402687d927c1b94c99afef56e


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: Angara Security, petikvx Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *