Morok Ransomware
MorokTeam Ransomware
Aliases: M0r0k, Sunset Wolf
(шифровальщик-вымогатель, хакерская группа) (первоисточник на русском)
Translation into English
---
Обнаружения:
DrWeb -> Python.Encoder.188
BitDefender -> позорно не обнаруживает
ESET-NOD32 -> позорно не обнаруживает
Fortinet -> Python/Filecoder.MY!tr.ransom
Kaspersky -> ***
Malwarebytes -> позорно не обнаруживает
Microsoft -> позорно не обнаруживает
Rising -> ***
Tencent -> ***
TrendMicro -> позорно не обнаруживает
---
© Генеалогия: родство выясняется >>
Kaspersky -> ***
Malwarebytes -> позорно не обнаруживает
Microsoft -> позорно не обнаруживает
Rising -> ***
Tencent -> ***
TrendMicro -> позорно не обнаруживает
---
© Генеалогия: родство выясняется >>
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность русскоязычной хакерской группы, разработавшей свой крипто-вымогатель, была замечена с ноября 2023 г. Ориентирован на российские организации и предприятия, потому с наибольшей степенью вероятности, хактивисты действуют из враждебно настроенной страны — Украины.
К зашифрованным файлам никакое расширение пока не добавляется, но в начало зашифрованного файла добавляется строка MR !
Смотрите примеры строки в зашифрованных файлах:
Записка с требованием выкупа написана на экране блокировки:
Содержание записки о выкупе:
IF YOU CLOSE THIS WINDOWS YOUR FILES WILL BE ENCRYPTED FOREVER
---
Your files are encrypted
Contact to MorOk Team to get Decrypt Key
m0r0kt34m@gmail.com
Перевод записки на русский язык:
ЕСЛИ ЗАКРОЕТЕ ЭТО ОКНО, ВАШИ ФАЙЛЫ БУДУТ ЗАШИФРОВАНЫ НАВСЕГДА
---
Ваши файлы зашифрованы
Контакт с MorOk Team, чтобы получить ключ расшифровки
m0r0kt34m@gmail.com
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
После проникновения атакующие создают учётные записи, добавляемые затем в привилегированные группы. Названия этих учётных данных должны быть похожи на фамилии действующих сотрудников.
Для закрепления в скомпрометированной сети и коммуникации с сервером управления с помощью утилиты ngrok выполняется проброса порта 3389 (RDP), что позволяет открыть доступ к внутренним ресурсам машины.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
registry32 - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: m0r0kt34m@gmail.com
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
registry32 - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: m0r0kt34m@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 24e39519ee702cb2a6656cd03f4b9b0c
SHA-1: 72e82b1ae36c84a966351b53c3d8f06d603f783b
SHA-256: 762237bf9f23bd83e6e5bc156781dd0b68f6405402687d927c1b94c99afef56e
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: Angara Security, petikvx Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
