Embargo

Embargo Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Embargo. На файле написано: что попало. Распространитель: EMBARGO Team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.38947
BitDefender -> Gen:Variant.Ser.Babar.7654
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQO
Kaspersky -> Trojan.Win32.Renamer.ch
Malwarebytes -> Malware.AI.4072450021
Microsoft -> Trojan:Win32/Trickbot
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bfece7
TrendMicro -> Ransom.Win32.EMBARGO.THEAFBD
---

© Генеалогия: родство выясняется >> Embargo

Сайт "ID Ransomware" идентифицирует это как Embargo. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине апреля и мае 2024 г. Первая пострадавшая компания, судя по дате на сайте вымогателей, была в апреле. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .<random>

В рассмотренном образце расширение было: .564ba1

Записка с требованием выкупа называется: HOW_TO_RECOVER_FILES.txt

Содержание записки о выкупе:

Your network has been chosen for Security Audit by EMBARGO Team.

We successfully infiltrated your network, downloaded all important and sensitive documents, files, databases, and encrypted your systems.

You must contact us before the deadline 2024-05-21 06:25:37 +0000 UTC, to decrypt your systems and prevent your sensitive information from disclosure on our blog:

hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion/

Do not modify any files or file extensions. Your data maybe lost forever.

Instructions:

1. Download torbrowser: https://www.torproject.org/download/

2. Go to your registration link:

=================================

hxxx://5ntlvn7lmkezscee2vhatjaigkcu2rzj3bwhqaz32snmqc4jha3gcjad.onion/#/37f1061d6f6281a4598f130979ad77c8

=================================

3. Register an account then login

If you have problems with this instructions, you can contact us on TOX:

9500B1A73716BCF40745086F7184A33EA0141B7D3F852431C8FDD2E1E8FAF9277E9FDC117B47

After payment for our services, you will receive:

- decrypt app for all systems

- proof that we delete your data from our systems

- full detail pentest report

- 48 hours support from our professional team to help you recover systems and develop Disaster Recovery plan

IMPORTANT: After 2024-05-21 06:25:37 +0000 UTC deadline, your registration link will be disabled and no new registrations will be allowed.

If no account has been registered, your keys will be deleted, and your data will be automatically publish to our blog and/or sold to data brokers.

WARNING: Speak for yourself. Our team has many years experience, and we will not waste time with professional negotiators.

If we suspect you to speaking by professional negotiators, your keys will be immediate deleted and data will be published/sold.

Перевод записки на русский язык:
*** не производится ***


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVER_FILES.txt - название файла с требованием выкупа;
21353d65b457518570bffc8a03038ee0_NeikiAnalytics.exe -  название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Tor-URL: hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion/

Tor-URL: hxxx://5ntlvn7lmkezscee2vhatjaigkcu2rzj3bwhqaz32snmqc4jha3gcjad.onion/

TOX: 9500B1A73716BCF40745086F7***

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 21353d65b457518570bffc8a03038ee0 

SHA-1: b0c2e8ff737a4d3c331a5a581f7042eed4f69a9d 

SHA-256: 98cc01dcd4c36c47fc13e4853777ca170c734613564a5a764e4d2541a6924d39 

Vhash: 0660976d15555c0d5d1d0128z912002041z1055z1az197z 

Imphash: 34773aa4f6cf4d8f1a14b905cdde38e1

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Dark Web Informer, PCrisk, petikvx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.