Risen Ransomware
Risen Doxware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Siggen28.22418
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win32/Filecoder.BlackHunt.B
Kaspersky -> Trojan.Win32.Diztakun.cdhg
Malwarebytes -> Ransom.Risen
Microsoft -> Ransom:Win32/ContiCrypt.PADD!MTB
Rising -> Ransom.Destructor!1.B060 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bfd320
TrendMicro -> Ransom.Win32.RISNE.THDAGBD
---
© Генеалогия: ✂ BlackHunt >> Risen
Информация для идентификации
Активность этого крипто-вымогателя была в марте-апреле 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .<random_ID>
Фактически используется составное расширение по шаблону:
.[ransom_email, TELEGRAM:ID].random_ID
Пример такого расширения:
.[dectokyo@onionmail.org, TELEGRAM:@tokyosupp].IKA1UBO0IZ
Записки с требованием выкупа называются:
Содержание записки о выкупе (файл txt):
Пример такого расширения:
.[dectokyo@onionmail.org, TELEGRAM:@tokyosupp].IKA1UBO0IZ
Записки с требованием выкупа называются:
$Risen_Note.txt
$Risen_Guide.hta
RisenNote :
Read this text file carefully.
We have penetrated your whole network due some critical security issues.
We have encrypted all of your files on each host in the network within strong algorithm.
We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
the only way to stop this process is successful corporation.
We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
The only situation for recovering your files is our decryptor,
there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
so be aware of them.
Remember, you can send Upto 3 test files for decrypting, before making payment,
we highly recommend to get test files to prevent possible scams.
In order to contact us you can either use following email :
Email address : dectokyo@onionmail.org , TELEGRAM:@tokyosupp
Or If you weren't able to contact us whitin 24 hours please Email : dectokyo@cock.li
Leave subject as your machine id : IKA1UBO0IZ
If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
BLOG : http://s2wk77h653qn54csf4gp52orhem4y72dgxsquxulf255pcymazeepbyd.onion/
Содержание записки о выкупе (файл hta):
Изображение, заменяющее обои Рабочего стола:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
$Risen_Note.txt - название файла с требованием выкупа;
$Risen_Guide.hta - название файла с требованием выкупа;Risen_ID.txt - файл с ID жертвы;
$Risen[IKA1UBO0IZ].Private, $Risen[GL6MNBAZEJ].Private - примеры специальных файлов;
$Risen[IKA1UBO0IZ].Public, $Risen[GL6MNBAZEJ].Public - примеры специальных файлов;
RisenBackGround.JPG - оригинальное изображение вымогателя, заменяющее обои Рабочего стола;
Risen.exe - название вредоносного файла;Risen.pdb - файл проекта.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
E:\repos\Risen\Release\Risen.pdb
C:\$Risen[GL6MNBAZEJ].Private
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://s2wk77h653qn54csf4gp52orhem4y72dgxsquxulf255pcymazeepbyd.onion
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://s2wk77h653qn54csf4gp52orhem4y72dgxsquxulf255pcymazeepbyd.onion
Email: dectokyo@onionmail.org, dectokyo@cock.li
Telegram: @tokyosupp
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 0444b3d690823924667302cfae1f0655
SHA-1: 737d0d001e60ce20c8f35a2bbac0f4d525b96174
SHA-256: 3b685f4a59211225997256a5cd900f44953bba276b6eb92545966b35b6ef89b5
Vhash: 01503e0f7d1019z47z1015z1011z1fz
Imphash: fab4e9a968fb3915529500556d72d8c6
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 30 июля 2024:
Записки: $Risen_Note.txt, $Risen_Guide.hta
Email-1: Default@firemail.de
Email-2: default1@tutamail.com
Специальный файл: $Risen[WMWHP614XE].Private
C:\ProgramData\$Risen[WMWHP614XE].Private
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***
Thanks: Threat Intelligence, MalwareHunterTeam Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.