ShrinkLocker Ransomware
BitLocker_Exploiter Ransomware
(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем оставляет email-адрес вместо названия системного диска, чтобы пострадавшие могли связаться с вымогателями по этому адресу и заплатить выкуп, чтобы расшифровать диск и вернуть файлы. Оригинальное название: неизвестно. Название "ShrinkLocker" было дано исследователями, описавшими его в Securelist на английском языке.---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky -> HEUR:Trojan-Ransom.VBS.BitLock.a
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется >> ShrinkLocker
Активность этого крипто-вымогателя была замечена в апреле-мае 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Нацелен на промышленные и фармацевтические компании, государственные учреждения. Атаки были обнаружены в Мексике, Индонезии и Иордании.
К зашифрованным файлам добавляется расширение: *нет данных*.
Записка с требованием выкупа называется: *нет данных*.
К сожалению, исследователи из Securelist, несмотря на обширное описание, не сообщили ничего о тексте с требованием выкупа. Есть только упоминание того, что на системном диске вместо стандартной метки появляется email-адрес вымогателей. Если никакой записки нет, то так и надо было сказать. Но сообщается о двух разных email-адресах. Откуда второй? Вероятно, он используется в другом варианте вымогателя.
Записка с требованием выкупа называется: *нет данных*.
К сожалению, исследователи из Securelist, несмотря на обширное описание, не сообщили ничего о тексте с требованием выкупа. Есть только упоминание того, что на системном диске вместо стандартной метки появляется email-адрес вымогателей. Если никакой записки нет, то так и надо было сказать. Но сообщается о двух разных email-адресах. Откуда второй? Вероятно, он используется в другом варианте вымогателя.
Однако администраторы не увидят эту метку, если они не загрузят устройство с помощью среды восстановления или других инструментов диагностики, поэтому контактный адрес очень легко не заметить.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Основная вредоносная активность:
Список типов файлов, подвергающихся шифрованию:
Вероятно все файлы на диске, среди них: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Disk.vbs - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Основная вредоносная активность:
ShrinkLocker использует для атаки и шифрования функционал Windows: BitLocker, VBScript, PowerShell.
Вначале запускается вредоносный скрипт на VBScript (файл Disk.vbs). Он проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует BitLocker, причем это работает как для новых, так и для старых версии ОС, даже Windows Server 2008 и 2012. Если на компьютере используются более старые версии ОС Windows (XP, 2000, 2003, Vista), то сценарий автоматически завершает работу и удаляется.
ShrinkLocker изменяет параметры загрузки ОС, а затем пытается зашифровать разделы жесткого диска с помощью BitLocker.
Также создается новый загрузочный раздел, чтобы можно было загрузить Windows и убедиться, что файлы зашифрованы. Кроме того, этот вымогатель сохраняет индекс других разделов, а затем выполняет следующие действия с помощью консольной утилиты diskpart:
- уменьшает размер каждого незагрузочного раздела на 100 МБ, что создает 100 МБ нераспределенного пространства в каждом разделе, кроме загрузочного тома;
- разделяет нераспределенное пространство на новые первичные разделы по 100 МБ;
- форматирует разделы с помощью опции override, которая принудительно демонтирует том, если это необходимо, а затем определяет для каждого из них файловую систему и букву диска;
- активирует созданные разделы.
Если процедура "уменьшения" разделов прошла успешно, ok используется в качестве переменной, и скрипт продолжает работу.
Скрипт также меняет метку новых загрузочных разделов на email-адрес вымогателей, чтобы жертва могла связаться с ними.
После этого ShrinkLocker отключает средства защиты, используемые для защиты ключа шифрования BitLocker, и удаляет их.
Дополнение:
После шифрования дисков вредоносная программа удаляет средства защиты BitLocker (например, TPM, PIN-код, ключ запуска, пароль, пароль восстановления, ключ восстановления), чтобы лишить жертву возможности восстановить ключ шифрования BitLocker, который отправляется злоумышленнику.
Ключ, сгенерированный для шифрования файлов, представляет собой 64-значную комбинацию случайного умножения и замены переменной числами от 0 до 9, специальными символами и голоалфавитным предложением "The quick brown fox jumps over the lazy dog" (перевод: Быстрый бурый лис прыгает через ленивого пса).
Ключ доставляется через инструмент TryCloudflare, легальный сервис, позволяющий разработчикам экспериментировать с CloudFlare Tunnel без добавления сайта в DNS CloudFlare.
На заключительном этапе атаки ShrinkLocker заставляет систему завершить работу, чтобы все изменения вступили в силу, и оставляет пользователю заблокированные диски и отсутствие возможностей восстановления BitLocker.
Вероятно все файлы на диске, среди них: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Disk.vbs - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\Microsoft\Windows\Templates\Disk.vbs
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: onboardingbinder@proton.me
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: onboardingbinder@proton.me
Email-1: conspiracyid9@protonmail.com
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 842f7b1c425c5cf41aed9df63888e768
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up-2, Topic of Support ***
Thanks: Securelist Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.