Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 12 мая 2024 г.

El Dorado

El Dorado Ransomware

El-Dorado Ransomware

Eldorado Ransomware

El Dorado Doxware

(шифровальщик-вымогатель, публикатор, RaaS) (первоисточник на русском)
Translation into English


El Dorado Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов Chacha20 (для файлов) и RSA-OAEP (для ключей), а затем требует связаться с вымогателями через чат на их сайте, чтобы узнать, как заплатить выкуп, чтобы вернуть файлы и не допустить публикацию украденных файлов. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38915
BitDefender -> Trojan.Generic.35873074
ESET-NOD32 -> A Variant Of WinGo/Filecoder.GG
Kaspersky -> Trojan.Win32.Renamer.bi
Malwarebytes -> Malware.AI.4072399573
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Tencent -> Win32.Trojan.Renamer.Udkl
TrendMicro -> Ransom.Win64.LDRADO.THEAEBD
---

© Генеалогия: LostTrust >> 
El Dorado


Сайт "ID Ransomware" идентифицирует El Dorado c 13 июня 2024. 


Информация для идентификации

Активность этого крипто-вымогателя была в первой половине 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .00000001

Записка с требованием выкупа называется: HOW_RETURN_YOUR_DATA.TXT

El Dorado Ransomware note, записка о выкупе

Содержание записки о выкупе:
To the board of directors.
Your network has been attacked through various vulnerabilities found in your system.
We have gained full access to the entire network infrastructure.
All your confidential information about all employees and all partners and developments 
has been downloaded to our servers and is located with us.
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
Our team has an extensive background in legal and so called white hat hacking.
However, clients usually considered the found vulnerabilities to be minor and poorly paid for our services.
So we decided to change our business model. Now you understand how important it is to allocate a good budget for IT security.
This is serious business for us and we really don't want to ruin your privacy, 
reputation and a company.
We just want to get paid for our work whist finding vulnerabilities in various networks.
Your files are currently encrypted with our tailor made state of the art algorithm.
Don't try to terminate unknown processes, don't shutdown the servers, do not unplug drives,
all this can lead to partial or complete data loss.
We have also managed to download a large amount of various, crucial data from your network.
A complete list of files and samples will be provided upon request.
We can decrypt a couple of files for free. The size of each file must be no more than 5 megabytes.
All your data will be successfully decrypted immediately after your payment.
You will also receive a detailed list of vulnerabilities used to gain access to your network.
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
If you refuse to cooperate with us, it will lead to the following consequences for your company:
1. All data downloaded from your network will be published for free or even sold
2. Your system will be re-attacked continuously, now that we know all your weak spots
3. We will also attack your partners and suppliers using info obtained from your network
4. It can lead to legal actions against you for data breaches
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
                   !!!!Instructions for contacting our team!!!!
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
  ---> Download and install TOR browser from this site : https://torproject.org
  ---> For contact us via LIVE CHAT open our website : hxxx://panelqbinglxczi2gqkwderfvgq6bcv5cbjwxrksjtvr5xv7ozh5wqad.onion/***
  ---> If Tor is restricted in your area, use VPN
  ---> All your Data will be published in 7 Days if NO contact made
  ---> Your Decryption keys will be permanently destroyed in 3 Days if no contact made
  ---> Your Data will be published if you will hire third-party negotiators to contact us

Перевод записки на русский язык:
Совету директоров.
Ваша сеть подверглась атаке через различные уязвимости, обнаруженные в вашей системе.
Мы получили полный доступ ко всей сетевой инфраструктуре.
Вся ваша конфиденциальная информация обо всех сотрудниках, всех партнерах и разработках загружена на наши серверы и находится у нас.
Наша команда имеет обширный опыт в юридической и так называемой белой хакерской деятельности.
Однако клиенты обычно считали найденные уязвимости незначительными и плохо оплачивали наши услуги.
Поэтому мы решили изменить нашу бизнес-модель. Теперь вы понимаете, насколько важно выделить хороший бюджет на ИТ-безопасность.
Для нас это серьезный бизнес, и мы действительно не хотим портить вашу конфиденциальность, репутацию и компанию.
Мы просто хотим получать оплату за свою работу по поиску уязвимостей в различных сетях.
Ваши файлы в настоящее время зашифрованы с помощью нашего современного алгоритма.
Не пытайтесь завершить неизвестные процессы, не выключайте серверы, не отключайте диски — все это может привести к частичной или полной потере данных.
Нам также удалось загрузить из вашей сети большое количество различных важных данных.
Полный список файлов и образцов будет предоставлен по запросу.
Мы можем бесплатно расшифровать пару файлов. Размер каждого файла должен быть не более 5 мегабайт.
Все ваши данные будут успешно расшифрованы сразу после оплаты.
Вы также получите подробный список уязвимостей, используемых для получения доступа к вашей сети.
Если вы откажетесь от сотрудничества с нами, это приведет к следующим последствиям для вашей компании:
1. Все данные, скачанные из вашей сети, будут опубликованы бесплатно или даже проданы.
2. Ваша система будет постоянно подвергаться повторным атакам, теперь, когда мы знаем все ваши слабые места.
3. Мы также будем атаковать ваших партнеров и поставщиков, используя информацию, полученную из вашей сети.
4. Это может привести к судебным искам против вас за утечку данных.
 !!!!Инструкция для связи с нашей командой!!!!
 ---> Загрузите и установите браузер TOR с этого сайта: https://torproject.org.
 ---> Чтобы связаться с нами через LIVE ЧАТ, откройте наш сайт: hxxx://panelqbinglxczi2gqkwderfvgq6bcv5cbjwxrksjtvr5xv7ozh5wqad.onion/***
 ---> Если Tor ограничен в вашем регионе, используйте VPN
 ---> Все ваши данные будут опубликованы через 7 дней, если НЕТ связи
 ---> Ваши ключи дешифрования будут безвозвратно уничтожены через 3 дня, если с вами не будет связи.
 ---> Ваши данные будут опубликованы, если вы наймете сторонних переговорщиков для связи с нами.



✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Начал предлагаться как решение RaaS на форумах Даркнета, в частности на форуме RAMP, с марта 2024 г., как программа-вымогатель для Windows и Linux.   

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Удаляет теневые копии файлов

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает, не шифрует файлы DLL, LNK, SYS, EXE, а также файлы и каталоги, связанные с загрузкой системы и основными функциями системы, чтобы не повредить работе системе и получить выкуп. 

Файлы, связанные с этим Ransomware:
HOW_RETURN_YOUR_DATA.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://panelqbinglxczi2gqkwderfvgq6bcv5cbjwxrksjtvr5xv7ozh5wqad.onion/***
Tor-URL: hxxx://support7iybxvye6f6f5pcl6e6v4axi3u34ghrxljnjpytrw2p7p2iyd.onion/***
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, IA, TG
MD5: 9d1fd92ea00c6eef88076dd55cad611e 
SHA-1: a108c142dba8c9af5236ec64fe5a1ce04c54a3fb 
SHA-256: 8badf1274da7c2bd1416e2ff8c384348fc42e7d1600bf826c9ad695fb5192c74 
Vhash: 056066655d5d15541az28!z 
Imphash: f0ea7b7844bbc5bfa9bb32efdcea957c


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support Added later: Write-up (by Group-IB, on July 3, 2024), Write-up (by BC)

Thanks: pcrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *