Lotus

Lotus Ransomware

Lotus NAS-Encrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на сетевых хранилищах (NAS) с помощью комбинации алгоритмов, а затем требует связаться с вымогателями через сайт в сети Tor, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Lotus. На файле написано: нет данных. Написан на Golang. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Babuk >> Babuk for NAS >> Lotus

Сайт "ID Ransomware" это пока отдельно не идентифицирует. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была замечена в начале мая 2024 г. и, видимо, продолжалась в течении месяца. Ориентирован на англоязычных пользователей, но может распространяться по всему миру. Среди первых пострадавших были российские пользователи NAS (сетевых хранилищ). 

К зашифрованным файлам добавляется расширение: .lotus

Записка с требованием выкупа называется: README-LOTUS.txt

Содержание записки о выкупе:

If you see this, your files were successfully encrypted.

We advice you not to search free decryption method.

It's impossible. We are using symmetrical and asymmetric encryption.

ATTENTION:

- Don't rename encrypted files.

- Don't change encrypted files.

- Don't use third party software.

To reach an agreement we offer you to contact with us.

How to contact with us: 

* Download Tor Browser:

Visit torproject.org/download.

Download and install the Tor Browser.

* Launch Tor Browser:

Open the Tor Browser on your device.

* Connect to Tor Network:

Click "Establish a Connection."

* Enter onion Address:

Copy and paste address below in the address bar:

hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/***

* Purchase decrypter software from the page.

Перевод записки на русский язык:

Если вы видите это, ваши файлы были успешно зашифрованы.

Мы советуем вам не искать бесплатный метод расшифровки.

Это невозможно. Мы используем симметричное и асимметричное шифрование.

ВНИМАНИЕ:

 - Не переименовывайте зашифрованные файлы.

 - Не меняйте зашифрованные файлы.

 - Не используйте стороннее программное обеспечение.

Для достижения соглашения мы предлагаем Вам связаться с нами.

Как связаться с нами:

 * Загрузите Tor Browser:

 Посетите torproject.org/download.

 Загрузите и установите браузер Tor.

 * Запустите браузер Tor:

 Откройте браузер Tor на своем устройстве.

 * Подключитесь к сети Tor:

 Нажмите «Установить соединение».

 * Введите луковый адрес:

 Скопируйте и вставьте адрес ниже в адресную строку:

 hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/***

  * Приобретите программу для дешифрования со страницы.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию NAS-устройств, в том числе через RDP уязвимой операционной системы, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! NAS-устройства не защищены от атак программ-вымогателей, даже, если производители утверждают обратное. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Немного о шифровании:

Файлы размером более 20 мегабайт шифруются мегабайтными блоками через каждые 10 мегабайт. В файлах менее 20 мегабайт шифруется начальная часть файлов размером не более 4 мегабайта.

После шифрования данных файла в его конец добавляется блок метаданных размером 38 байтов (публичный ключ для файла + маркер, например AB BC CD DE EF F0).

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-LOTUS.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.