Если вы не видите здесь изображений, то используйте VPN.

четверг, 23 мая 2024 г.

ShrinkLocker

ShrinkLocker Ransomware

BitLocker_Exploiter Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


ShrinkLocker Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем оставляет email-адрес вместо названия системного диска, чтобы пострадавшие могли связаться с вымогателями по этому адресу и заплатить выкуп, чтобы расшифровать диск и вернуть файлы. Оригинальное название: неизвестно. Название "ShrinkLocker" было дано исследователями, описавшими его в Securelist на английском языке.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> HEUR:Trojan-Ransom.VBS.BitLock.a
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
ShrinkLocker


Сайт "ID Ransomware" ShrinkLocker пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была замечена в апреле-мае 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Нацелен на промышленные и фармацевтические компании, государственные учреждения. Атаки были обнаружены в Мексике, Индонезии и Иордании.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.

К сожалению, исследователи из Securelist, несмотря  на обширное описание, не сообщили ничего о тексте с требованием выкупа. Есть только упоминание того, что на системном диске вместо стандартной метки появляется email-адрес вымогателей. Если никакой записки нет, то так и надо было сказать. Но сообщается о двух разных email-адресах. Откуда второй? Непонятно. 




Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Основная вредоносная активность: 
ShrinkLocker использует для атаки и шифрования функционал Windows: BitLocker, VBScript, PowerShell. 
Вначале запускается вредоносный скрипт на VBScript (файл Disk.vbs). Он проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует BitLocker, причем это работает как для новых, так и для старых версии ОС, даже Windows Server 2008 и 2012. Если на компьютере используются более старые версии ОС Windows (XP, 2000, 2003, Vista), то сценарий автоматически завершает работу и удаляется.

ShrinkLocker изменяет параметры загрузки ОС, а затем пытается зашифровать разделы жесткого диска с помощью BitLocker. 
Также создается новый загрузочный раздел, чтобы можно было загрузить Windows и убедиться, что файлы зашифрованы. Кроме того, этот вымогатель  сохраняет индекс других разделов, а затем выполняет следующие действия с помощью консольной утилиты diskpart:
- уменьшает размер каждого незагрузочного раздела на 100 МБ, что создает 100 МБ нераспределенного пространства в каждом разделе, кроме загрузочного тома;
- разделяет нераспределенное пространство на новые первичные разделы по 100 МБ;
- форматирует разделы с помощью опции override, которая принудительно демонтирует том, если это необходимо, а затем определяет для каждого из них файловую систему и букву диска;
- активирует созданные разделы. 
Если процедура "уменьшения" разделов прошла успешно, ok используется в качестве переменной, и скрипт продолжает работу. 



Скрипт также меняет метку новых загрузочных разделов на email-адрес вымогателей, чтобы жертва могла связаться с ними.



После этого ShrinkLocker отключает средства защиты, используемые для защиты ключа шифрования BitLocker, и удаляет их. 

Список типов файлов, подвергающихся шифрованию:
Вероятно все файлы на диске, среди них: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Disk.vbs - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\Microsoft\Windows\Templates\Disk.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: onboardingbinder@proton.me, conspiracyid9@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 842f7b1c425c5cf41aed9df63888e768


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: Securelist Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *