Если вы не видите здесь изображений, то используйте VPN.

суббота, 22 июня 2024 г.

Wikipedia

Wikipedia Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Wikipedia Ransomware

Этот крипто-вымогатель шифрует данные пользователей и виртуальных машин с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Дешифровщик, полученный после уплаты выкупа не работает с файлами больше 4 Гб и вымогатели не отвечают на претензии. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
Wikipedia


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в июне 2024 г. и продолжилась в июле 2024. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wikipedia


Записки с требованием выкупа могут называться: 
how_to_decrypt_files.txt 

Wikipedia Ransomware note, записка о выкупе

* Содержание записки, возможно частично изменено пострадавшим перед передачей файла. 

Содержание записки о выкупе:
ATTENTION !
All your files have been securely ENCRYPTED.
No third party decryption software EXISTS.
MODIFICATION or RENAMING encrypted files may cause decryption failure.
To start the decryption process, Contact me.
My email address: widosru39@tutamail.com
After the payment has been confirmed,
you will receive the decryptor for decryption!
Other information:
If you don't own bitcoin, you can buy it very easily here.
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com
You can find a larger list here:
https://bitcoin.org/en/exchanges



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
 VHD-файлы виртуальных машин.


Файлы, связанные с этим Ransomware:
read me.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: widosru39@tutamail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 июля 2024:
Расширение: .wikipedia
Записка: how_to_decrypt_files.txt 
Email: itlomec2938@proton.me






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: quietman7 Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 6 июня 2024 г.

Fog

Fog Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Fog Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES и RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: locker_out.exe. Распространяется группой с одноименным названием. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.39051
BitDefender -> Trojan.GenericKD.72709544
ESET-NOD32 -> Win32/Agent.AGMY
Kaspersky -> Trojan-Ransom.Win32.Agent.bbre
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Rapidstop.E!cl
Rising -> Trojan.Kryptik!8.8 (TFE:2:Ypv5fBuNKuN)
Tencent -> ***
TrendMicro -> Ransom.Win32.FOG.THEOFBD
---

© Генеалогия: родство выясняется >> 
Fog


Сайт "ID Ransomware" идентифицирует Fog с 25 июня 2024.



Информация для идентификации

Активность этого крипто-вымогателя была замечена группой реагирования на инциденты Arctic Wolf с начала мая 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Был замечен в атаках на неназванных бизнес-пользователей в США. 

К зашифрованным файлам добавляются расширения: .fog или .flocked 

Записка с требованием выкупа называется: readme.txt

Оригинал записки не был предоставлен исследователями. Странные пошли исследователи...


Фраза с сайта вымогателей:
We call ourselves Fog and we take responsibility for this incident.

Перевод фразы на русский язык:
Мы называем себя Fog и берем ответственность за этот инцидент.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Использует известные свободно  распространяемые инструменты PsExec, Metasploit, SoftPerfect Network Scanner, Advanced Port Scanner, SharpShares и файл PowerShell-скрипта Get-Creds.ps1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
DbgLog.sys - специальный файл, используемый вымогателем для собственных целей;  
Get-Creds.ps1 - скрипт PowerShell, используемый для получения паролей от Veeam Backup и Replication Credentials Manager; 
locker_out.exe, lck.exe, fs.exe - названия вредоносных файлов в разных вариантах. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\locker_out.exe
C:\Users\User\AppData\Local\Temp\DbgLog.sys
C:\Users\User\Desktop\DbgLog.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://xql562evsy7njcsngacphc2erzjfecwotdkobn3m4uxu2gtqh26newid.onion/
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 



Результаты анализов: 
IOC: VT, IA, TG
MD5: 617d79c02ebac68b613d5b7cdbf001fd 
SHA-1: 83f00af43df650fda2c5b4a04a7b31790a8ad4cf 
SHA-256: e67260804526323484f564eebeb6c99ed021b960b899ff788aed85bb7a9d75c3 
Vhash: 015066655d75155560a3z12z4ehz33z2fz 
Imphash: 3aee5e872c96d4317cae38099830979c


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: ArcticWolf, MalwareHunterTeam, petik Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *