Wikipedia

Wikipedia Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей и виртуальных машин с помощью комбинации алгоритмов AES-128 CTR и RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Пострадавшие, сообщают, что дешифровщик, полученный после уплаты выкупа не работает с файлами больше 4 Гб и вымогатели не отвечают на претензии. Но, как показывает опыт, некоторые большие файлы могут быть повреждены после резета ПК, потому проблема может быть и не связана с дешифровщиком. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Wikipedia

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в июне 2024 г. и продолжилась в июле 2024. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wikipedia


Записки с требованием выкупа могут называться: 

how_to_decrypt_files.txt 

* Содержание записки, возможно частично изменено пострадавшим перед передачей файла. 

Содержание записки о выкупе:

ATTENTION !

All your files have been securely ENCRYPTED.

No third party decryption software EXISTS.

MODIFICATION or RENAMING encrypted files may cause decryption failure.

To start the decryption process, Contact me.

My email address: widosru39@tutamail.com

After the payment has been confirmed,

you will receive the decryptor for decryption!

Other information:

If you don't own bitcoin, you can buy it very easily here.

www.coinmama.com

www.bitpanda.com

www.localbitcoins.com

www.paxful.com

You can find a larger list here:

https://bitcoin.org/en/exchanges

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
 VHD-файлы виртуальных машин.

Файлы, связанные с этим Ransomware:
read me.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: widosru39@tutamail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

IN RUSSIAN: Для расшифровки файлов и исправления ошибок в шифровании обращайтесь в тему поддержки на форуме Bleeping Computer. Помощь предоставляется только пострадавшим, без посредников. 

---

IN ENGLISH: To decrypt files and fix files encryption errors, please contact the Support Topic on the Bleeping Computer forum. Assistance is provided only to affected users (extortion victims), without intermediaries.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Прямого родства пока не обнаружено. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 июля 2024:

Сообщение на форуме >>

Расширение: .wikipedia

Записка: how_to_decrypt_files.txt 

Email: itlomec2938@proton.me

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 quietman7, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Cicada3301

Cicada3301 Ransomware

Cicada3301 Extortion Group

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель, используемый группой хакеров-вымогателей, шифрует данные бизнес-пользователей Windows, Linux, NAS, VMware ESXi с помощью комбинации алгоритмов ChaCha20+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cicada3301. На файле написано: нет данных. Написан на языке программирования Rust. 
---
Обнаружения:
DrWeb -> Trojan.Dridex.864, Trojan.Dridex.863, Trojan.Encoder.41002
BitDefender -> ***
ESET-NOD32 -> A Variant Of Win32/Filecoder.ORN
Kaspersky -> Trojan-Ransom.Win32.Agent.bbut
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Trojan:Win32/Malgent!MSR, Ransom:Win32/Cicada.DA!MTB

QuickHeal > Ransom.Cicada.S34143970
Rising -> Trojan.Malgent!8.10C33 (CLOUD), Ransom.Agent!8.6B7
Tencent -> Malware.Win32.Gencirc.10c044db, Malware.Win32.Gencirc.10c04256, Malware.Win32.Gencirc.10c043e9
TrendMicro -> Ransom.Win32.CICADA.YXEID
---

© Генеалогия: ✂ ALPHV/BlackCat >> Cicada3301

Сайт "ID Ransomware" идентифицирует это как Cicada3301 с 7 августа 2024. 

Информация для идентификации

Активность этой группы вымогателей началась в начале-середине июня 2024 г., с момента публикации сообщения о первой жертве. Далее они стали себя продвигать на форуме RAMP в Даркнете. Ориентирован на англоязычных пользователей, средний и крупный бизнес. Может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .<random>

Записка с требованием выкупа называется: RECOVER-<extension>-DATA.txt

Содержание сайта хакеров-вымогателей:

Пострадавшие компании с 15 июня по 12 августа 2024. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Впервые представители Cicada3301 стали рекламировать свое детище как RaaS и набирать аффилянтов 24 июня 2024 года, опубликовав сообщение на русском языке на форуме Даркнета, известном как RAMP. Аффилянтам запрещено атаковать объекты в станах СНГ. 

Вымогатели могут установить параметр сна, чтобы отложить выполнение шифрования и избежать немедленного обнаружения.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ На атакованных компьютерах и виртуальных машинах перед шифрованием данных удаляются теневые копии файлов и моментальные снимки, чтобы свести к минимуму возможности восстановления данных без уплаты выкупа. 

Список типов файлов, подвергающихся шифрованию:

.bmp, .doc, .docm, .docx, .dotm, .dotx, .gif, .jpeg, .jpg, .mdf, .odp, .ods, .odt, .pdf, .png, .potm, .ppsm, .ppsx, .pptm, .pptx, .psd, .ptox, .raw, .rtf, .sql, .tiff, .txt, .webp, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xltx, 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов и пр.

Подробности о шифровании:  

Шифровальщик проверяет размер целевого файла. Если файл больше 0x6400000, то он будет шифровать файл по частям, а если меньше, то будет шифроваться весь файл. Файлы будут зашифрованы симметричным ключом, сгенерированным OsRng с использованием ChaCha20. После завершения шифрования программа-вымогатель шифрует ключ ChaCha20 с помощью предоставленного ключа RSA и записывает расширение в зашифрованный файл.

Файлы, связанные с этим Ransomware:
RECOVER-<extension>-DATA.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://cicadabv7vicyvgz5khl7v2x5yygcgow7ryy6yppwmxii4eoobdaztqd.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, AR

---

IOC: VT, IA, TG, AR

---

IOC: VT, IA, TG, AR

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up, Write-up

 Thanks: 
 TrueSec, JAMESWT
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Fog

Fog Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES и RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: locker_out.exe. Распространяется группой с одноименным названием. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.39051
BitDefender -> Trojan.GenericKD.72709544
ESET-NOD32 -> Win32/Agent.AGMY
Kaspersky -> Trojan-Ransom.Win32.Agent.bbre
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Rapidstop.E!cl
Rising -> Trojan.Kryptik!8.8 (TFE:2:Ypv5fBuNKuN)
Tencent -> ***
TrendMicro -> Ransom.Win32.FOG.THEOFBD
---

© Генеалогия: родство выясняется >> Fog

Сайт "ID Ransomware" идентифицирует Fog с 25 июня 2024.

Информация для идентификации

Активность этого крипто-вымогателя была замечена группой реагирования на инциденты Arctic Wolf с начала мая 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Был замечен в атаках на неназванных бизнес-пользователей в США. 

К зашифрованным файлам добавляются расширения: .fog или .flocked 

Записка с требованием выкупа называется: readme.txt

Оригинал записки не был предоставлен исследователями. Странные пошли исследователи...


Фраза с сайта вымогателей:
We call ourselves Fog and we take responsibility for this incident.

Перевод фразы на русский язык:
Мы называем себя Fog и берем ответственность за этот инцидент.


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Использует известные свободно  распространяемые инструменты PsExec, Metasploit, SoftPerfect Network Scanner, Advanced Port Scanner, SharpShares и файл PowerShell-скрипта Get-Creds.ps1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;

DbgLog.sys - специальный файл, используемый вымогателем для собственных целей;  

Get-Creds.ps1 - скрипт PowerShell, используемый для получения паролей от Veeam Backup и Replication Credentials Manager; 
locker_out.exe, lck.exe, fs.exe - названия вредоносных файлов в разных вариантах. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\locker_out.exe

C:\Users\User\AppData\Local\Temp\DbgLog.sys

C:\Users\User\Desktop\DbgLog.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://xql562evsy7njcsngacphc2erzjfecwotdkobn3m4uxu2gtqh26newid.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG

MD5: 617d79c02ebac68b613d5b7cdbf001fd 

SHA-1: 83f00af43df650fda2c5b4a04a7b31790a8ad4cf 

SHA-256: e67260804526323484f564eebeb6c99ed021b960b899ff788aed85bb7a9d75c3 

Vhash: 015066655d75155560a3z12z4ehz33z2fz 

Imphash: 3aee5e872c96d4317cae38099830979c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ArcticWolf, MalwareHunterTeam, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.