CyberVolk

CyberVolk Ransomware

Aliases: CyberBytes, Cyb3r Bytes

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+SHA-512+RSA-4096, а затем требует выкуп $1000 в BTC, чтобы вернуть файлы. Оригинальное название: CyberVolk. На файле написано: ransom.exe. Написан на C/C++. Группа называет себя CyberVolk. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.39187
BitDefender -> Trojan.GenericKD.73332128
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQW
Kaspersky -> HEUR:Trojan-Ransom.Win32.GenericCryptor.gen
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Ransom:Win32/CyberVolk.PA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c01876
TrendMicro -> Ransom_CyberVolk.R002C0DG524
---

© Генеалогия: родство выясняется >> CyberVolk

Сайт "ID Ransomware" идентифицирует это как CyberVolk с 5 июля 2024. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .cvenc 

Записка с требованием выкупа называется: CyberVolk_ReadMe.txt

Содержание записки о выкупе:

Greetings.

 All your files have been encrypted by CyberVolk ransomware.

 Please never try to recover your files without decryption key which I give you after pay. 

They could be disappeared� 

You should follow my words.

Pay $1000 BTC to below address.

My telegram : @hacker7

Our Team : https://t.me/cubervolk

We always welcome you and your payment.

Требования выкупа также написаны на экране блокировки, кроме того, меняются обои рабочего стола на собственные с тем же кибер-волком.  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CyberVolk_ReadMe.txt - название файла с требованием выкупа;

tmp.bmp - изображение, заменяющее обои рабочего стола; 

time.dat - специальный файл с цифрами; 
ransom.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\AppData\Local\Temp\Rar$DRb3416.36390\ransom.exe

C:\Users\admin\AppData\Roaming\time.dat

C:\Users\admin\AppData\Local\Temp\tmp.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -

Telegram: @hacker7

Telegram:  hxxxs://t.me/hackerk7

Telegram:  hxxxs://t.me/cubervolk

BTC: bc1q3c9pt084cafxfvyhn8wvh7mq04rq6naew0mk87

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, AR 

MD5: 648bd793d9e54fc2741e0ba10980c7de 

SHA-1: f5d0c94b2be91342dc01ecf2f89e7e6f21a74b90 

SHA-256: 102276ae1f518745695fe8f291bf6e69856b91723244881561bb1a2338d54b12 

Vhash: 086046655d1567z90058hz12z1bfz 

Imphash: f032b4cc0eb4f2eac3f528efe4c73962

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыдущий вариант от 25 июня 2024:

Самоназвание: Cyb3r Bytes (Cyberbytes) Ransomware 

Группа хакеров: Cyb3r Bytes Team

Сообщение >>

Расширение: .cvenc

Записка: CyberVolk_ReadMe.txt

Telegram: @xpolarized

Team: hxxxs://t.me/cyb3rbytes

IOC-1: VT, IA

IOC-2: VT, IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.39188

ESET-NOD32 -> A Variant Of Win32/Filecoder.OQWFortinet

Malwarebytes -> Ransom.CyberVolk

Microsoft -> Ransom:Win32/CyberVolk.PA!MTB

TrendMicro -> Ransom_CyberVolk.R011C0DG624

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, petik, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.