ReturnBack Ransomware
Variants: Project3000, ReturnBackCrypt
ReturnBack Group
(шифровальщик-вымогатель, группа вымогателей) (первоисточник)
Translation into English
Эти крипто-вымогатели шифруют данные пользователей с помощью
комбинации алгоритмов, а затем требуют написать вымогателям, чтобы заплатить
выкуп и узнать, как вернуть файлы. Оригинальные названия: Project3000, Locker и
Crypt. На файлах разных вариантов может быть написано: ChromeUp.exe, Crypt.exe, Crypt_test и Copyright ©
2024. В некоторых случаях расшифровка возможна, обращайтесь на форум BleepingComputer.
Разные варианты, основанные на коде разных Ransomware,
распространяются некой группой хакеров-вымогателей, которая в разном составе, с
повторениями и переходами из разных групп хакеров-вымогателей, действует уже
более 5 лет. Мы назвали их "ReturnBack Group", что характерно для
таких вернувшихся. К тому же, в вариантах Ransomware 2024 года они используют
это слово для логина в контактах для связи (email и Telegram). Таким образом,
слово, повторенное ими несколько раз в контактах разных вариантах, теперь
считается их общим названием для всех этих вариантов.
---Обнаружения для Project3000:
DrWeb -> Trojan.Encoder.39120
BitDefender -> Gen:Variant.Ransom.Lorenz.8
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.I
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious, Ransom.Filecoder
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:Win32/Lorenz.YAA!MTB
Rising -> Ransom.DeathRansom!8.1269D (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c01879
TrendMicro -> ***
---
Обнаружения для ReturnBackCrypt:
DrWeb -> Trojan.Encoder.40845
BitDefender -> Gen:Variant.Ser.MSILHeracles.3989
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BES
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Filecoder.MSIL.Generic
Microsoft -> Ransom:MSIL/CryptLocker.YCB!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c022be
TrendMicro -> Ransom_CryptLocker.R002C0DGR24
---
© Генеалогия: ✂ DeathRansom, Zeoticus, SZ40/Lorenz + другой код >> Project3000
© Генеалогия: ✂ BlackDream/BlackLegion + другой код >> ReturnBackCrypt
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Ранняя активность разных вариантов крипто-вымогателей одной и той же группы хакеров-вымогателей была в июне — июле 2024 г. и продолжилась до конца года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .<random>, например: .CxLg9XcDAS0, .lGiKf865.
В более новых вариантах расширение может отличаться или модифицироваться по желанию распространителей, перешедших из других групп. Такой прием использовался и раньше, когда вымогатели переходили из других групп хакеров-вымогателей.
Записка с требованием выкупа может называться:
READ_ME_NOTE.txt
README.txt
Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED!!!
All your files, documents, photos, databases and other important files are encrypted.
The only way to recover your files is to get a decryptor.
To get the decryptor, write to us by mail or telegram, specify the ID of the encrypted files in the letter:
Email: returnback@cyberfear.com
Telegram: https://t.me/returnbackcyberfearcom
Warning!!!
* Do not rename files.
* Do not attempt to decrypt data using third party software, as this may result in permanent data loss.
* Do not contact other people, only we can help you and recover your data.
Your personal decryption ID: ***
Перевод записки на русский язык:
!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.
Есть один способ вернуть ваши файлы — получить дешифратор.
Чтобы получить дешифратор, пишите нам на почту или телеграмм, укажите в письме ID зашифрованных файлов:
Email: returnback@cyberfear.com
Telegram: https://t.me/returnbackcyberfearcom
Внимание!!!
* Не переименовывайте файлы.
* Не пытайтесь расшифровать данные, используя иное ПО, иначе данные могут быть повреждены.
* Не обращайтесь к другим людям, лишь мы можем вернуть ваши данные.
Ваш персональный decryption ID: ***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с Project3000 Ransomware:READ_ME_NOTE.txt - название файла с требованием выкупа;
ChromeUp.exe - название вредоносного файла (компиляция файла - 2024 год).
Файлы, связанные с ReturnBackCrypt Ransomware:README.txt - название файла с требованием выкупа;
Crypt.exe - название вредоносного файла (компиляция файла фальшивая - 2053 год).
Crypt.exe.log - видимо лог работы файла шифровальщика.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
➤ Для Project3000:
C:\60610c3e46cad3e438\READ_ME_NOTE.txt
C:\Users\Administrator\Desktop\Project\Project3000\Release\Project3000.pdb
➤ Для ReturnBackCrypt:
C:\60610c3e46cad3e438\README.txt
C:\Users\Administrator\Desktop\Lock\Locker\obj\Debug\Crypt.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: returnback@cyberfear.com
Telegram: returnbackcyberfearcom
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов (Project3000):
MD5: badc00888b75a7a568d5a2b3d0cb6451
SHA-1: 10e2dde399f369bab14eba5acfa06a923394aa33
SHA-256: 994539855377a216b90c1db4f77fdd60dd89aa2296a19345cf19d9591419809e
Vhash: 025056656d15556093z12z66hz43z8fz
Imphash: b0ebe07bcb894d80d9f92c2210855398
Результаты анализов (ReturnBackCrypt): MD5: c9fc5ead99455414732c85614c676afa
SHA-1: 99ae4a704b37bd1c3f190f99b52493f68bcbe3df
SHA-256: aa99c913decb96133a013abe8d71a057862e3328e8297c959c8eeb063c283a66
Vhash: 214036551511508aa1z78
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 9 июля или раньше:Расширение: .7rd0ioOQ9
Записка: README.txt
Email: decryptor@cyberfear.com
Telegram: hxxxs://t.me/bit_decryptor
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Message + Message + Message
Write-up, Topic of Support
***
🔓🔑
Under certain conditions, decryption is possible. Write to Topic of Support.
В некоторых случаях дешифровка возможна. Пишите в тему поддержки.
Thanks:
quietman7, rivitna
Andrew Ivanov (article author)
***
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.