ReturnBack, Project3000

ReturnBack Ransomware

Variants: Project3000, ReturnBackCrypt 

ReturnBack Group

(шифровальщик-вымогатель, группа вымогателей) (первоисточник)
Translation into English

Эти крипто-вымогатели шифруют данные пользователей с помощью комбинации алгоритмов, а затем требуют написать вымогателям, чтобы заплатить выкуп и узнать, как вернуть файлы. Оригинальные названия: Project3000, Locker и Crypt. На файлах разных вариантов может быть написано: ChromeUp.exe, Crypt.exe, Crypt_test и Copyright © 2024. В некоторых случаях расшифровка возможна, обращайтесь на форум BleepingComputer. 

Разные варианты, основанные на коде разных Ransomware, распространяются некой группой хакеров-вымогателей, которая в разном составе, с повторениями и переходами из разных групп хакеров-вымогателей, действует уже более 5 лет. Мы назвали их "ReturnBack Group", что характерно для таких вернувшихся. К тому же, в вариантах Ransomware 2024 года они используют это слово для логина в контактах для связи (email и Telegram). Таким образом, слово, повторенное ими несколько раз в контактах разных вариантах, теперь считается их общим названием для всех этих вариантов. 

---

Обнаружения для Project3000:

DrWeb -> Trojan.Encoder.39120

BitDefender -> Gen:Variant.Ransom.Lorenz.8

ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.I

Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Malwarebytes -> Generic.Malware/Suspicious, Ransom.Filecoder

Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:Win32/Lorenz.YAA!MTB

Rising -> Ransom.DeathRansom!8.1269D (CLOUD)

Tencent -> Malware.Win32.Gencirc.10c01879

TrendMicro -> ***

---
Обнаружения для ReturnBackCrypt:

DrWeb -> Trojan.Encoder.40845
BitDefender -> Gen:Variant.Ser.MSILHeracles.3989
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BES
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Filecoder.MSIL.Generic
Microsoft -> Ransom:MSIL/CryptLocker.YCB!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c022be
TrendMicro -> Ransom_CryptLocker.R002C0DGR24
---

© Генеалогия: ✂ DeathRansom, Zeoticus, SZ40/Lorenz + другой код >> Project3000
© Генеалогия: ✂ BlackDream/BlackLegion + другой код >> ReturnBackCrypt

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Ранняя активность разных вариантов крипто-вымогателей одной и той же группы хакеров-вымогателей была в июне — июле 2024 г. и продолжилась до конца года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random>, например: .CxLg9XcDAS0, .lGiKf865. 

В более новых вариантах расширение может отличаться или модифицироваться по желанию распространителей, перешедших из других групп. Такой прием использовался и раньше, когда вымогатели переходили из других групп хакеров-вымогателей. 

Записка с требованием выкупа может называться: 

READ_ME_NOTE.txt

README.txt

Содержание записки о выкупе:

!!! ALL YOUR FILES ARE ENCRYPTED!!!

All your files, documents, photos, databases and other important files are encrypted.

The only way to recover your files is to get a decryptor.

To get the decryptor, write to us by mail or telegram, specify the ID of the encrypted files in the letter:

Email: returnback@cyberfear.com

Telegram: https://t.me/returnbackcyberfearcom

Warning!!!

* Do not rename files.

* Do not attempt to decrypt data using third party software, as this may result in permanent data loss.

* Do not contact other people, only we can help you and recover your data.

Your personal decryption ID: ***

Перевод записки на русский язык:

!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.

Есть один способ вернуть ваши файлы — получить дешифратор.

Чтобы получить дешифратор, пишите нам на почту или телеграмм, укажите в письме ID зашифрованных файлов:

Email: returnback@cyberfear.com

Telegram: https://t.me/returnbackcyberfearcom

Внимание!!!

* Не переименовывайте файлы.

* Не пытайтесь расшифровать данные, используя иное ПО, иначе данные могут быть повреждены. 

* Не обращайтесь к другим людям, лишь мы можем вернуть ваши данные.

Ваш персональный decryption ID: ***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с Project3000 Ransomware:

READ_ME_NOTE.txt - название файла с требованием выкупа;

ChromeUp.exe - название вредоносного файла (компиляция файла - 2024  год).

Файлы, связанные с ReturnBackCrypt Ransomware:

README.txt - название файла с требованием выкупа;
Crypt.exe - название вредоносного файла (компиляция файла фальшивая -  2053 год).

Crypt.exe.log - видимо лог работы файла шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

➤ Для Project3000:

C:\60610c3e46cad3e438\READ_ME_NOTE.txt

C:\Users\Administrator\Desktop\Project\Project3000\Release\Project3000.pdb

➤ Для ReturnBackCrypt: 

C:\60610c3e46cad3e438\README.txt

C:\Users\Administrator\Desktop\Lock\Locker\obj\Debug\Crypt.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: returnback@cyberfear.com

Telegram: returnbackcyberfearcom

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов (Project3000): 

IOC: VT, HA, IA, TG, AR

MD5: badc00888b75a7a568d5a2b3d0cb6451 

SHA-1: 10e2dde399f369bab14eba5acfa06a923394aa33 

SHA-256: 994539855377a216b90c1db4f77fdd60dd89aa2296a19345cf19d9591419809e 

Vhash: 025056656d15556093z12z66hz43z8fz 

Imphash: b0ebe07bcb894d80d9f92c2210855398

Результаты анализов (ReturnBackCrypt): 

IOC: VT, IA, TG, AR

MD5: c9fc5ead99455414732c85614c676afa 

SHA-1: 99ae4a704b37bd1c3f190f99b52493f68bcbe3df 

SHA-256: aa99c913decb96133a013abe8d71a057862e3328e8297c959c8eeb063c283a66 

Vhash: 214036551511508aa1z78 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 9 июля или раньше:

Сообщение на форуме >>

Расширение: .7rd0ioOQ9

Записка: README.txt

Email: decryptor@cyberfear.com

Telegram: hxxxs://t.me/bit_decryptor

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

🔓🔑
Under certain conditions, decryption is possible. Write to Topic of Support.
В некоторых случаях дешифровка возможна. Пишите в тему поддержки. 

 Thanks: 
 quietman7, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.