Если вы не видите здесь изображений, то используйте VPN.

суббота, 6 июля 2024 г.

ReturnBack, Project3000

ReturnBack Ransomware

Variants: Project3000, ReturnBackCrypt 

ReturnBack Group

(шифровальщик-вымогатель, группа вымогателей) (первоисточник)
Translation into English


ReturnBack Ransomware

Эти крипто-вымогатели шифруют данные пользователей с помощью комбинации алгоритмов, а затем требуют написать вымогателям, чтобы заплатить выкуп и узнать, как вернуть файлы. Оригинальные названия: Project3000, Locker и Crypt. На файлах разных вариантов может быть написано: ChromeUp.exe, Crypt.exe, Crypt_test и Copyright © 2024. В некоторых случаях расшифровка возможна, обращайтесь на форум BleepingComputer. 

Разные варианты, основанные на коде разных Ransomware, распространяются некой группой хакеров-вымогателей, которая в разном составе, с повторениями и переходами из разных групп хакеров-вымогателей, действует уже более 5 лет. Мы назвали их "ReturnBack Group", что характерно для таких вернувшихся. К тому же, в вариантах Ransomware 2024 года они используют это слово для логина в контактах для связи (email и Telegram). Таким образом, слово, повторенное ими несколько раз в контактах разных вариантах, теперь считается их общим названием для всех этих вариантов. 

---
Обнаружения для Project3000:
DrWeb -> Trojan.Encoder.39120
BitDefender -> Gen:Variant.Ransom.Lorenz.8
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.I
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious, Ransom.Filecoder
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:Win32/Lorenz.YAA!MTB
Rising -> Ransom.DeathRansom!8.1269D (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c01879
TrendMicro -> ***
---
Обнаружения для 
ReturnBackCrypt:
DrWeb -> Trojan.Encoder.40845
BitDefender -> Gen:Variant.Ser.MSILHeracles.3989
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BES
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Filecoder.MSIL.Generic
Microsoft -> Ransom:MSIL/CryptLocker.YCB!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c022be
TrendMicro -> Ransom_CryptLocker.R002C0DGR24
---

© Генеалогия: ✂ DeathRansom, Zeoticus, SZ40/Lorenz + другой код >> Project3000
© Генеалогия: ✂ BlackDream/BlackLegion + другой код >> 
ReturnBackCrypt


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Ранняя активность разных вариантов крипто-вымогателей одной и той же группы хакеров-вымогателей была в июне — июле 2024 г. и продолжилась до конца года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random>, например: .CxLg9XcDAS0, .lGiKf865. 

В более новых вариантах расширение может отличаться или модифицироваться по желанию распространителей, перешедших из других групп. Такой прием использовался и раньше, когда вымогатели переходили из других групп хакеров-вымогателей. 

Записка с требованием выкупа может называться: 
READ_ME_NOTE.txt
README.txt

ReturnBack Ransomware (Project3000) note

ReturnBack Ransomware (ReturnBack) note, записка о выкупе

Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED!!!
All your files, documents, photos, databases and other important files are encrypted.
The only way to recover your files is to get a decryptor.
To get the decryptor, write to us by mail or telegram, specify the ID of the encrypted files in the letter:
Email: returnback@cyberfear.com
Telegram: https://t.me/returnbackcyberfearcom
Warning!!!
* Do not rename files.
* Do not attempt to decrypt data using third party software, as this may result in permanent data loss.
* Do not contact other people, only we can help you and recover your data.
Your personal decryption ID: ***

Перевод записки на русский язык:
!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.
Есть один способ вернуть ваши файлы — получить дешифратор.
Чтобы получить дешифратор, пишите нам на почту или телеграмм, укажите в письме ID зашифрованных файлов:
Email: returnback@cyberfear.com
Telegram: https://t.me/returnbackcyberfearcom
Внимание!!!
* Не переименовывайте файлы.
* Не пытайтесь расшифровать данные, используя иное ПО, иначе данные могут быть повреждены. 
* Не обращайтесь к другим людям, лишь мы можем вернуть ваши данные.
Ваш персональный decryption ID: ***



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с Project3000 Ransomware:
READ_ME_NOTE.txt - название файла с требованием выкупа;
ChromeUp.exe - название вредоносного файла (компиляция файла - 2024  год).

Файлы, связанные с 
ReturnBackCrypt Ransomware:
README.txt - название файла с требованием выкупа;
Crypt.exe - название вредоносного файла (компиляция файла фальшивая -  2053 год).
Crypt.exe.log - видимо лог работы файла шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

➤ Для Project3000:
C:\60610c3e46cad3e438\READ_ME_NOTE.txt
C:\Users\Administrator\Desktop\Project\Project3000\Release\Project3000.pdb

➤ Для ReturnBackCrypt: 
C:\60610c3e46cad3e438\README.txt
C:\Users\Administrator\Desktop\Lock\Locker\obj\Debug\Crypt.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: returnback@cyberfear.com
Telegram: returnbackcyberfearcom
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов (Project3000)
IOC: VT, HAIA, TG, AR
MD5: badc00888b75a7a568d5a2b3d0cb6451 
SHA-1: 10e2dde399f369bab14eba5acfa06a923394aa33 
SHA-256: 994539855377a216b90c1db4f77fdd60dd89aa2296a19345cf19d9591419809e 
Vhash: 025056656d15556093z12z66hz43z8fz 
Imphash: b0ebe07bcb894d80d9f92c2210855398

Результаты анализов (
ReturnBackCrypt)
IOC: VT, IA, TG, AR
MD5: c9fc5ead99455414732c85614c676afa 
SHA-1: 99ae4a704b37bd1c3f190f99b52493f68bcbe3df 
SHA-256: aa99c913decb96133a013abe8d71a057862e3328e8297c959c8eeb063c283a66 
Vhash: 214036551511508aa1z78 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 9 июля или раньше:
Расширение: .7rd0ioOQ9
Записка: README.txt
Email: decryptor@cyberfear.com
Telegram: hxxxs://t.me/bit_decryptor






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
🔓🔑
Under certain conditions, decryption is possible. Write to Topic of Support. В некоторых случаях дешифровка возможна. Пишите в тему поддержки.

Thanks: quietman7, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *