Если вы не видите здесь изображений, то используйте VPN.

вторник, 15 марта 2022 г.

Industrial Spy

Industrial Spy Extortion Group

Industrial Spy Hacking Team

Industrial Spy Doxware

Industrial Spy Ransomware

(хакеры-вымогатели, доксеры, публикаторы) (первоисточник на русском)
Translation into English



Эти хакеры предварительно атакуют ресурсы бизнес-пользователей, похищают их данные, а затем предлагают всем желающим купить украденные файлы, согласно предлагаемым планам — Premium, General, Free. Отказавшись от контакта с жертвами, они используют оригинальную схему, помогающую им избежать санкций, направленных на вымогателей. Оригинальное название группы-вымогателей: Industrial Spy. 


Сайт "ID Ransomware" идентифицирует это как Industrial Spy


Информация для идентификации

Активность этой группы хакеров-вымогателей была замечена в марте-апреле 2022 г. и продолжалась после. Вполне возможно, что у них есть еще и другой сайт. 

Сообщение хакеров своим потенциальным клиентам и жертвам, желающим купить чужую или выкупить свою же информацию: 

Industrial Spy Hacking Team note, записка

Содержание сообщения README.txt:
There you can buy or download for free private and compromising data of your competitors. We public schemes, drawings, technologies, political and military secrets, accounting reports and clients databases. All this things were gathered from the largest worldwide companies, conglomerates and concerns with every activity, we gather data using vunlerability in their it infrastructure, in their it infrastructure.
Industrial spy team processes huge massives every day to devide you results. You can fid it in their portal:
http://***
(Tor browser required)
We can save your time gaining your own goals or goals of your company. With our information you could refuse partnership with unscrupulous partner, reveal dirty secrets of your competitors and enemies and earn millions dollars using insider information.
"He who owns the information, owns the world"
Nathan Mayer Rothschild

Перевод на русский язык:
Здесь вы можете купить или скачать бесплатно частные и компрометирующие данные ваших конкурентов. Мы публикуем схемы, чертежи, технологии, политические и военные тайны, бухгалтерские отчеты и клиентские базы данных. Все это собрано у крупнейших мировых компаний, конгломератов и концернов по каждому виду деятельности, мы собираем данные, используя уязвимости в их ИТ-инфраструктуре, в их ИТ-инфраструктуре.
Команда промышленного шпиона каждый день обрабатывает огромные массивы информации, чтобы поделиться с вами результатами. Вы можете найти его на их портале:
http://***
(требуется браузер Tor)
Мы можем сэкономить ваше время, достигая ваших личных целей или целей вашей компании. С нашей информацией вы сможете отказаться от партнерства с недобросовестным партнером, раскрыть грязные секреты своих конкурентов и врагов и заработать миллионы долларов на инсайдерской информации.
"Кто владеет информацией, тот владеет миром"
Натан Майер Ротшильд


Кроме текстовой записки используются ещё два типа сообщений:
- тот же текст показывается в окне для ввода команд интерпретатора командной строки; 
- тот же текст показывается на изображении вместо обоев Рабочего стола. 





Страницы сайта хакеров-вымогателей



Содержание страницы сайта: 
WELCOME! DEAR ***
WHO OWNS THE INFORMATION, HE OWNS THE WORLD
WE HAVE 3 SECTIONS IN OUR MARKET.
EVERY SECTION HAS ITS OWN RULES.
---
PREMIUM
1. Datapack will be there for 7 days
2. DP will be selled only in one hands
3. DP will be completely deleted from our servers after downloading confirmation
4. DP will be moved to "General" section if it won't be bought for 7 days
---
GENERAL
1. DP will NEVER be deleted from our servers
2. DP price becomes very low
3. DP could be selled to multiple clients
4. DP will be moved to "Free" section in future
---
FREE
1. DP can be downloaded for free
2. DP will NEVER be deleted from our servers
3. DP could be downloaded by multiple clients
---
PAYMENTS
You should proceed to "Wallet' page to recharge your balance. Using your "personal wallet" make your payment via Bitcoin. Funds will apear to your account automatically after 2 confirmations in the Blockchain network.


На момент подготовки статьи на сайте хакеров-вымогателей было размещено 10 пакетов данных с украденными данными. Это видно на скриншоте, на самом деле их может быть больше. 


В этом списке можно видеть, что среди пострадавших есть жертвы из США, Великобритании, Нидерландов, Швеции, Чили. Названия скрыты исследователем, предоставившем информацию. 
Даты загрузки украденных данных в каждом блоке: от 15 по 30 марта 2022. 



Вероятно, чем крупнее компания и чем ценнее файл в пакете, тем выше цена. Менее ценные файлы могут отдаваться даже бесплатно. 



Внимание! Новые элементы, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Вредоносные инструменты, которые используют хакеры-вымогатели, могут распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся доксингу:
Нет специального списка, все зависит от объекта нападения и конкретной цели. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Инструменты группы: 
Хакерская группа может использовать учётные данные VPN для получения первоначального доступа к сети жертвы. Могут использоваться Cobalt Strike и AnyDesk или другое ПО для удаленного доступа, а после получения доступа инструменты повышения привилегий, в том числе Mimikatz или PowerShell для кражи файлов, содержащих данные Active Directory. 

Прослеженные связи: 
В результате нескольких исследований, проведенных независимо друг от друга, была прослежена связь используемых инструментов и методов группы, связанной с распространение вредоносных программ в пиратском и взломанном софте, среди краков и программ для взлома, которые тайно устанавливают бэкдоры, инфо-стилеры, RAT на компьютер-жертву, последовательно собирают и похищают информацию. Большинство из этих инфо-стилеров близко связаны со Stop Ransomware и Украиной. 

Файлы, связанные с Industrial Spy:
README.txt - название файла с информацией;
tools.exe, toolsnpd.exe, F0EA.exe - некоторые используемые названия вредоносных файлов. 

Сетевые подключения и связи:
Tor-URL: hxxx://spyarea23ttlty6qav3ecmbclpqym3p32lksanoypvrqm6j5onstsjad.onion
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 333d29ffe93e71b521057698adf722e3
SHA-1: 61e2f011274d734599209767ab76cad136e8a94f
SHA-256: 5ed4ffbd9a1a1acd44f4859c39a49639babe515434ca34bec603598b50211bab
Vhash: 0160f76d755c0d5d1d051068z235blz1fz
Imphash: 60c52a7e07d965a807e77f1315a9ffd3
---
IOC: VT, HAIA, TG, AR, VMR, JSB
MD5: 95d4d597b3065359e471890fc166abfc
SHA-1: 51a2437cadd422446b0bc6bd59cd5fe467eed26a
SHA-256: c96b098cab47c0a33d0b6d8f14b24e7c9ba897b0c59a2ac1f3dc608ca7a2ed7e
Vhash: 0160f76d755c0d5d1d051068z235blz1fz
Imphash: 60c52a7e07d965a807e77f1315a9ffd3

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант 9 апреля 2022: 
Расширение: не используется. 
Записка: readme.htm
Результаты анализов: VT + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.35351 - Industrial Spy Ransomware
ESET-NOD32 -> A Variant Of Win64/Filecoder.FL
TrendMicro -> Trojan.Win64.FRS.VSNW12E22


Новость от 18 апреля 2022: 
Группа больниц GHT (Франция) обнаружила, что они подверглись кибератаке с кражей конфиденциальных административных данных и данных пациентов. Industrial Spy сообщает, что они требовали у больничной сети выкуп в $1,3 миллиона, но после того, как таймер истек, они выставили на продажу на своем сайте 28,7 Гб украденных данных. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Write-up 
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Acepy

Acepy Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Acepy Ransomware, 
указано в записке. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35105
BitDefender -> Trojan.GenericKD.39234190, Trojan.GenericKD.39234158
ESET-NOD32 -> Win32/Filecoder.OKI
Kaspersky -> Trojan-Ransom.Win32.Agent.baow
Malwarebytes -> ***
Microsoft -> Program:Win32/Wacapew.C!ml, Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Malware.Eqst
TrendMicro -> Ransom_Agent.R002C0PCI22, Ransom.Win32.ACEPY.THCAHBB
---

© Генеалогия: ??? >> Acepy 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в первой половине марта 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .acepy


Записка с требованием выкупа называется: ACEPY_README.txt


Содержание записки о выкупе:

All your files have been encrypted by the Acepy Ransomware!
All your photos, videos, music and documents have been encrypted with the extension ".acepy".
There's no way to recover them without the special key. Please contact AcepyRansom@protonmail.com to get it!

Перевод записки на русский язык:
Все ваши файлы зашифрованы программой-вымогателем Acepy!
Все ваши фотографии, видео, музыка и документы зашифрованы с расширением ".acepy".
Нет способа вернуть их без специального ключа. Пишите  AcepyRansom@protonmail.com, чтобы получить его!



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ACEPY_README.txt - название файла с требованием выкупа;
1.exe, 2.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: AcepyRansom@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: cac20eac09ad235568bd0e2126f9decd
SHA-1: 977c78c82fb5139d68718170d41178815f4cd5f4
SHA-256: 84bcc4ae912f0378cc5148799b33650fe358820b5f4ad8a33bdb4ceee0d1eb11
Vhash: 0330261d1bz418=z
Imphash: a0bc4f16faf5fe3f0362c8e392798e5f
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: b2015de68d00694493cb5278c5db86fc
SHA-1: ae5b6f5e1924f48cd46a35d7315d4025cebc1dd6
SHA-256: d58379e5e6da8c6a53b39710814563d9c99d011e7a672d16d6e9a520516ee676
Vhash: 03303e0f7d1bz401=z
Imphash: 9aebf3da4677af9275c461261e5abde3

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic, MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

IceFire

IceFire Ransomware

IceFire Doxware

(шифровальщик-вымогатель) (первоисточник)

Translation into English



Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в криптовалюте Monero, чтобы вернуть файлы. Угрожает через 5 дней опубликовать украденные файлы. Оригинальное название: IceFire. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> IceFire


Сайт "ID Ransomware" идентифицирует это как IceFire


Информация для идентификации

Активность этого крипто-вымогателя была в первой половине марта 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. В первые дни уже были пострадавшие из нескольких стран. 

К зашифрованным файлам добавляется расширение: .iFire


Записка с требованием выкупа называется:  iFire-readme.txt

IceFire Ransomware note, записка

Содержание записки о выкупе:

********************Your network has been infected!!!********************
IMPORTANT : DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAVE BEEN RECOVERED!!!
All your important files have been encrypted. Any attempts to restore your files with thrid-party software will be fatal for your files! 
Restore your data posible only buying private key from us. We have also downloaded a lot of private data from your network. If you 
do not contact us in a 5 days, we will post information about your breach on our public news webs.
You should get more information on our page, which is located in a Tor hidden network.
1.Download Tor browser - https://www.torproject.org/
2.Install Tor browser
3.Open link in Tor browser : kf6x3mjeqljqxjznaw65jixin7dpcunfxbbakwuitizytcpzn4iy5bad.onion
4.Follow the instructions on this page
Your account on our website
*************************************************************************
username: ***
password: ***
ATTENTION:
1.Do not try to recover files yourself, this process can damage your data and recovery will become impossible.
2.Do not waste time trying to find the solution on the internet. The longer you wait, the higher will become the decryption key price.
3.Tor Browser may be blocked in your country or corporate network. Use Tor Browser over VPN.

Перевод записки на русский язык:
*** Ваша сеть заражена!!! ***
ВАЖНО: НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ, ПОКА ВСЕ ВАШИ ДАННЫЕ НЕ БУДЕТ ВОССТАНОВЛЕНЫ!!!
Все ваши важные файлы зашифрованы. Любые попытки вернуть ваши файлы с помощью сторонних программ будут фатальными для ваших файлов! Вернуть свои данные можно только купив закрытый ключ у нас. Мы также загрузили много личных данных из вашей сети. Если вы не свяжетесь с нами в течение 5 дней, мы опубликуем информацию о вашем нарушении на наших публичных новостных сайтах.
Вы должны получить больше информации на нашей странице, которая находится в скрытой сети Tor.
1. Скачайте браузер Tor - https://wwiv.torproject.org/
2. Установите браузер Тор
3. Откройте ссылку в браузере Tor: ***
4. Следуйте инструкциям на странице
Ваш аккаунт на нашем сайте
***
имя пользователя: ***
пароль: ***
ВНИМАНИЕ:
1. Не пытайтесь восстанавливать файлы сами, этот процесс может повредить ваши данные и восстановление станет невозможным.
2. Не тратьте время на поиски решения в Интернете. Чем дольше вы ждете, тем выше будет цена за ключ дешифрования.
3. Браузер Tor может быть заблокирован в вашей стране или корпоративной сети. Используйте Tor Browser через VPN.


Текст с требованием выкупа есть также на сайте вымогателей. 


Содержание текстана сайте:
Your network has been infected
All your important files have been encrypted. Any attempts to restore file with third-party software will be fatal for your files. Restore your data possible only buying private key from us. We have also downloaded a lot of private data from your network. If you do not contact us in five days, we will post information about your breach on our public news webs.
You can pay directly following the steps:
• Log into the website with your account.
• Get the Monero address and number of XMR you should pay.
• Pay XMR to our Monero address.
• Send the blockchain transaction ID to us.
• Download decrypt application from our website.
• We will send private key to you within six hours.
• Finally, decrypt all your files.

Перевод на русский язык: 
Ваша сеть заражена
Все ваши важные файлы зашифрованы. Любые попытки вернуть файл с помощью сторонних программ будут фатальными для ваших файлов. Вернуть ваши данные можно только купив закрытый ключ у нас. Мы также загрузили много личных данных из вашей сети. Если вы не свяжетесь с нами за пять дней, мы опубликуем информацию о вашем нарушении на наших публичных новостных сайтах.
Вы можете оплатить сразу после шагов:
• Войдите на сайт под своей учетной записью.
• Получите адрес Monero и количество XMR, которое надо заплатить.
• Оплатите XMR на наш адрес Monero.
• Отправьте нам ID транзакции блокчейна.
• Загрузите приложение для расшифровки с нашего сайта.
• Мы отправим вам закрытый ключ за шесть часов.
• Наконец, расшифруйте все ваши файлы.



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 iFire-readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: kf6x3mjeqljqxjznaw65jixin7dpcunfxbbakwuitizytcpzn4iy5bad.onion
Email: - 
XMR (Monero): 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: средний.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 августа 2022:
Сообщение на форуме >>
Есть некоторые изменения на сайте вымогателей. 

 

 


Обновление от 9 марта 2023:
IceFire теперь шифрует системы Linux.
Важные части системы не шифруются и остаются в рабочем состоянии. 
Добавляется расширение: .iFire




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 11 марта 2022 г.

AntiWar

AntiWar Ransomware

(шифровальщик-не-вымогатель, деструктор) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем выдвигает требования прекратить войну в Украине, но не сообщает о том, как можно вернуть файлы. Оригинальное название: в записке не указано. На файле написано: encryptor.x64.exe. По сообщению исследователя, это распространяется из Польши, но скорее всего из Украины. Для Windows x64. 
---
Не нужно обольщаться и соглашаться с распространителем вредоносного файла. Совершенно не важны его намерения и текст на экране, пусть даже призывающие к миру с его точки зрения. Если файлы реально зашифрованы, а способа вернуть их не сообщается, то это такой же Ransomware и деструктор, причиняющий вред системе и файлам пользователей, как и многие другие. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35080
Avast -> Win64:Malware-gen
BitDefender -> Trojan.GenericKD.39198247
ESET-NOD32 -> A Variant Of Win64/Filecoder.Dark.B
Kaspersky -> Trojan-Ransom.Win32.Encoder.pxt
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Encoder.Lkec
TrendMicro -> Ransom.Win64.NITUPBURNCRYPT.THCAEBB
---

© Генеалогия: ??? >> AntiWar


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале - первой половине марта  2022 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .putinwillburninhell


Записка называется: RUSSKIJ VOENNIJ KORABL IDI NA***.html




Содержание текста в записке:
Это НЕ мирная операция
Идет полноценная ВОЙНА
Тысячи погибших людей, как украинцев, так и русских.
Больше всего бомбят жилые дома, также школы, больницы и садики.
Люди ночуют в метро, в подвалах, парковках и бомбоубежищах.
(может среди них Ваши родственники, друзья, любимые)
Российские СМИ это не транслируют и не будут!!!
Если не верите нашим СМИ, посмотрите заграничные
Русские, очнитесь! Один человек лишил вас и вашу страну
УВАЖЕНИЯ и ПРИЗНАНИЯ НАВСЕГДА!
Мы не хотим, чтобы Россия становилась все беднее и была изолирована от мира, страной, нападающей на другие страны

Перевод записки на русский язык:
*** уже сделан ***



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ UAC не обходит, требуется разрешение на запуск вредоносного файла. 

➤ В коде есть фраза: "You think this bad neighborhood?" (Думаешь, это плохой район?). Это может говорить о том, что был использован чей-то готовый шаблон, в который был подставлен другой текст. Или же этот Ransomware был сделан наспех. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RUSSKIJ VOENNIJ KORABL IDI NA***.html - название файла с текстом;
encryptor.x64.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 3b3a50b242841e1789a919b1291051f1
SHA-1: 7b74a50352bb16ba94201c8a9e35b3c1d8a9dc8c
SHA-256: 9f3c1668ee44bfcd1afd599215f5bd73c76609776b78cb04bb6ef1121cc80d37
Vhash: 055066655d1555155098z77hz1lz
Imphash: 5fc54744cef988b57c81266931fa99ba 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *