NB65, ContiStolen

NB65 Ransomware

(ContiStolen Ransomware)

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель основан на коде, украденном у Conti-2 Ransomware, является его модифицированным вариантом. Нацелен на российские организации и предприятия, шифрует данные с помощью алгоритма ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Хакеры-вымогатели: хакерская группа NB65 (Network Battalion 65) из Украины. 

---

👏 Вор у вора украл. На воре и шапка горит. Вор на вора напал, вор у вора дубинку украл. Не только тот вор, кто ворует, но и тот, кто ворам потакает. Сколько вору ни воровать, а расплаты не миновать. 

👏 Злодій у злодія вкрав. На злодієві й шапка горить. Злодій на злодія напав, злодій у злодія кийок вкрав. Не тільки той злодій, хто краде, а й той, хто злодіям потурає. Скільки злодіям не красти, а покарання не уникнути.

---
Обнаружения:
DrWeb -> Trojan.Encoder.35209
BitDefender -> Gen:Variant.Cerbu.84170
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Kaspersky -> HEUR:Trojan-Ransom.Win32.Conti.gen
Malwarebytes -> Ransom.Conti
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Ransom.Conti!1.D637 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Ecju
TrendMicro -> Ransom.Win32.CONTI.SM.hp
---

© Генеалогия: Conti-2 (stolen code) > NB65 (ContiStolen)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале апреля 2022 г. Ориентирован на русских пользователей, но записка написана на английском языке, потому при желании этот вымогатель может начать распространяться и в других странах. 

К зашифрованным файлам добавляется расширение: .NB65

Записка с требованием выкупа оставляется в каждой папке с зашифрованными файлами и называется: R3ADM3.txt 

Содержание записки о выкупе:

By now it's probably painfully apparent that your environment has been infected with ransomware. You can thank Conti for that.

We've modified the code in a way that will prevent you from decrypting it with their decryptor.

We've exfiltrated a significant amount of data including private emails, financial information, contacts, etc.

Now, if you wish to contact us in order to save your files from permanent encryption you can do so by emailing network_battalion_0065@riseup.net.

You have 3 days to establish contact. Failing to do so will result in that data remaining permenantly encrypted.

While we have very little sympathy for the situation you find yourselves in right now, we will honor our agreement to restore your files across the affected environment once contact is established and payment is made.

Until that time we will take no action. Be aware that we have compromised your entire network.

We're watching very closely. Your President should not have commited war crimes. If you're searching for someone to blame for your current situation look no further than Vladimir Putin.

Перевод записки на русский язык:

Теперь, вероятно, до боли очевидно, что ваша среда заражена вымогателем. Благодарите Conti за это.

Мы изменили код так, что вы не сможете расшифровать его с помощью их дешифровщика.

Мы украли большой объем данных, включая частные emal, финансовую информацию, контакты и т.д.

Теперь, если вы хотите связаться с нами, чтобы защитить ваши файлы от постоянного шифрования, вам нужно написать на email network_battalion_0065@riseup.net.

У вас есть 3 дня для контакта. Если этого не сделать, данные останутся зашифрованными навсегда.

Хотя мы очень мало сочувствуем ситуации, в которой вы оказались сейчас, мы согласны вернуть ваши файлы в пострадавшей среде после связи с нами и оплаты.

До этого времени мы не будем предпринимать никаких действий. Имейте в виду, что мы скомпрометировали всю вашу сеть.

Мы очень внимательно наблюдаем. Ваш президент не должен был ***. Если вы ищете, кого обвинить в сложившейся ситуации, не ищите ничего, кроме ***.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Вымогатели сообщили, что шифрование изменено так, чтобы все версии дешифровщика от Conti не работали. При каждом развертывании шифровальщика генерируется случайный ключ на основе пары переменных, которые изменяются для каждой цели. 

➤ UAC не обходит, требуется разрешение на запуск вредоносного файла. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
R3ADM3.txt - название файла с требованием выкупа;
ZP2m5oe9FVGfEh6x.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
kjsidugidf99439

Сетевые подключения и связи:
Email: network_battalion_0065@riseup.net
Twitter: xxNB65

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f746ea39c0c5ff9d0a1f2d250170ad80

SHA-1: dac28369f5a4436b2556f9b4f875e78d5c233edb

SHA-256: 7f6dbd9fa0cb7ba2487464c824b6d7e16ace9d4cd15e4452df4c9a9fd6bd1907

Vhash: 015066655d1515556az45nz15z37z

Imphash: f5346a7d2508fd5976d3449f3afc971d 

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 17 апреля 2022:

Сообщение хакеров >>

Расширение: .NB65
Цель атаки: Петербургский социальный коммерческий банк, которым пользуются олигархи. 

Обновление от 25 апреля 2022:

Сообщение хакеров >>

Цель атаки: Corpmsp.ru (АО «Корпорация МСП»)

Обновление от 1 мая 2022:

Сообщение хакеров >>

Цель атаки: Qiwi.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Описание у DrWeb >> 

 Thanks: 
 Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Vovabol

Vovabol Ransomware

AlgorithmNemezida Ransomware

(фейк-шифровальщик, вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в $50 или эквивалент в рублях, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 10101010.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35135
BitDefender -> AI:Packer.5E4817E31C
ESET-NOD32 -> A Variant Of Win32/Filecoder.OKK
Kaspersky -> Trojan-PSW.Win32.Stealer.aivt
Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win32/Filecoder!MSR
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Htmn
TrendMicro -> Ransom.Win32.NEMEZIDA.THCBHBB
---

© Генеалогия: ??? >> Vovabol

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден во второй половине марта 2022 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.

Зашифрованных файлов не обнаружено. 

Записка с требованием выкупа называется: INSTRUCTIONS.txt

Другим информатором жертвы является файл изображения 1.bmp, который заменяет обои Рабочего стола. Текст почти полностью повторяется. 

Вот отдельно сообщение с требованием выкупа. 

Вот скриншот экрана с измененными обоями и файлами на Рабочем столе. 

Содержание записки о выкупе:

Данные зашифрованы /algorithm NEMEZIDA/

НИЧЕГО НЕ УДАЛЯЙТЕ С РАБОЧЕГО СТОЛА

Для расшифровки оплатите 50$ или эквивалент в рублях на платежную систему:

QIWI (https://qiwi ru) на кошелек +79670298024 или +79154862476

В комментарии к платежу укажите:

1. Ваш ключ№1 - смотрите файл INSTRUCTIONS.txt на рабочем столе

2. Ваша электронная почта (на нее придет ключ№2 для расшифровки)

ДЛЯ РАСШИФРОВКИ 

* На вашем рабочем столе запустите DECRYPT 

* Внимательно введите полученный ключ №2 и нажмите START

* Расшифровка займет некоторое время, не закрывайте программу расшифровки, обязательно дождитесь сообщения о удачной обработке

* Во время обработки не используйте компьютер и не выключайте. Если обработка

прошла не полностью (например выключился компьютер) напишите письмо на

mnovazeml@online.ua / vovabol@inbox.lv

---

В тексте есть ошибки, которые вряд ли бы сделал русский автор текста. К тому же автор-вымогатель использует украинскую и латвийскую почту. 

Используя сайт "allnum.ru/index/phone_number/mobile/" можно узнать, что номера телефонов, указанные в тексте, зарегистрированы в регионе "Москва и Московская область". Геопозиция номеров с помощью специальных сервисов это подтверждает. Но, телефон мог быть утерян, украден или оформлен на подставное лицо. Поэтому, если телефон будет включен, найти вымогателя или того, кто использует эти номера для получения выкупа с помощью QIWI не составит труда. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ UAC не обходит, требуется разрешение на запуск вредоносного файла. 

Список типов файлов, подвергающихся шифрованию:

Если шифрование будет реализовано, то зашифрованными вполне могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Вырубает некоторые процессы, которые могут помешать шифрованию.

TASKKILL /IM 1cv8.exe /F

TASKKILL /IM winword.exe /F

TASKKILL /IM excel.exe /F

TASKKILL /IM powerpnt.exe /F

TASKKILL /IM vmware.exe /F

TASKKILL /IM VirtualBox.exe /F

Пытается с помощью команды запустить некий сайт на русском языке:

Файлы, связанные с этим Ransomware:
INSTRUCTIONS.txt - название файла с требованием выкупа;

1.bmp - изображение, заменяющее собой обои Рабочего стола; 

cpt.txt, key1.txt - другие текстовые файлы; 
10101010.exe - название вредоносного файла. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

D*\AC:\zzz\crypt\crypt5.vbp

c:\1\1.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mnovazeml@online.ua, vovabol@inbox.lv
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: MD5: 2b99e5c85cd8b0e6decf30d6daee094e

SHA-1: c3e7652e16a2e03d96b0274b5520d19b96196a03

SHA-256: e4defd8a187a513212cb19c9f2a800505395e66d9cd9eb3a96c291060224e7dd

Vhash: 0350367d051)z7b3z

Imphash: 818c0e000ca7da0505349e2306c68948

---

Другие образцы:

32c5e5f424698791373a921e782e4e42a6838a68aac00d4584c16df428990e19

3e4828a46b84a5cc0e095cc017e79a512f5f7deeefe39ddf073e527be66fcf56

7d6d38f2cbe320aff29eb02998476e731d02ca27ca0e2f79063b207fc10229e8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другие образцы см. на сайте BA:

https://bazaar.abuse.ch/browse/tag/Vovabol/

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DoubleZero

DoubleZero Ransomware

DoubleZero Wiper Ransomware

(фейк-шифровальщик, деструктор, стиратель) (первоисточник на русском)
Translation into English

Этот фейк-шифровальщик не шифрует данные пользователей и не требует выкуп, чтобы вернуть файлы. Он просто перезаписывает пользовательские файлы, бесповоротно повреждая их и делает загрузку системы невозможной. Оригинальное название: нигде не указано. На файлах написано: cpcrs.exe, csrssero.exe. Язык программирования C#. 
---
Обнаружения:
DrWeb -> DrWebTrojan.Encoder.35104

Avast -> Win32:RansomX-gen [Ransom]
BitDefender -> Trojan.GenericKD.48690383, Trojan.GenericKD.48690699 
ESET-NOD32 -> MSIL/KillFiles.CK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmod.gen
Malwarebytes -> Trojan.Wiper
Microsoft -> DoS:Win32/FiberLake.A!dha
Symantec -> Trojan.Gen.NPE
Tencent -> Msil.Trojan.Crypmod.Aiia
TrendMicro -> Trojan.MSIL.DOUBLEZERO.YECCWT
---

DrWeb -> Trojan.KillFiles2.704

Avast -> Win32:RansomX-gen [Ransom]
BitDefender -> Gen:Variant.Lazy.156305
ESET-NOD32 -> A Variant Of MSIL/KillFiles.CK
Kaspersky -> HEUR:Trojan.MSIL.DoubleZero.gen
Malwarebytes -> DDoSTool.FiberLake
Microsoft -> DoS:Win32/FiberLake.A!dha
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Bulz.Phpw
TrendMicro -> Trojan.MSIL.DOUBLEZERO.YECCWT
---

© Генеалогия: ??? >> DoubleZero

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образцы этой деструктивной программы были найдены в середине марта 2022 г. Нет никаких подтверждённых данных о том, на кого он ориентирован, потому может распространяться по всему миру. 

Согласно сообщению специалистов CERT-UA "для уничтожения файлов DoubleZero использует два способа: перезапись файлов нулевыми блоками по 4096 байт (метод FileStream.Write) или с помощью API-вызовов NtFileOpen, NtFsControlFile (код: FSCTL_SET_ZERO_DATA). Сначала производится перезапись всех несистемных файлов на всех дисках. После этого составляется список системных файлов по маске, осуществляется их сортировка и последующая перезапись в соответствующей последовательности. В дальнейшем уничтожаются ветви реестра Windows: HKCU, HKU, HKLM, HKLM\BCD. Наконец компьютер выключается."

Ссылка на источник информации: hxxxs://cert.gov.ua/article/38088

Записка с требованием выкупа, какого-то призыва или с заявлением протеста против чего-либо не используется. 




Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Сотрудники CERT-UA сообщили, что они обнаружили несколько вредоносных архивов, один из которых с громким названием "Вирус... крайне опасно!!!.zip" открыли и обнаружили там... страшный антиукраинский вирус-деструктор. 

CERT-UA назвали его DoubleZero – вредоносная программа-деструктор. Они видимо забыли пояснить, а может и не знали, что определение "деструктор" применительно к программам-вымогателям и прочим вредоносным программам, впервые выделено и описано автором этого блога-дайджеста в Глоссарии. Ну, да ладно, "Слово не воробей, вылетит — не поймаешь". 😊

---

✋ Почему этот вирус-деструктор антиукраинский, ведь нигде не написано никакого призыва или протеста? 

А потому, что его нашли на компьютерах нескольких украинских предприятий. Уже давно, всё, что обнаруживается на украинских компьютерах, принято считать "антиукраинским", заброшенным из России или Беларуси. А то, что таким изначально не является, всё равно объявляется происками российских хакеров, москалей или даже Президента России. 

👉 Украинским горлопанам сейчас вторят некоторые антивирусные компании:  Avast, Avira, Eset, BitDefender, Norton и прочие еврожиробазы-русофобы, которые поспешили бросить российских и белорусских пользователей, отключили поддержку и обновления своих продуктов на их устройствах, даже не дают активировать купленные ключи и подписки. И им даже не стыдно. 

Бог судья тем и этим и скатертью дорожка! Пути назад и доверия им уже не будет. Зато будет больше пользователей у российских антивирусных продуктов Kaspersky, DrWeb, SafenSoft, NANO и белорусского VBA32. Несомненно, многочисленные китайские антивирусные компании тоже предложат свои продукты всем желающим. 

---

Теоретически этот DoubleZero может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Но пока это остается только находкой работников CERT-UA. Больше никто этот "страшный вирус" в zip-архивах не находил. 

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Вирус... крайне опасно!!!.zip - название вредоносного архива; 

csrss.zip - название вредоносного архива; 

cpcrs.exe - название вредоносного файла; 

csrssero.exe - название вредоносного файла. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\cpcrs.exe 

C:\Users\Admin\AppData\Local\Temp\csrssero.exe 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 36dc2a5bab2665c88ce407d270954d04

SHA-1: b658bc902fa8b47475271b5802428d39b4e3297b

SHA-256: d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53

Vhash: e45974ccf59556097be9e909687bdbcf

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 989c5de8ce5ca07cc2903098031c7134

SHA-1: 73581818a30d3fb3e1f9e37de0c3eb55bfc0c236

SHA-256: 8dd8b9bd94de1e72f0c400c5f32dcefc114cc0a5bf14b74ba6edc19fd4aeb2a5

Vhash: af10e3e17b8b87ad1a1affb71689ed7c

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7d20fa01a703afa8907e50417d27b0a4

SHA-1: 320116162d78afb8e00fd972591479a899d3dfee

SHA-256: 3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe

Vhash: 2450265514a0b1919d10121

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b4f0ca61ab0c55a542f32bd4e66a7dc2

SHA-1: 43b3d5ffae55116c68c504339c5d953ca25c0e3f

SHA-256: 30b3cbe8817ed75d8221059e4be35d5624bd6b5dc921d4991a7adc4c3eb5de4a

Vhash: 245026551430d1d19d10161

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 CERT-UA
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

GoodWill

GoodWill Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует проявить доброжелательность к чужим людям и подтвердить это сообщением в соцсетях, а также записать видео, чтобы получить возможность вернуть свои файлы. Более того, проявить благожелательность нужно трижды, т.е. тремя способами: раздать новую одежду/одеяла нуждающимся на обочине дороги, накормить пятерых бедных детей в кафе быстрого питания Dominos, Pizza Hut,  KFC или подобных, заплатить за лечение нуждающегося в больнице. Оригинальное название: GoodWill Ransomware. На файле написано: Goodwill Encryptor.exe. 

---

Не нужно обольщаться и соглашаться с вымогателями. Совершенно не важны их намерения и текст на экране, пусть даже призывающие к добрым делам с точки зрения самих вымогателей. Если файлы реально зашифрованы, а для того, чтобы вернуть их, нужно потратить ваши денежные средства, то это такой же Ransomware и деструктор, причиняющий вред системе и файлам пользователей, как и многие другие. 

---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31374

Avast -> Win32:MalwareX-gen [Trj]
BitDefender -> IL:Trojan.MSILZilla.8091
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGR
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.FileCryptor.MSIL.Generic
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:yc6*
Tencent -> Msil.Trojan.Agent.Tclt
TrendMicro -> Ransom_Agent.R002C0PCH22
---

© Генеалогия: HiddenTear >> GoodWill

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине марта 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .gdwill

Записка с требованием выкупа называется: index.html 
Она находится в архиве вместе с другими файлами. 

Требования и задания написаны на нескольких страницах. Мы получили скриншоты в разрозненном виде, но постарались расположить их в правильном порядке. После получения образца порядок подтвердился. 

Содержание этих требований:

Hey! Don't Worry

Your Files are safe

[What happened to My Computer?]

---

Your important files are encrypted by Virus Name Goodwill!

What is Goodwill Virus?

Goodwill is a different kind of ransomware worm by which many of your documents, photos, videos, database

and other important files are no longer accessible because they have been encrypted and it becomes impossible for

users to access their files without decryption tool and valid key.

[know more]

---

Our Aim

The word "Goodwill" means to show kindness

Story: 

Team GoodWill is not hungry of Money and Wealth but kindness. We want to make every person on the planet to be kind and wants to give them a hard lesson to always help poor and needy people.

So, all our victims need to be gentle and kind to get their files back. We know that you are very excited for the play.

Take Deep breath and look all around for those who needs help?

You! No way, the only way to help yourself is to help others

hope you understand

[Can I Recover my files?]

---

Hmm, that's a good question !

As we said earlier, we are not hungry of money so you do not need to pay any bitcoin or

whatever in the form of ransom to download the Decryption Kit.

But Wait...

It becomes more difficult now.

You Need to Preform Some Beautiful activities given by us.

[Activity 1]

---

Activity 1 = "Goodwill 1"

What to do?

That we all know Thousands of people die due to sleeping on the roadside in the cold because they do not have clothes to cover their body

So, your 1st task is to provide new clothes/blankets to needy people of road side and make a video of this event.

Later post this video/photo to your Facebook, Instagram and WhatsApp stories by using photo frame provided by us and encourage other people to help needy people in winters.

Take a screen shot of your post and send email to us with valid post link, later our team will verify the whole case and promotes you for the next activity.

It's Does not costs you high but matters for humanity.

[Activity 2]

---

Activity 2 = "Goodwill 2"

After completing the 1st activity you will be promoted for the Activity 2

Thousands of poor children have to sleep hungry in the long cold nights, because those ill-fated people have no luxury to have dinner every

night in this cruel world.

You cannot feed them food for life, but you can give them 2 moments of happiness!

How!!

Hmm, Listen.

In the evening, pick any 5 poor children (under 13 years) of your neighborhood and take them to Dominos / Pizza Hut or KFC, then allow them to order the food they love to eat and try to make them feel happy. Treat those kids as your younger brothers.

Take some Selfies of them with full of smiles and happy faces,

Make a beautiful video story on this whole event and again post it on your Facebook and Instagram Stories with photo frame and caption provided by us.

Take a screen shot of your posts, snap of restaurant's bill and send email to us with valid post link, later our team will verify the whole case and promotes you for the next activity.

Help those less fortunate than you, for it is real human existence

[Activity 3]

----

Activity 3 = "The Final Goodwill"

After completing the 1st and 2nd Activity we will promotes you for the Activity 3.

There are so many people in the world who have suffered the pain of losing their loved ones due to lack of money. Lack of money is the biggest misfortune to get medical treatment at the right time.

Hmm, what's your duty now!

Hmm, Listen again!

Visit the nearest hospital in your area and observe the crowd around you inside the hospital premises.

You will see that there will be some people who need certain amount of money urgently for their medical treatment, but they are unable to arrange due to any reason.

You have to go near them and talk to them that they have been supported by you and they do not need to worry now,

Finally Provide them maximum part of required amount.

Again, Take some Selfies of them with full of smiles and happy faces,

Record Audio while whole conversation between you and them and send it to us.

Write a beautiful article in your Facebook and Instagram by sharing your wonderful experience to other peoples that how you transform yourself into a kind human being by becoming Victim of a Ransomware called Goodwill.

Send us post link and later our team will verify the whole case and finally you will able to download the Complete Decryption Kit which includes The Main decryption tool, password file and the video tutorial to recover all your important files

[Download Section]

---

Our Email Address : k.nishant@itorizin.in

Email Format

***

Download Photo Frames and Post Captions

[Download!]

Now Wait for our reply on your email inbox

Note We Only Reply Those People who successfully completed all three activities

Happy Kindness !! God Bless You

[Go to Top?]

---
I HELP NEEDY PEOPLES
GOODWILL GOODWILL GOODWILL
I AM KIND, SO SO MUCH KIND

Перевод требований на русский язык:

Привет! Не волнуйся

Ваши файлы в безопасности

[Что случилось с моим компьютером?]

---

Ваши важные файлы зашифрованы Virus Name Goodwill!

Что такое вирус доброй воли?

Goodwill — это другой вид червя-вымогателя, с помощью которого многие из ваших документов, фотографий, видео, базы данных и других важных файлов больше не доступны, потому что они были зашифрованы, и пользователи не могут получить доступ к своим файлам без инструмента дешифрования и действительного ключа.

[узнать больше]

---

Наша цель

Слово "Goodwill" означает проявлять доброту

История:

Команда GoodWill жаждет не денег и богатства, а доброты. Мы хотим сделать каждого человека на планете добрым и хотим дать им строгий урок всегда помогать бедным и нуждающимся людям.

Итак, все наши жертвы должны быть нежными и добрыми, чтобы вернуть свои файлы. Мы знаем, что вы очень взволнованы игрой.

Сделать глубокий вдох и оглядеться в поисках тех, кто нуждается в помощи?

Ты! Ни в коем случае, единственный способ помочь себе — это помочь другим, надеясь, что вы понимаете.

[Могу ли я восстановить свои файлы?]

---

Хм, это хороший вопрос!

Как мы уже говорили ранее, мы не нуждаемся в деньгах, поэтому вам не нужно платить биткойны или что-то еще в виде выкупа, чтобы загрузить Decryption Kit.

Но ждать...

Сейчас становится сложнее.

Вам нужно выполнить некоторые красивые действия, предоставленные нами.

[Действие 1]

---

Действие 1 = "Доброжелательность 1"

Что делать?

Все мы знаем, что тысячи людей умирают из-за того, что спят на обочине дороги на морозе, потому что у них нет одежды, чтобы прикрыть тело.

Итак, ваша 1-я задача - раздать новую одежду/одеяла нуждающимся на обочине дороги и снять видео об этом событии.

Позже разместите это видео / фото в своих историях на Facebook, Instagram и WhatsApp, используя предоставленную нами фоторамку, и побудите других людей помогать нуждающимся людям зимой.

Сделайте снимок экрана вашего сообщения и отправьте нам EMAIL с действующей ссылкой на сообщение, позже наша команда проверит все дело и предложит вам следующее действие.

Это недорого вам обходится, но важно для человечества.

[Действие 2]

---

Действие 2 = "Доброжелательность 2"

После выполнения 1-го задания вы будете повышены до 2-го уровня.

Тысячи бедных детей вынуждены спать голодными долгими холодными ночами, потому что эти злополучные люди не могут позволить себе роскошь обедать каждый день, ночь в этом жестоком мире.

Их нельзя накормить едой на всю жизнь, но можно подарить 2 минуты счастья!

Как!!

Хм, слушай.

Вечером выберите пятерых бедных детей (младше 13 лет) из вашего района и отведите их в Dominos / Pizza Hut или KFC, затем позвольте им заказать еду, которую они любят есть, и постарайтесь сделать их счастливыми. Относитесь к этим детям как к своим младшим братьям.

Сделайте несколько селфи с их улыбками и счастливыми лицами,

Сделайте красивую видео-историю обо всем этом событии и снова разместите ее в своих историях на Facebook и в Instagram с фоторамкой и подписью, предоставленными нами.

Сделайте снимок экрана с вашими публикациями, снимайте счет из ресторана и отправьте нам email с действующей ссылкой на публикацию, позже наша команда проверит все дело и порекомендует вас для следующего действия.

Помогайте тем, кому повезло меньше, чем вам, ибо это настоящее человеческое существование.

[Занятие 3]

---

Действие 3 = "Последняя доброжелательность"

После завершения 1-го и 2-го Задания мы повысим вас до 3-го уровня.

В мире так много людей, которые страдают от потери своих близких из-за отсутствия денег. Нехватка денег – самая большая беда, чтобы вовремя обратиться за медицинской помощью.

Хмм, какая у тебя теперь обязанность!

Хмм, слушай еще раз!

Посетите ближайшую больницу в вашем районе и понаблюдайте за толпой вокруг вас в помещении больницы.

Вы увидите, что будут люди, которым срочно нужна определенная сумма денег для лечения, но они не могут по каким-то причинам это устроить.

Вы должны подойти к ним и поговорить с ними, чтобы они были поддержаны вами и теперь им не нужно беспокоиться,

Наконец, предоставьте им максимальную часть необходимой суммы.

Снова сделайте несколько селфи с их улыбками и счастливыми лицами,

Запишите аудио во время всего разговора между вами и ними и отправьте его нам.

Напишите красивую статью в Facebook и Instagram, поделившись своим замечательным опытом с другими людьми о том, как вы превращаетесь в доброго человека, став жертвой Goodwill Ransomware.

Отправьте нам ссылку, и позже наша команда проверит все дело, и, наконец, вы сможете загрузить полный комплект дешифрования, который включает основной инструмент дешифрования, файл пароля и видеоурок для восстановления всех ваших важных файлов.

[Раздел загрузки]

---

Наш email-адрес: k.nishant@itorizin.in

Формат email

***

Скачать фоторамки и подписи к публикациям

[Скачать!]

Теперь дождитесь нашего ответа на ваш почтовый ящик

Примечание. Мы отвечаем только тем людям, которые успешно выполнили все три действия.

С Днем Доброты!! Будьте здоровы

[Перейти к началу?]

Не всё так гладко с их сайтом. Он замечен Google в попытках фишинга и опасных установках. 

После перехода на сайт, вопреки предостережению, потребуется авторизация. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Проверяет IP компьютера при запуске, используя сайт ipinfo.io:443/city

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
index.html - название файла с требованием выкупа; 

unlock your files.lnk - ссылка на командный файл; 

launch.bat - командный файл, открывающий записку index.html; 

zip-архив с файлами captions.txt и photoframe.png; 

photoframe.png - файл изображения, т.н. фоторамка. 

Goodwill Encryptor.exe -  название вредоносного файла;

Goodwill Encryptor.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Public\Windows\Ui\unlock your files.lnk

C:\Users\Public\Windows\Ui\index.html

C:\Project\ransomware\Goodwill Encrypter\obj\Release\Goodwill Encryptor.pdb

unlock your files.lnk > launch.bat > index.html - открывается в полноэкранном окне браузера Google Chrome. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

hxxx://9855-13-235-50-147.ngrok.io/

hxxx://9855-13-235-50-147.ngrok.io/alertmsg.zip

hxxx://9855-13-235-50-147.ngrok.io/handshake.php

hxxxs://84a2-3-109-48-136.ngrok.io/kit.zip

Email: k.nishant@itorizin.in

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: cea1cb418a313bdc8e67dbd6b9ea05ad

SHA-1: 8d1af5b53c6100ffc5ebbfbe96e4822dc583dca0

SHA-256: 0facf95522637feaa6ea6f7c6a59ea4e6b7380957a236ca33a6a0dc82b70323c

Vhash: 27503675151120c514b10412

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.