Если вы не видите здесь изображений, то используйте VPN.

среда, 28 февраля 2024 г.

SecuredMe

SecuredMe Ransomware

ShellLocker 2024 Ransomware

Aliases: Dragon434, ShellLocker

(шифровальщик-вымогатель, блокировщик экрана) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей и блокирует к ним доступ, а затем требует выкуп в $50, чтобы разблокировать ПК и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: lock.exe.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.50
BitDefender -> Gen:Variant.MSILHeracles.35217
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BQ
Kaspersky -> HEUR:Trojan.MSIL.Locker.gen
Malwarebytes -> Ransom.ShellLocker
Microsoft -> Ransom:MSIL/FileCryptor.PE!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Msil.Trojan.Locker.Njgl
TrendMicro -> Ransom.MSIL.SHELLLOCKER.SMTH
---

© Генеалогия: ShellLocker (2016) >> 
SecuredMe (Dragon434)


Сайт "ID Ransomware" идентифицирует это как ShellLocker по известному с 2016 года расширению. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце февраля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .L0cked

Название зашифрованного файла вместе с расширением изменяется, примеры таких файлов:
5EnX.L0cked
UQ$I&t.L0cked

Текст с требованием выкупа написан на экране блокировки: 




Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Этот крипто-вымогатель блокирует горячие клавиши, чтобы пострадавший пользователь не мог закрыть окно блокировщика или переключиться на другие окна. 

Список типов файлов, подвергающихся шифрованию:
.001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .adf, .aep, .aepx, .aet, .aex, .ai, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFont, .config, .contact, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .dat, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .inx, .ion, .iso, .jar, .java, .jnt, .jnt, .jpeg, .jpg, .json, .kdc, .key, .lib, .lng, .lnk, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .SFX, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, 

Это документы MS Office, PDF, текстовые файлы, базы данных MS Access, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
lock.exe - название вредоносного файла;
svchost.exe - файл блокировщика экрана, добавляется в Автозагрузку.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: securedme@dnmx.org
Tor-URL: dragon434pnhqvzhv764bzsguroslimv4kpwtt5gp55dsg53stnoumid.onion
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: petikvx Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 2 февраля 2024 г.

Morok

Morok Ransomware

MorokTeam Ransomware

Aliases: M0r0k, Sunset Wolf

(шифровальщик-вымогатель, хакерская группа) (первоисточник на русском)
Translation into English


Morok Ransomware

Этот крипто-вымогатель используется хакерской группой MorokTeam для шифрования данные бизнес-пользователей, а затем они требуют связаться по email с вымогателями, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Morok Ransomware. На файле написано: registry32. Написан при помощи Python и использует алгоритм Fernet для рекурсивного шифрования файлов. Деятельность хакерской группы обнаружена экспертами из Angara Security. 
---
Обнаружения:
DrWeb -> Python.Encoder.188
BitDefender -> позорно не обнаруживает
ESET-NOD32 -> 
позорно не обнаруживает
Fortinet -> Python/Filecoder.MY!tr.ransom
Kaspersky -> ***
Malwarebytes -> позорно не обнаруживает
Microsoft -> позорно не обнаруживает
Rising -> ***
Tencent -> ***
TrendMicro -> позорно не обнаруживает
---

© Генеалогия: родство выясняется >>



Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность русскоязычной хакерской группы, разработавшей свой крипто-вымогатель, была замечена с ноября 2023 г. Ориентирован на российские организации и предприятия, потому с наибольшей степенью вероятности, хактивисты действуют из враждебно настроенной страны — Украины. 

К зашифрованным файлам никакое расширение пока не добавляется, но в начало зашифрованного файла добавляется строка MR !

Смотрите примеры строки в зашифрованных файлах: 




Записка с требованием выкупа написана на экране блокировки: 

Morok Ransomware note, записка о выкупе

Содержание записки о выкупе:
IF YOU CLOSE THIS WINDOWS YOUR FILES WILL BE ENCRYPTED FOREVER
---
Your files are encrypted
Contact to MorOk Team to get Decrypt Key
m0r0kt34m@gmail.com

Перевод записки на русский язык:
ЕСЛИ ЗАКРОЕТЕ ЭТО ОКНО, ВАШИ ФАЙЛЫ БУДУТ ЗАШИФРОВАНЫ НАВСЕГДА
---
Ваши файлы зашифрованы
Контакт с MorOk Team, чтобы получить ключ расшифровки
m0r0kt34m@gmail.com


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

После проникновения атакующие создают учётные записи, добавляемые затем в привилегированные группы. Названия этих учётных данных должны быть похожи на фамилии действующих сотрудников. 
Для закрепления в скомпрометированной сети и коммуникации с сервером управления с помощью утилиты ngrok выполняется проброса порта 3389 (RDP), что позволяет открыть доступ к внутренним ресурсам машины.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
registry32 - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0r0kt34m@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 24e39519ee702cb2a6656cd03f4b9b0c 
SHA-1: 72e82b1ae36c84a966351b53c3d8f06d603f783b 
SHA-256: 762237bf9f23bd83e6e5bc156781dd0b68f6405402687d927c1b94c99afef56e


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: Angara Security, petikvx Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 28 января 2024 г.

Wing, ImmaLocker

Wing Ransomware

Variants: ImmaLocker, Sanalock, Poraton

(шифровальщик-вымогатель, RaaS) (первоисточник на русском)
Translation into English


Wing Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA+ChaCha20, а затем требует связаться с вымогателями, чтобы узнать, как заплатить выкуп в биткоинах и вернуть файлы. Оригинальное название: в записке не указано, но известно начальное название: Wing Ransomware. На исполняемом файле написано: taskhostw.exe или что-то еще. Распространитель: blackhunt. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.38568
BitDefender -> Trojan.GenericKD.71473164
Emsisoft -> Trojan.GenericKD.71473164 (B)
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BBZ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Trojan:MSIL/FileCoder.ARA!MTB
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bf949d
TrendMicro -> Ransom.MSIL.WING.THACOBD
---

© Генеалогия: 
BlackHeart >> BlackHeart NextGen > BlackLegion и другие > Wing >> ImmaLocker, Sanalock, Poraton и другие


Сайт "ID Ransomware" это пока отдельно не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя началась с конца января 2024 г. Первоначальный файл был скомпилирован 21 января 2024. В марте было найдено еще несколько вариантов с разными элементами вымогательства. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди первых пострадавших — пользователи из России. 



К зашифрованным файлам добавляется одно из следующих расширений: 
.wing
.ImmaLocker
.Sanalock
.Poraton

Фактически используется составное расширение по шаблону: .<email_ransom>.<ID{12}>.<extension>

При этом контакты в Telegram, email и новое расширение меняются по желанию нового вымогателя, купившего исходный файл Wing Ransomware. 

Примеры зашифрованных файлов: 
document.txt.Wingransomware@test.com.ATQRF8PRLFRO.wing
document.txt.ImmaLocker@cyberfear.com.AQFI5SCXC1KA.ImmaLocker
document.txt.Sanalock@cyberfear.com.MSCJZBDVWQVM.Sanaloc
document.txt.Poraton_Support@Cyberfear.com.K8YJPZZBOGRG.Poraton

Записка с требованием выкупа называется: Readme.txt


Содержание записки о выкупе:

Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !
* Please read this message carefully and patiently *
* If you use any tools, programs, or methods to recover your files and they get damaged, we will not be responsible for any harm to your files !
* Note that your files have not been harmed in any way they have only been encrypted by our algorithm. Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !
* To gain trust in us, you can send us a maximum of 2 non-important files, and we will decrypt them for you free of charge. Please note that your files should not contain important information. Your files should be in a format that we can read, such as .txt, .pdf, .xlsx, .jpg, or any other readable format for us.
Please put your Unique ID as the title of the email or as the starting title of the conversation.
* For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *
Telegram Id : wing_ransomware_test
Mail 1 : wingransomware@test.com
Mail 2 : wingransomware2@test.com
You will receive btc address for payment in the reply letter
--------------------------------
! Important !
Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us , it will rеsult оnly priсе incrеаsе!
Plеаsе nоte that we are professionals and just doing our job !
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu !
UniqueID: XXXXXXXXXXXX
PersonalID: ***

Перевод записки на русский язык:
Ваша система зашифрована нашей командой, а ваши файлы блокированы с использованием нашего запатентованного алгоритма!
* Пожалуйста, внимательно и терпеливо прочтите это сообщение *
* Если вы используете какие-либо инструменты, программы или методы для восстановления ваших файлов и они повредятся, мы не несем ответственности за любой вред вашим файлам!
* Обратите внимание, что ваши файлы никоим образом не пострадали, они только были зашифрованы нашим алгоритмом. Ваши файлы и вся ваша система вернутся в нормальный режим с помощью программы, которую мы вам предоставляем. Никто, кроме нас, не сможет расшифровать ваши файлы!
* Чтобы завоевать доверие к нам, вы можете отправить нам максимум 2 не важных файла, и мы бесплатно их расшифруем. Обратите внимание, что ваши файлы не должны содержать важной информации. Ваши файлы должны быть в формате, который мы можем прочитать, например .txt, .pdf, .xlsx, .jpg или любом другом читаемом для нас формате.
Пожалуйста, укажите ваш Unique ID в качестве заголовка email или в качестве начального заголовка беседы.
* Для более быстрой расшифровки сначала напишите нам в Telegram. Если в течение 24 часов нет ответа, напишите нам *
Telegram Id : wing_ransomware_test
Mail 1 : wingransomware@test.com
Mail 2 : wingransomware2@test.com
В ответном письме вы получите btc-адрес для оплаты.
--------------------------------
! Важно !
Пожалуйста, не теряйте времени и не пытайтесь нас обмануть, это приведет только к повышению цены!
Обращаем ваше внимание, что мы профессионалы и просто делаем свою работу!
Мы всегда открыты для диалога и готовы Вам помочь!

Исходя из контактов, можно заключить, что этот файл не предназначался для вымогательства, а был тестовым образцом. Следующие образцы добавлены ниже основной статьи. В каждом из них, в тексте вымогателей есть заголовок, в котором указано своё название. 

Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Начальное распространение на форумах Даркнета, в частности на форуме DailyDarkWeb. 


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые файлы:
.exe, .msi, .dll

Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;
taskhostw.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\LockBIT\
C:\LockBIT\systemID

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\taskhostw
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram (
фиктивный контакт): wing_ransomware_test
Email (фиктивные контакты): wingransomware@test.com, wingransomware2@test.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 863d4e0cab90ec8f20290da01e12cfee 
SHA-1: 6faf5098fdbc081bc0e479c33d13e3391b3c7ead 
SHA-256: 34c899b4970c2fc2cab0ddc1d4d6b4ac8181b0cdf71cd3832e1b817b8e1930d4 
Vhash: 215036151511e09811f0027 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BlackRouter Ransomware - апрель 2018
BlackHeart Ransomware - апрель 2018
другие варианты - 2018-2023
BlackLegion Ransomware - ноябрь 2023
Wing Ransomware - январь 2024


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 4-5 марта 2024 или раньше: 
Собственное название: ImmaLocker Ransomware
Расширение: .ImmaLocker
Пример зашифрованного файла: document.txt.ImmaLocker@cyberfear.com.AQFI5SCXC1KA.ImmaLocker
Записка: Readme.txt
Telegram: @Immalocker
Email: ImmaLocker@cyberfear.com
Файл: ImmaLocker@cyberfear.com.exe

ImmaLocker Ransomware note, записка о выкупе

➤ Содержание записки: 
Immalocker
Your data are stolen and encrypted
What guarantees that we will not deceive you? 
  We are not a politically motivated group and we do not need anything other than your money. 
  If you pay, we will provide you the programs for decryption and we will delete your data. 
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future. 
Therefore to us our reputation is very important.
To confirm our honest intentions.Send 2 different unimportant random files and you will get it decrypted.
Size : 200 KB to 2 MB
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
To contact us, first please message us on Telegram. If you do not receive a response within 24 hours, then email us.
Contact information :
Telegram : @Immalocker
Mail : ImmaLocker@cyberfear.com
Attention !
All files on each host in the network have been encrypted with a strong algorithm.
be careful : Backups were either encrypted
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
--------------------------------------------------------------------------------------------
And finally
We exclusively have decryption software for your situation. 
More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 
No decryption software is available in the public.
Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data.
In the end, you refer to us
But if you want to research and decode without us, you are wasting your time
So good luck
UniqueID: XXXXXXXXXXXX
PersonalID: aqq/etAWbRlvizZ0Sh/uWZ73BQ7hSN***


Вариант от 13 марта 2024 или раньше: 
Собственное название: Sanaloc Ransomware
Расширение: .Sanaloc
Пример зашифрованного файла: document.txt.Sanalock@cyberfear.com.MSCJZBDVWQVM.Sanaloc
Записка: Readme.txt
Telegram: @Sanalock
Email: Sanalock@cyberfear.com
Файл: Sanalock@cyberfear.com.exe 

Sanalock Ransomware note, записка о выкупе


Вариант от 16 марта 2024 или раньше:
Собственное название: Poraton Ransomware
Расширение: .Poraton
Пример зашифрованного файла: document.txt.Poraton_Support@Cyberfear.com.K8YJPZZBOGRG.Poraton
Записка: Readme.txt
Telegram: @Poraton
Email: Poraton_Support@Cyberfear.com
Файл: Poraton_Support@Cyberfear.com.exe

Poraton Ransomware note, записка о выкупе

IOC: VT, IA, TG
MD5: 9eda69bc6d42ff0a9a56d74fb06a6c01 
SHA-1: 6a384ff0d66089bfb89dbcad8f0a90482160c6a1 
SHA-256: 34b9f323d2c6d4fc334952c365b678662dbd00cdd03babbcbe258a0ec053ffa3 
Vhash: 215036151511e09811f0027 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
➤ Обнаружения:
DrWeb -> Trojan.Encoder.38568
Emsisoft -> Gen:Variant.Ransom.BlackHeart.4 (B)
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BBZ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Trojan:MSIL/FileCoder.ARA!MTB
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Tencent -> Win32.Trojan-Ransom.Generic.Cdhl
TrendMicro -> Ransom_Gen.R002C0DCG24

Обзор строк кода: 

 


  

Сравнение образцов BlackLegion (ноябрь 2023) и Poraton (март 2024):







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: Sandor, PCrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 24 января 2024 г.

LockXX

LockXX Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


LockXX Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритма AES-128 CTR и "X25519 key exchange", а затем требует написать на email вымогателей, чтобы выкупить дешифровщик и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Устанавливает для зашифрованных файлов атрибут "Read-only" (Только чтение). Написан на языке программирования GO (Golang). 
---
Обнаружения:
DrWeb -> Trojan.Encoder.38544
BitDefender -> Trojan.Agent.GJBU
ESET-NOD32 -> A Variant Of Win64/Filecoder.LB
Kaspersky -> Trojan-Ransom.Win32.Encoder.wmz
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bf91f7
TrendMicro -> Ransom.Win64.LOCKXX.THABEBD
---

© Генеалогия: BeijingCrypt (
LockXXX)? ⇒ LockXX
Возможен переход вымогателей на другую разработку, основанную на Golang.


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была замечена во второй половине января 2024 г. Ориентирован на англоязычных и китайскоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lockxx

Записка с требованием выкупа называется: lockxx.recovery_data.hta

LockXX Ransomware, note, записка о выкупе

LockXX Ransomware, note, записка о выкупе


Содержание записки о выкупе (на английском):
The price depends on the speed at which you write to us . After payment , we will send you a decryption tool and assist you in decrypting all files 
Mail address ! 
chinahelp2023@nigge.rs 
datahelp2023@cyberfear.com 
Free decryption test as guarantee ! 
Integrity is our principle 
Before making the payment , you can send us a test file to prove that we are capable of recovering your data 
Attention ! 
Decryption of your files with the help of third parties may cause increased price 
Do not try to decrypt your data using third party software , it may cause permanent data loss 
Please do not (edit, delete, rename) any files , otherwise it cannot be restored 
ID 
dizI/y2N5Q4*****


Содержание записки о выкупе (на китайском):
价格取决于你给我们写信的速度 . 付款后 , 我们将向你发送解密工具 , 并协助你解密所有文件 
邮件地址 ! 
chinahelp2023@nigge.rs 
datahelp2023@cyberfear.com 
免费解密测试作为保证 ! 
诚信是我们的原则 
在付款之前 , 你可以向我们发送测试文件以证明我们有能力恢复你的数据 
注意 ! 
在第三方的帮助下解密你的文件可能会导致价格上涨 
请勿尝试使用第三方软件解密你的数据 , 这可能会导致数据永久丢失 
请不要 (编辑, 删除, 重命名) 任何文件 , 否则无法恢复文件 
ID 
dizI/y2N5Q4*****


Перевод записки на русский язык:
Цена зависит от скорости, с которой вы нам пишете. После оплаты мы вышлем вам инструмент для расшифровки и поможем расшифровать все файлы.
Почтовый адрес !
chinahelp2023@nigge.rs
datahelp2023@cyberfear.com
Бесплатный тест на расшифровку в качестве гарантии!
Честность – наш принцип
Перед оплатой вы можете отправить нам тест-файл, чтобы доказать, что мы способны восстановить ваши данные.
Внимание !
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.
Пожалуйста, не изменяйте (не редактируйте, не удаляйте, не переименовывайте) какие-либо файлы, иначе их невозможно будет восстановить.
ID 
dizI/y2N5Q4*****


Другим информатором жертвы является файл изображения, заменяющий обои Рабочего стола. 

LockXX Ransomware, note, wallpaper



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
wmic shadowcopy delete /nointeractive
vssadmin delete shadows /All /Quiet

➤ Использует встроенное системное средство schtasks.exe для планирования выполнение команд и программ, добавляет и удаляет задачи из расписания, запускает и останавливает задачи по запросу, очищает журналы, перезапускает Windows, а также изменяет запланированные задачи.

Интересный скриншот кода, предоставленный исследователем rivitna

LockXX Ransomware code


Отключает службы, мешающие шифрованию:  
vss, sql, svc$, memtas, mepocs, msexchange, sophos, veeam, backup, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr

Вырубает процессы, мешающие шифрованию: 
sqlservr.exe, sqlwriter.exe, sqlagent.exe, fdhost.exe,
reportingservicesservice.exe, omtsreco.exe, tnslsnr.exe, oracle.exe, emagent.exe, perl.exe, msaccess.exe, mysqld.exe, mysqld-nt.exe, msftesql.exe, mysqld_opt.exe, mydesktopservice.exe, winword.exe, excel.exe, wordpad.exe, outlook.exe, sqlbrowser.exe, winRAR.exe, 7-Zip.exe, Chrome.exe

Список типов файлов, подвергающихся шифрованию:
.0, .1, .2, .3, .4, .5, .6, .7, .7z, .8, .9, .990, .accdb, .adf, .arj, .asp, .aspx, .ba_, .back, .bah, .bak, .bal, .bco, .bk, .c, .cad, .cpp, .csv, .dat, .db, .dbf, .den, .dmp, .doc, .docx, .dsk, .dwg, .edat, .frm, .grf, .gz, .in, .ini, .json, .jsp, .kpr, .ldf, .mdb, .mdf, .mod, .myd, .myi, .ndf, .ns, .odb, .ora, .pdf, .php, .pptx, .prt, .psc, .psl, .pyc, .python, .pyw, .rar, .rbk, .rep, .scm, .shl, .sicck, .sin, .sjc, .sldprt, .sql, .tar, .tib, .txt, .vbk, .vdi, .vhd, .vhdx, .vib, .vmdk, .vmem, .vmsn, .vmx, .vswp, .wdb, .xls, .xlsx, .zip
Это документы MS Office, PDF, текстовые файлы, базы данных, бэкапы, файлы виртуальных машин, файлы программирования на Python, фотографии, файлы образов, архивы и пр. файлы, в том числе очень редкие. 

Пропускает, не шифрует файлы с расширениями: 
.386, .adv, .ani, .bat, .bin, .blf, .bmp, .cab, .chm, .cmd, .com, .content, .cpl, .cur, .deskthemepack, .diagcab, .diagefg, .diagpkg, .dll, .drv, .ess, .exe, .gho, .gif, .hds, .hip, .hta, .hxs, .icl, .ico, .ics, .idx, .iens, .jpg, .js, .jspx, .key, .lib, .lnk, .lock, .log, .mod, .mof, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pbk, .png, .pol, .prf, .psl, .regtrans-ras, .rll, .rom, .rtp, .sam, .sample, .scr, .sdi, .search-ns, .session, .shs, .snippet, .spl, .swf, .sys, .tdf, .theme, .themepack, .tmp, .trc, .ttf, .url, .vmsg, .win, .wpl, .wpx, .xml, .xsd, .xsl  

Пропускает, не шифрует файлы с именами: 
recovery data.txt, autorun.inf, boot.ini, bootmgr, bootsect.bak, bootfont.bin, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, ntuser.dat, ntuser.dat.log, ntuser.dat.log1, ntuser.dat.log2, ntuser.ini, thumbs.db 

Файлы, связанные с этим Ransomware:
lockxx.recovery_data.hta - название файла с требованием выкупа;
executable.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\executable.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\(0_O)###########
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://fuckyou.ida123.com
Email: chinahelp2023@nigge.rs, datahelp2023@cyberfear.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: d156711735a2fb0992440a2cd0a19138 
SHA-1: c8c9645ae15012eb25e83841d87a3ac6c16344aa 
SHA-256: 79468940d42d217a815eca555b9d2efe72b4f2a53e47d29076c3adde5eb9c5af 
Vhash: 01603e0f7d1bz401=z 
Imphash: 9aebf3da4677af9275c461261e5abde3


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: xiaopao, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *