BlackHeart Ransomware
Variants: BlackRouter, Pay2me, M@r1a (Mariacbc), BlackHat, Prodecryptor, Tor+, Tsar, Badboy, Alix1011RVA
BlackHeart NextGen: BlackDream, BlackLegion
(шифровальщик-вымогатель, RaaS)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальные названия: BlackHeart и BlackRouter. На файлах разных вариантов написано: SF.exe, TR.exe, BLACKROUTER.EXE. Разработчик: Javad. Страна: Иран.
DrWeb -> Trojan.Encoder.25193, Trojan.Encoder.26976, Trojan.Encoder.28032, Trojan.MulDrop2.39589, Trojan.MulDrop8.9170, Trojan.MulDrop8.11479, Trojan.Encoder.32008, Trojan.Encoder.32388, Trojan.Encoder.32594, Trojan.Encoder.32813, Trojan.EncoderNET.31365
ALYac -> Trojan.Ransom.BlackHeart, Trojan.Ransom.SF
BitDefender -> Gen:Variant.Ransom.BlackHeart.4, Dropped:Trojan.GenericKD.30639318, Trojan.GenericKD.40528175, Generic.Ransom.WCryG.*
ESET-NOD32 -> Win32/TrojanDropper.Binder.NBH, A Variant Of MSIL/Filecoder.OI, A Variant Of MSIL/Filecoder.IX
Malwarebytes -> Ransom.BlackRouter, Ransom.BlackHeart
TrendMicro -> Ransom_BLACKHEART.THDBCAH, Ransom.MSIL.FILELOCK.SM
© Генеалогия: Общий крипто-строитель SF Ransomware >> Spartacus, Satyr, BlackRouter, BlackHeart > M@r1a, BlackHat, Prodecryptor, Tor+, Tsar, Badboy и другие
К зашифрованным файлам добавляются расширения (в разных вариантах):
.BlackRouter или .pay2me
Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: ReadME-BLackHeart.txt
Malwarebytes -> Ransom.BlackRouter, Ransom.BlackHeart
TrendMicro -> Ransom_BLACKHEART.THDBCAH, Ransom.MSIL.FILELOCK.SM
© Генеалогия: Общий крипто-строитель SF Ransomware >> Spartacus, Satyr, BlackRouter, BlackHeart > M@r1a, BlackHat, Prodecryptor, Tor+, Tsar, Badboy и другие
Изображение — логотип статьи
.BlackRouter или .pay2me
Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: ReadME-BLackHeart.txt
All your data has been locked us. You want to return? Contact to:
vahidkhaz123@qmail.com Your Personal key:
Vz**********************************************q==
Перевод записки на русский язык:
Ваши данные блокированы нами. Вы хотите вернуть? Связь на:
vahidkhaz123@qmail.com Ваш персональный ключ:
Vz**********************************************q==
Запиской с требованием выкупа также выступает экран блокировки:
Своеобразное приложение к экрану блокировки
Разработчик-вымогатель, видимо, фанат новых Star Wars.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов с помощью команды:
vssadmin.exe delete shadows /all /quiet
➤ Вместе с шифровальщиком на компьютер жертвы внедряется программа AnyDesk и кейлоггеры.
➤ Зашифрованный файл в версиях BlackHeart и BlackRouter немного отличается.
Оригинальный файл и зашифрованный BlackHeart и BlackRouter
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
SF.exe
SF.pdb
TR.exe (TR.EXE)
BLACKROUTER.EXE - исполняемый файл шифровальщика
ANYDESK.EXE - может выдавать себя за файл программы Anydesk
ReadME-BLackHeart.txt
<random>.exe - случайное название
aut3.tmp, aut4.tmp, aut5.tmp
jrw.gif
Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\BLACKROUTER.EXE
\Temp\TR.EXE
\Temp\aut3.tmp
\Temp\aut4.tmp
\Temp\aut5.tmp
\AppData\Local\temp\tmp\jrw.gif
C:\Users\admin\AppData\Local\Temp\BLACKROUTER.EXE
C:\Users\admin\AppData\Local\Temp\ANYDESK.EXE
C:\Users\Javad\Desktop\Source Code2\SF\obj\Debug\SF.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: vahidkhaz123@qmail.com
Telegram.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >> VT>> VT>> VT>>
ᕒ ANY.RUN анализ (.BlackRouter)>> AR (.pay2me) >>
🐞 Intezer анализ >> IA>> IA>> IA>>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Общий крипто-строитель SF Ransomware - апрель 2018 или раньше
Spartacus Ransomware - 15 апреля 2018
BlackRouter Ransomware - 15 апреля 2018, январь 2019
Satyr Ransomware - 18 апреля 2018
RansomAES Ransomware - 7 мая 2018
BlackHeart Ransomware - 21 апреля 2018, июнь 2020
M@r1a Ransomware - 3 ноября 2018, май 2019
BlackHat Ransomware - 4 декабря 2018
Prodecryptor Ransomware - апрель 2019
Tor+ Ransomware - декабрь 2019
Tsar Ransomware - февраль 2020
Badboy Ransomware - июнь 2020
Alix1011RVA Ransomware - сентябрь 2020
Prodecryptor - январь 2021 или раньше
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 3 ноября 2018:
Пост в Твиттере >>
Самоназвание: M@r1a
См. отдельную статью M@r1a Ransomware
Расширение: .mariacbc
Записка: ReadME-M@r1a.txt
Telegram: @MAF420
Email: farhani.ma98@gmail.com
BTC: 1EME4Y8zHLGQbzjs9YZ5fnbaSLt4ggkRso
Результаты анализов: VT + HA + VMR
Обновление от 4 декабря 2018:
Пост в Твиттере >>
🎥 Видеообзор >>
Расширение: .BlackHat
Email: mehtihack051@qmail.com
Telegram: @C3NTER
Файл EXE: SF.exe с иконкой с большой красной буквой "B".
Результаты анализов: VT + VMRay
=== 2019 ===
Обновление от 7 января 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .BlackRouter
Записка: ReadME-BlackRouter.txt
Telegram: t.me/MOH3EN2
Результаты анализов: VT + HA + VMR + AR
Этот вариант рекламируется как RaaS в хакерском канале Telegram иранским разработчиком. Аффилированные партнеры, которые заплатили за RaaS и распространяют BlackRouter, получают 80% от уплаченных выкупов, а 20% получает разработчик BlackRouter. Подробнее в статье BC >>
Обновление от 29 апреля 2019:
Пост в Твиттере >>
Видеообзор >>
Расширение: .Prodecryptor
Записка: ReadME-Prodecryptor@gmail.com.txt
Email: Prodecryptor@gmail.com
Результаты анализов: VT + VMR
Обновление от 29 апреля 2019:
Пост в Твиттере >>
Видеообзор >>
Расширение: .Prodecryptor
Записка: ReadME-Prodecryptor@gmail.com.txt
Email: Prodecryptor@gmail.com
Результаты анализов: VT + VMR
Обновление от 2 мая 2019:
Пост в Твиттере >>
Пост в Твитере >>
Расширение: .mariacbc
Записка: ReadME-Encryptor.txt
BTC: 1AnAZFK93T6xWfWHajwjtYeqQwVRMYFd2b
Email: Encrypt0rvps@gmail.com
Telegram: @@EncryptorVps
Результаты анализов: VT + VMR + AR
Обновление от 5 декабря 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .Tor+
Записка: ReadME-Unlockme501@protonmail.ch.txt
Email: Unlockme501@protonmail.ch
Результаты анализов: VT + VMR + AR
All your data has been locked us. You want to return? Contact to Email: Unlockme501@protonmail.ch Your Personal KEY: EfSDHYq8uvBqyO7FTzHaB4fuol4FWB4wM0bI*** [всего 344 знака]
=== 2020 ===
Обновление от 26 февраля 2020:
Пост в Твиттере >>
Расширение: .Tsar
Записка: ReadME-Tsar.txt
Email: Decrypt.Russ©protonmail.com
Результаты анализов: VT + AR + VMR + IA
Обновление от 12 июня 2020:
Топик на форуме >>
Расширение (предположительно): .blackheart
Записка: readme.txt
Email: recover10@tutanota.com, recoverunknown@aol.com
All your files have been encrypted due to security problem with your PC.
If you want to restore them, write us to the email recover10@TUTANOTA.COM
In case of no answer in 24 hour write us to this email: RECOVERUNKNOWN@aol.com
Note that your email must contain your ID and Unique Key.
Your ID: 54A5D***
Your Unique Key: d6S+bBXefileuQmOmWr9iDzS5EnT0QH9V*** [всего 684 знака]
Обновление от 15 июня 2020:
Пост в Твиттере >>
Самоназвание: Badboy, Badboymnb
Расширение: .Badboy
Записка: ReadME-BadboyEncryption.txt
Email: alix1011@protonmail.com
Email: Aryan.mo@yahoo.com
Файл EXE: Badboymnb.exe
Размещение файла: C:\Users\User\AppData\Local\Temp\Badboymnb.exe
Файл проекта: C:\Users\ali\Desktop\MUSIC\obj\Debug\Badboymnb.pdb
Команда на удаления теневых копий:
"cmd.exe" /c vssadmin.exe delete shadows /all /quiet
vssadmin.exe delete shadows /all /quiet
Результаты анализов: VT + TG + IA + VMR
Файл EXE: Badboymnb.exe
Размещение файла: C:\Users\User\AppData\Local\Temp\Badboymnb.exe
Файл проекта: C:\Users\ali\Desktop\MUSIC\obj\Debug\Badboymnb.pdb
Команда на удаления теневых копий:
"cmd.exe" /c vssadmin.exe delete shadows /all /quiet
vssadmin.exe delete shadows /all /quiet
Результаты анализов: VT + TG + IA + VMR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32008, Trojan.Encoder.32813
ALYac -> Trojan.Ransom.BlackHeart
BitDefender -> Generic.Ransom.WCryG.B214A5E3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LK
TrendMicro -> Ransom.MSIL.FILELOCK.SM
---
➤ Содержание txt-записки:
All your data has been locked us.
You want to return? Contact to Email: alix1011@protonmail.com
Your Personal Key :
XAprJY8ac0+cVEBkFYgVr+VkOi202U1+SQ*** [всего з44 знака]
➤ Содержание текста с экрана:
Your System Has Been Hacked
Personal Key :
***
Warning: Please Don't Restart or Shutdown Your PC ,
If do it Your Pesonal Files Permanently Crypted.
For Decrypt Your Personal Just Pay Btc, After Pay You Can send personal key to
My Email: alix1011@protonmail.com
My Wallet In Blockchain For Pay Contact Me: alix1011@protonmail.com
Contact Me : alix1011@protonmail.com
Обновление от 6 августа 2020:
Пост в Твиттере >>
Расширение (без точки): Drheshi@protonmail.com.3tp2PDRJuaNSGk1c и другие
Email: Drheshi@protonmail.com
Email: ellenfabiana01@protonmail.com
Email: MREncptor@protonmail.com
Файл проекта: C:\Users\mlios\Desktop\Zero\SF\obj\Debug\SF.pdb
Обновление от 24-31 августа 2020:
Пост в Твиттере >>
Расширение (без точки): support@lzt.design.3tp2pdrjuansgk1c
Email: support@lzt.design
Файл: SF.exe
Результаты анализов: VT + VMR
Обновление от 22 августа 2020:
Расширение (без точки): Drheshi@protonmail.com.3tp2PDRJuaNSGk1c
Email: Drheshi@protonmail.com
Обновление от 14 сентября 2020:
Расширение (без точки): mrheshi@protonmail.com.3tp2PDRJuaNSGk1c
Email: mrheshi@protonmail.com
Проект: C:\Users\Asus\Desktop\Zero\Zero\SF\obj\Debug\SF.pdb
Обновление от 18 сентября 2020:
Расширение: .Alix1011RVA
Записка: ReadME-Alix1011RVAEncryption
Email: alix1011@protonmail.com
Проект: C:\Users\ali\Desktop\MUSIC\obj\Debug\Alix1011RVA.pdb
Файл: SF.exe
➤ Обнаружения >>
DrWeb -> Trojan.Encoder.32594
BitDefender -> Generic.Ransom.WCryG.*
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LK
Tencent -> Msil.Trojan.Encoder.Gbr
TrendMicro -> Ransom.MSIL.FILELOCK.SM
Вариант от 30 января 2020:
Расширение: .Prodecryptor
Email: Prodecryptor@gmail.com
Файл проекта: dotnet\Prodecryptor\SF\obj\Debug\SF.pdb
➤ Обнаружения >>
DrWeb -> Trojan.EncoderNET.31365
ALYac -> Trojan.Ransom.BlackHeart
BitDefender -> Generic.Ransom.Spora.08B3B542
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LK
Malwarebytes -> Malware.AI.4166999267
Tencent -> Msil.Trojan.Encoder.Ajvl
TrendMicro -> Ransom.MSIL.FILELOCK.SM
Прошли годы... 2021, 2022.
Я не отслеживал новые варианты. Оказывается они были.
=== 2023 ===
Вариант от 22 октября 2023:
Доп. название: BlackDream Ransomware
Расширение: .BlackDream
Список вариантов расширений:
.BlackDream
.Blackdream
.blackDream
.blackdream
Полное расширение (пример): .[644F1DCB].[Blackdream01@zohomail.eu].BlackDream
Записка: ReadME-Decrypt.txt
Telegram: @blackdream_support
Email-1: Blackdream01@zohomail.eu
Email-2: Blackdream01@skiff.com
Файл проекта: Windows Security.pdb
Исходный проект: SF.pdb
Путь к файлу нового проекта: C:\Users\asghar\Desktop\MyProject\Zero\SF\obj\Debug\Windows Security.pdb
Файл exe: Windows Security.exe
MD5: 4c1665f1516ff9d28d583160e88996e0
SHA-1: 86894c005222d728b842d4e4b33f11db563e8da3
SHA-256: 9c242c9ba6744d37141831a823cbe4e3fa4c5a3394979048b066ff01e0191a14
Vhash: 215036151512208412b0026
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
Обнаружения:
BitDefender -> Gen:Heur.Ransom.Imps.3
DrWeb -> Trojan.EncoderNET.31365
ESET-NOD32 -> A Variant Of MSIL/WannaScream.B
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Backdoor:Win32/Bladabindi!ml
TrendMicro -> Ransom.MSIL.BLCKDREAM.THJBEBC
---
➤ Строки из записки:
Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !
Please put your Unique ID as the title of the email or as the starting title of the conversation.
* Note that your files have not been harmed in any way they have only been encrypted by our algorithm. Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !
* For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *
Telegram Id : @blackdream_support
Mail 1 : Blackdream01@zohomail.eu
Mail 2 : Blackdream01@skiff.com
You will receive btc address for payment in the reply letter
--------------------------------! Important !
Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us , it will rеsult оnly priсе incrеаsе!
Plеаsе nоte that we are professionals and just doing our job !
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu !
"
UniqueID: ********
Your Personal ID:
***
Вариант от 28 ноября 2023:
Доп. название: BlackLegion Ransomware
Расширение: .BlackLegion
Полное расширение (пример): .[644F1DCB].[BlackLegion@zohomail.eu].BlackLegion
Записка: DecryptNote.txt
Telegram: @blackdream_support
Email-1: Blackdream01@zohomail.eu
Email-2: Blackdream01@skiff.com
Файл: svchost.exe
Фальш-копирайт: Microsoft, Windows
---
MD5: 105d4038a3514df2766eb7e6a1d045e9
SHA-1: 92d4a99c61348697ccd787569b6ad971886b9091
SHA-256: 300121b54db8642063566ad60392a985208ccf344774334b5f5041887fd8b3a0
Vhash: 215036151512209712b0027
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
Обнаружения:
BitDefender -> Gen:Heur.Ransom.Imps.3
DrWeb -> Trojan.MulDrop24.45839
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BAY
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Ransom:MSIL/BlackLegion.DA!MTB
TrendMicro -> Ransom.MSIL.BLACKLEGION.THLOFBC
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (1st ID as Spartacus, 2nd ID as BlackHeart) Write-up, Topic of Support *
Thanks: Jakub Kroustek, Bart, Michael Gillespie, MalwareHunterTeam S!Ri, GrujaRS, dnwls0719, Kangxiaopao Andrew Ivanov (article author) *
© Amigo-A (Andrew Ivanov): All blog articles.