Если вы не видите здесь изображений, то используйте VPN.

вторник, 2 июня 2020 г.

FonixCrypter

FonixCrypter Ransomware

Fonix Ransomware

Variants: Repter, XINOF

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa + RSA, а затем требует написать на email вымогателей, чтобы заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: FonixCrypter и Fonix Ransomware. На файле написано: нет данных. Разработка: FonixTeam.
---
Обнаружения:
DrWeb -> Trojan.Encoder.31902, Trojan.Encoder.32210, Trojan.Encoder.33262, Trojan.Encoder.33394
Avast/AVG -> Win32:Malware-gen
Avira (no cloud) -> TR/Diss.cxjcx
BitDefender -> Trojan.GenericKD.43207004, Gen:Variant.Razy.603845, Dropped:Generic.Ransom.DMR.C4685C28
ESET-NOD32 -> A Variant Of Generik.IZSVMDG, A Variant Of Win64/Filecoder.BY
Kaspersky -> Trojan.Win32.Diss.suvbu
Rising -> Trojan.Diss!8.7F0 (CLOUD), Ransom.Fonix!1.CA6D (CLASSIC)
Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Diss.Wtnj, Win32.Trojan.Filecoder.Sxny
TrendMicro -> Trojan.Win32.MALREP.THFOCBO, TROJ_GEN.R002H0CGC20, Ransom_Filecoder.R002C0DKT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Afrodita >> FonixCrypter

FonixCrypter
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Fonix

Фактически используется составное расширение по шаблону: .EMAIL=[fonix@tuta.io]ID=[<id>].Fonix

Этимология названия:
Fønix (датский) = Phoenix (английский)
Főnix (венгерский) = Phoenix (английский)
Таким образом обыгрывается название типа Феникс. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен и загружен на VT в конце мая, но представлен в начале июня 2020 г.. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # How To Decrypt Files #.hta



Содержание записки о выкупе:
All your important files like photoes, documents, audios and etc
has been encrypted by FonixCrypter using strong cryptography algorithms Salsa20and RSA 4098
Decryption key is hold in our server
!!Recovery tools and other software will not help you !!
The only way to receive your key and decrypt your files is the payment with bitcoin
You have to 48 hours(2 Day) To contact or paying us
After that, you have to Pay Double!!
Our Email = fonix@tuta.io
in case of no answer in 24 hours write us to this Email = fonix@mailfence.com
if you don't know how to buy bitcoin you can use this link
https://www.coindesk.com information/how-can-i-buv-bitcoins
the easiest way to buy bitcoin is localBitcoins
https://localbitcoins.com/
Note: Before payment, you can contact with us and send 1 free small file (size less 2Mb) as decryption test
The test files shouldn't contain valuable data like large SQL or Backup files.
ATTENTIONS :
- Don't delete any files or rename encrypted files
- If you using other applications to decrypt, it may damage your files
- Don't find your backups? they have been Successfully encrypted too or securly wiped.
Regards-FonixTeam

Перевод записки на русский язык:
Все ваши важные файлы, такие как фотографии, документы, аудио и т. д. зашифрованы FonixCrypter с использованием надежных алгоритмов криптографии Salsa20 и RSA 4098
Ключ расшифровки хранится на нашем сервере
Инструменты восстановления и другие программы не помогут вам!
Единственный способ получить ваш ключ и расшифровать ваши файлы - это оплата биткойнами
Вам нужно 48 часов (2 дня), чтобы связаться или заплатить нам
После этого вам придется платить дважды!
Наш Email = fonix@tuta.io
в случае отсутствия ответа в течение 24 часов напишите нам на этот Email = fonix@mailfence.com
если вы не знаете, как купить биткойн, вы можете воспользоваться этой ссылкой
https://www.coindesk.com информация / how-can-i-buv-bitcoins
Самый простой способ купить биткойны - это localBitcoins
https://localbitcoins.com/
Примечание. Перед оплатой вы можете связаться с нами и отправить 1 бесплатный небольшой файл (размер менее 2 МБ) в качестве тест-расшифровки.
Тестовые файлы не должны содержать ценные данные, такие как большие файлы SQL или резервные файлы.
ВНИМАНИЕ:
- Не удаляйте файлы и не переименовывайте зашифрованные файлы.
- Если вы используете другие приложения для расшифровки, это может повредить ваши файлы
- Не нашли свои резервные копии? они были также успешно зашифрованы или надежно стерты.
С уважением-FonixTeam



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Удаляет теневые копии файлов, манипулирует размером теневого хранилища, отключает функции восстановления и исправления Windows на этапе загрузки командами:
C:\Windows\system32\cmd.exe /c cmd.exe /c vssadmin Delete Shadows /All /Quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet/ & icacls * /grant Everyone:(OI)(CI)F /T /C /Q

 Отключает в реестре Windows Defender и TaskManager командами:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f

C:\Windows\system32\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f

➤ Добавляет себя в Автозагрузку Windows, регистрируя раздел "PhoenixTechnology":
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ /v "PhoenixTechnology" /t REG_SZ /d C:\Users\Admin\AppData\Local\TempFonixCrypter.exe /f

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# How To Decrypt Files #.hta - название файла с требованием выкупа; 
TempFonixCrypter.exe
Fonix decrypter.exe - файл оригинального дешифровщика; 
ServerDecrypter.exe - файл оригинального дешифровщика; 
de8a4978d6541c3abc958757d9fb3909c6cd58447a67877177c3434cb7438e2e.exe - случайное название вредоносного файла; 
cpub.key 
cpriv.key 
spub.key 
spriv.key 
Иконка исполняемого файла FonixCrypter

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Users\Admin\AppData\Local\TempFonixCrypter.exe
\%TEMP%\ ->
%TEMP%\cpub.key
%APPDATA%\cpub.key
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Cpriv.key 
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\# How To Decrypt Files #.hta 
C:\Users\User\AppData\Roaming\Microsoft\Word\STARTUP\# How To Decrypt Files #.hta 
C:\Users\User\AppData\Roaming\Microsoft\Word\STARTUP\Cpriv.key Files #.hta
%TEMP%\cpriv.key
%APPDATA%\cpriv.key

Записи реестра, связанные с этим Ransomware:
\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\PhoenixTechnology = "C:\\Users\\Admin\\AppData\\Local\\TempFonixCrypter.exe"
\REGISTRY\USER\S-1-5-21-910373003-3952921535-3480519689-1000\Software\Microsoft\Windows\CurrentVersion\Run\PhoenixTechnology = "C:\\Users\\Admin\\AppData\\Local\\TempFonixCrypter.exe"
\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\PhoenixTechnology = "C:\\Users\\Admin\\AppData\\Local\\TempFonixCrypter.exe"
\REGISTRY\USER\S-1-5-21-910373003-3952921535-3480519689-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\PhoenixTechnology = "C:\\Users\\Admin\\AppData\\Local\\TempFonixCrypter.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\PhoenixTechnology
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\PhoenixTechnology
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\PhoenixTechnology
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\repter\Index
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\repter\Id
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\PhoenixTechnology
---
Удаляет ключ реестра:
HKLM\System\CurrentControlSet\Control\SafeBoot\AlternateShell
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fonix@tuta.io, fonix@mailfence.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 июля 2020:
Пост в Твиттере >>
Расширение: .repter
Составное расширение: .EMAIL=[repter@tuta.io]ID=[<id>].repter
Примертакого расширения: .EMAIL=[repter@tuta.io]ID=[B2AA21BF].repter
Email: repter@tuta.io
Файл EXE: Repter.exe
Результаты анализов: VT + IA



Обновление от 12 июля 2020:
Пост в Твиттере >>
Расширение: .XINOF
Составное расширение: .Email=[Thunder@fonix.email]ID=[<id>].XINOF
XINOF - это FONIX наоборот.
Записка: How To Decrypt Files.hta
Email: Thunder@fonix.email
Файл в Автозагрузке: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\XINOF.exe
Файл: C:\Users\User\AppData\Local\Temp\XINOF.exe
Результаты анализов: VT + IA + TG



Обновление от 5 августа 2020:
Пост в Твиттере >>
Расширение: .XINOF
Записки TXT: Help.txt, Hello Michaelle Gllips.txt

 

Email: ransom12344@fonix.email, ransom12344@protonmail.com

Записка HTA: How To Decrypt Files.hta

 

Файл: XINOF.exe
Результаты анализов: VT + VT

Обновление от 3 сентября 2020:
Расширение: .XINOF
Составное расширение: .Email=[Flashkingg@cock.li]ID=[BF2DDDFE].XINOF
Email: Flashkingg@cock.li
Специальный файл: Cpriv.key

Обновление от 9 сентября 2020:
Расширение: .XINOF
Составное расширение: .Email=[GreenArrow@cock.li]ID=[FE1FE292].XINOF
Email: GreenArrow@cock.li
Специальный файл: Cpriv.key

Обновление от 10 октября 2020:
Расширение: .XINOF
Составное расширение: .Email=[Encgod93@gmail.com]ID=[8F478483].XINOF
Записки: Help.txt, How To Decrypt Files.hta
Специальный файл: Cpriv.key

Обновление от 12 октября 2020:
Пост в Твиттере >>
Расширение: .XINOF
Составное расширение: .Email=[Maschinengewehr@fonix.email]ID=[8F435467].XINOF
Записки: Help.txt, How To Decrypt Files.hta
Email: Maschinengewehr@fonix.email, Maschinengewehr@cock.li



Специальные файлы: Cpub.key, Cpriv.key
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32767
ALYac -> Trojan.Ransom.Fonix
Avira (no cloud) -> TR/Ransom.Fonix.A
BitDefender -> Generic.Ransom.DMR.9D5F0326
ESET-NOD32 -> A Variant Of Win32/Filecoder.FONIX.A
Kaspersky -> Trojan-Ransom.Win32.Fonix.c
Microsoft -> Ransom:Win64/FonixCrypt.AC!MTB
Rising -> Ransom.Fonix!1.CA6D (CLASSIC)
TrendMicro -> Ransom_FonixCrypt.R002C0DJ121

Вариант от 21 октября 2020: 
Расширение: .XINOF
Составное расширение: .Email=[satanishere@tutanota.com]ID=[XXXXXXXX].XINOF
Записки: Help.txt, How To Decrypt Files.hta
Email: satanishere@tutanota.com
Результаты анализов: VT + IA


➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32910
ALYac -> Trojan.Ransom.Fonix
BitDefender -> Generic.Ransom.DMR.D60D3EFB
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Malwarebytes -> Ransom.Fonix

Вариант от 23 октября 2020: 
Версия: v.4.2.1
Расширение: .XINOF
Составное расширение: .Email=[bondbond1@protonmail.com]ID=[XXXXXXXX].XINOF
Записки: Help.txt, How To Decrypt Files.hta
Email: bondbond1@protonmail.com
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32924
ALYac -> Trojan.Ransom.Fonix
BitDefender -> Generic.Ransom.DMR.F72B4C1F
ESET-NOD32 -> A Variant Of Win32/Filecoder.FONIX.A
Malwarebytes -> Ransom.Fonix
TrendMicro -> Ransom.Win32.FONIX.SMTH


Обновление от 29 ноября 2020:
Расширение: .XINOF
Email: SatanWasHere@Cock.li, SatansSlave@Cock.li
Записки: Help.txt, How To Decrypt Files.hta
Специальные файлы: Cpub.key, Cpriv.key
Файл: XINOF.exe
Результаты анализов: VT + AR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33262
BitDefender -> Dropped:Generic.Ransom.DMR.C4685C28
ESET-NOD32 -> A Variant Of Win32/Filecoder.FONIX.A
Microsoft -> Ransom:Win32/Filecoder.EA!MTB
Rising -> Ransom.Fonix!1.CA6D (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Sxny
TrendMicro -> Ransom_Filecoder.R002C0DKT20



В HTA-записке использует следующие изображения: XINOFLOGO.png, XINOFALERT.png, но они почему-то не отображаются.

  

Использует экран обновления Windows, имитируя установку обновлений.




=== 2021 ===

Вариант от 1 января 2021: 
Версия: 4.4.1
Расширение: .XINOF
Записки: Help.txt, How To Decrypt Files.hta
Email: Crxl@hackorans.com, CrXL@cock.li
Файл: XINOF.exe
Результаты анализов: AR (rar) / VT + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33394
ALYac -> Trojan.Ransom.Fonix
BitDefender -> Generic.Ransom.HydraCrypt.276E237A
ESET-NOD32 -> A Variant Of Win32/Filecoder.FONIX.A
Malwarebytes -> Ransom.Fonix
Symantec -> ML.Attribute.HighConfidence




Вариант от 3-4 января 2021: 
.Email=[supportfonix@criptext.com]ID=[1E6ED54A].XINOF

Вариант от 24 января 2021: 
Версия: 4.3.2
Записка: How To Decrypt Files.hta


Файл проекта: C:\~Ransomware\Fonix - 4.3.2\x64\Release\Fonix.pdb
Файл: XINOF.exe
Результаты анализов: VT + VMR
Мьютекс: XINOF4MUTEX
Некоторые разделы реестра с именем Майкла Гиллеспи: 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Michael Gillespie
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Michael Gillespie
HKEY_CURRENT_USER\Software\Microsoft\Command Processor


Обновление от 29 января 2021: 
Вымогатели объявили о том, что они закрыли свою вредоносную компанию, опубликовали мастер-ключи и свой дешифровщик. 








Они постарались максимально привлечь внимание к этому событию, создав аккаунт в Твиттере с большим баннером. 


После этого Лаборатория Касперского обновила свой RakhniDecryptor, чтобы пострадавшие могли расшифровать файлы. 


Зашифрованные файлы могут быть расшифрованы, кроме тех, которые были повреждены. 



Вариант версии 4.3.2 от 17 апреля 2021:
Сообщение >>  - найдено 21 апреля 2021. 
Расширение: .harma 
Имитация под Dharma Ransomware. 
Email: decryptioner@airmail.cc, Decryptioner@uncryptfile.com
Файл проекта: C:\~Ransomware\Fonix - 4.3.2 - DharmaVersion\x64\Release\Fonix.pdbVT: C53F1932C9B1AEF9869B856ADB05F587 - непубличный образец



Вариант от 30 июля 2021: 
Расширение: .XINOF
Расширение: .Email=[decryptyourfiles@firemail.cc]ID=[4D061395].XINOF
Записки: Help.txt, How To Decrypt Files.hta
Email: decryptyourfiles@firemail.cc, decryptioner@airmail.cc, Mr.decryption@protonmail.com
C:\Users\Phoenix\Downloads\cryptopp800
Файл: XINOF4.3.232.exe
Результаты анализов: VT + AR




Вариант от 24 августа 2021:
Расширение: .RYK
Записка: RyukReadMe.txt
Email: decryptioner@uncryptfile.com, decoder@firemail.com
Это не первый раз, когда Fonix выдает себя за другой Ransomware. 



*** Однотипные варианты пропущены ***


Вариант от 23 февраля 2023:
Новый вариант Fonix (от 23 февраля) притворяется Ryuk - имя файла, мьютекс, запланированное задание... Его тоже можно расшифровать. 
Avast обновили бесплатную версию своего дешифратора. 
---
Расширение: .[Vulcanteam@CYBERFEAR.COM].RYK
Записка: RyukReadMe.txt
Email: Vulcanteam@CYBERFEAR.COM, vulcanteam@inboxhub.net
Файл: ryuk.exe
Результаты анализов: VT + TG






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно расшифровать!
Вымогатели опубликовали мастер-ключи.
Лаборатория Касперского и Avast сделали дешифровщики. 
Скачайте RakhniDecryptor по ссылке >>
Скачайте FONIX FIX для расшифровки >>
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as FonixCrypter)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, dnwls0719
 Andrew Ivanov (author)
 Emmanuel_ADC-Soft, Gruja RS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 1 июня 2020 г.

WastedLocker

WastedLocker Ransomware

Alieases: Wasted, Launchy, BinADS, BinLocker

Variants: Easy2lock, Hades, SecCrypt, Phoenix Cryptolocker, PayloadBin, Macaw

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные компаний, бизнес-пользователей, содержимое их сайтов и серверов с помощью AES-256 (режим CBC) + RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название в записке не указано, а на файле написано: Launchy и Launchy.exe. Подписан сертификатами X509. В других вариантах может быть что-то другое. Используется только в целевых атаках на организации и предприятия. Разработка группы Evil Corp (Indrik Spider), которую зарубежные исследователи считают российской или пророссийской.  
---
Для справки: 
Ранее группу Evil Corp (Indrik Spider) США обвинили в разработке и распространении вредоносной программы Dridex, предназначенной для заражения компьютеров банков и компаний более чем в 40 странах, заочно осудили и наложили санкции на всех перечисленных. Спустя неделю оказалось, что часть информации недостоверна и из санкционного списка можно смело исключить некоторые российские компании и несколько человек. Написание некоторых фамилий "обвиненных" искажены и могут относиться к вымышленным лицам. Более того, найдено немало вбросов со стороны украинских и антироссийских СМИ, которые усиленно муссируют недостоверную информацию. Сколько недостоверностей мы ещё узнаем и как можно верить заказным и муссированным "расследованиям" с картинками из социальных сетей? 
... Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на членов кибергруппировки Evil Corp в декабре 2019 года после того, как им было предъявлено обвинение в использовании Dridex для причинения финансового ущерба в более 100 миллионов долларов. Теперь пострадавшие компании и организации, которые решат заплатить выкуп вымогателям, а также финансовые учреждения, фирмы киберстрахования и даже компании, занимающиеся цифровой криминалистикой и реагированием на инциденты, фактически рискуют нарушить правила OFAC и тоже попасть под финансовые санкции. 
... Согласно закону и постановлению о санкциях, администрируемых OFAC, эта самая OFAC может налагать гражданско-правовые санкции за нарушение санкций на основе строгой ответственности, т.е. лицо, подпадающее под юрисдикцию США, может быть привлечено к гражданской ответственности, даже если оно не знало или не имело оснований знать, что оно совершает транзакцию с лицом, которое находится под запретом. Cсылка на статью >>
... Чтобы обойти санкции OFAC и получать выкуп от вымогательства Evil Corp выпустили измененные версии на основе WastedLocker. Таким образом, пока их связь с новыми вариантами крипто-вымогателя не расследована и не подтверждена, а санкции не расширены, новые варианты криптовымогателя WastedLocker способствуют выкупному финансированию Evil Corp. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31904, Trojan.Encoder.31951, 
Trojan.Encoder.32261, Trojan.Encoder.32802, Trojan.Encoder.32876
ALYac -> Trojan.Ransom.WastedLocker
Avast/AVG -> Win32:DangerousSig [Trj]
Avira (no cloud) -> TR/Crypt.Agent.dsidt, TR/Crypt.Agent.ujiiq
BitDefender -> Gen:Variant.Fugrafa.45363, Trojan.GenericKD.34029721
ESET-NOD32 -> A Variant Of Win32/Kryptik.HDVS, Win32/Filecoder.WastedLocker.A
Kaspersky -> HEUR:Backdoor.Win32.Mokes.vho
Malwarebytes -> Ransom.BinADS
McAfee -> GenericRXKY-IH!13E623CDFB75
Microsoft -> Trojan:Win32/Gozi.RA!MTB, Trojan:Win32/Ymacco.AA5C
Qihoo-360 -> Win32/Backdoor.588, Win32/Trojan.236
Rising -> Backdoor.Mokes!8.619 (CLOUD), Spyware.Ursnif!8.1DEF (CLOUD)
Symantec -> Ransom.WastedLocker
TrendMicro -> TrojanSpy.Win32.QAKBOT.SMTHA.hp, Ransom.Win32.WASTEDLOCKER.AA
VBA32 -> BScope.Malware-Cryptor.Hlux, BScope.TrojanRansom.Shade
---

© Генеалогия: IEncryptBitpaymer или другой из предыдущих >> WastedLocker > Hades и другие


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: 
.<abbreviated_company_name>wasted
.<org_name>wasted

Таким образом, используется сокращенное название компании или организации (аббревиатура), например, 
от "Email Server" сокращение будет ES, а расширение .eswasted
от "BBA" сокращение будет BBA, а расширение .bbawasted



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на вторую половину мая и первую половину июня 2020 г. Штамп даты на разных файлах: 15 апреля, 16, 26, 29, 31 мая 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Проанализированные образцы в основном принадлежат крупным организациям и компаниям из США. 

Записка с требованием выкупа называется по шаблону encrypted_file_info и создается для каждого зашифрованного файла.

Записка не имеет расширения .txt, но открыть её можно с помощью Блокнота. 

Таким образом:
1.jpg.eswasted - зашифрованный файл в нашем примере
1.jpg.eswasted_info - записка для зашифрованного файла



Содержание записки о выкупе:
***
YOUR NETWORK IS ENCRYPTED NOW
USE *****@PROTONMAIL. COM | *****@TUTANOTA.COM TO GET THE PRICE FOR YOUR DATA
DO NOT GIVE THIS EMAIL TO 3RD PARTIES
DO NOT RENAME OR MOVE THE FILE
THE FILE IS ENCRYPTED WITH THE FOLLOWING KEY:
[begin_key]***
***[end_key]
KEEP IT

Перевод записки на русский язык:
***
ВАША СЕТЬ СЕЙЧАС ЗАШИФРОВАНА
ИСПОЛЬЗУЙТЕ *****@PROTONMAIL.CОМ | *****@TUTANOTA.COM, ЧТОБЫ ПОЛУЧИТЬ ЦЕНУ НА ВАШИ ДАННЫЕ
НЕ ПЕРЕДАВАЙТЕ ЭТИ EMAIL ТРЕТЬИМ ЛИЦАМ
НЕ ПЕРЕИМЕНОВЫВАЙТЕ И НЕ ПЕРЕМЕЩАЙТЕ ФАЙЛ
ФАЙЛ ЗАШИФРОВАН СЛЕДУЮЩИМ КЛЮЧОМ:
[begin_key]***
***[end_key]
СОХРАНИТЕ ЭТО



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ WastedLocker использует документированный метод обхода UAC. После запуска он выбирает случайный файл (EXE или DLL) в папке C:\Windows\System32, копирует его в папку %APPDATA% под другим скрытым именем файла без расширения. Затем он создает альтернативный поток данных (ADS), прикрепляет его к bin-файлу, копирует в него исполняемый файл шифровальщика и выполняет. Затем WastedLocker копирует winsat.exe и winmm.dll во вновь созданную папку, расположенную в Temp-папке Windows. После загрузки перехваченная DLL (winmm.dll) исправляется для выполнения вышеупомянутых ADS.



 

Например, берет имя от файла Pn.exe из системной папки и выполняет Pn:bin в папке %AppData%. 
Полный путь файлов из примера: 
C:\Windows\SysWOW64\Pn.exe
C:\Users\Admin\AppData\Roaming\Pn:bin

➤ WastedLocker использует "RSAREF" - общедоступную эталонную реализацию RSA-алгоритма.

➤ Ключ AES, IV, хэш MD5 исходного содержимого, а также некоторая вспомогательная информация зашифрованы с помощью открытого ключа RSA, встроенного в тело шифровальщика.

 Подробности шифрования: 
После выполнения Wasted Locker пытается зашифровать файлы на всех найденных дисках, пропуская файлы в определенных папках и с  определёнными расширениями. Каждый файл шифруется с использованием алгоритма AES с вновь сгенерированным ключом AES и IV (256-бит в режиме CBC) для каждого файла. Ключ AES и IV шифруются с помощью встроенного открытого ключа RSA (4096 бит). Полученный результат преобразуется в base64 и затем сохраняется в записке с требованием выкупа.

➤ Предпринимает попытки отключить средства защиты, такие как Symantec Endpoint Protection, Защитник Windows и Cisco AMP для конечных точек.

➤ Удаляет теневые копии файлов, получает права владельца каталогов с файлами и управляет ими. Это видно на примере следующих процессов, в том числе и на скриншоте.
⏩ Созданные процессы:
C:\Users\<USER>\AppData\Roaming\Still:bin -r 
C:\Windows\system32\vssadmin.exe Delete Shadows /All /Quiet 
C:\Windows\system32\takeown.exe /F C:\Windows\system32\Still.exe 
C:\Windows\system32\icacls.exe C:\Windows\system32\Still.exe /reset 
C:\Users\<USER>\AppData\Roaming\Service:bin -r
⏩ Завершенные процессы:
C:\Windows\system32\vssadmin.exe Delete Shadows /All /Quiet 
C:\Windows\system32\takeown.exe /F C:\Windows\system32\Still.exe 
C:\Windows\system32\icacls.exe C:\Windows\system32\Still.exe /reset


 WastedLocker использует Windows Cache Manager (диспетчер кэша), чтобы избежать обнаружения. Если подробнее, то ОС Windows, чтобы повысить производительность часто используемые файлы или файлы, указанные приложением, считывает и сохраняет в кэше Windows, который использует системную память. Если программе требуется доступ к файлу, ОС проверит, находится ли он в кэше, и, если это так, загрузит его оттуда. Поскольку данные кэшируются в памяти, доступ к их содержимому намного быстрее, чем при чтении с диска.
WastedLocker, чтобы обойти обнаружение средствами защиты от программ-вымогателей, использует Windows Cache Manager, который открывает файл, считывает его в диспетчер кэша Windows, а затем закрывает исходный файл. Так как данные после этой процедуры хранятся в диспетчере кэша, WastedLocker будет шифровать содержимое файла, хранящегося в кэше, а не файл, хранящийся в файловой системе.
Когда содержимое файла, хранящегося в кэше Windows, изменяется, оно становится "грязным". Когда будет достаточно данных "загрязнено", диспетчер кэша запишет зашифрованные кэшированные данные обратно в их исходные файлы. Поскольку диспетчер кэша работает как системный процесс, программа безопасности будет видеть запись зашифрованных данных из разрешенного и легитимного процесса Windows. Из-за этого поведенческое обнаружение в защитном программном обеспечении увидит разрешенный процесс записи зашифрованных данных и не обнаруживает подозрительные действия. Подробнее см. в статье >>

Список файловых расширений, подвергающихся шифрованию:
Вместо списка целевых расширения WastedLocker использует список каталогов и расширений, которые нужно исключить из процесса шифрования. Файлы размером менее 10 байт также игнорируются, а большие файлы шифрует блоками по 64Мб. Наверняка будут зашифрованы документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые расширения: 
.<abbreviated_company_name>wasted
.386, .adv, .ani, .bak, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .dat, .diagcab, .diagcfg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ics, .idx, .ini, .key, .lnk, .mod, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .ps1, .rom, .rtp, .scr, .sdi, .shs, .sys, .theme, .themepack, .wim, .wpx

Пропускаемые директории (папки): 
\$recycle.bin
\appdata
\bin
\boot
\caches
\dev
\etc
\initdr
\lib
\programdata
\run
\sbin
\sys
\system volume information
\users\all users
\var
\vmlinuz
\webcache
\windowsapps
c:\program files (x86)
c:\program files
c:\programdata
c:\recovery
c:\users\%USERNAME%\appdata\local\temp
c:\users\%USERNAME%\appdata\roaming
c:\windows

Пропускаемые файлы: 
encrypted_file_info
bootmgr
grldr
ntldr

Файлы, связанные с этим Ransomware:
encrypted_file_info - название файла с требованием выкупа
%AppData%\Lsa:bin - пример созданного процесса
%AppData%\Pin:bin пример созданного процесса
lck.log - файл журнала
aa05e7a187ddec2e11fc1c9eafe61408d085b0ab6cd12caeaf531c9dca129772.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: *****@PROTONMAIL. COM
*****@TUTANOTA.COM
*****@ECLIPSO.CH
За "*****" находятся 5 цифр, в каждой записке они разные
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bitpaymer Ransomware - июль 2017
IEncrypt Ransomware - ноябрь 2018
WastedLocker Ransomware - июня 2020
Hades Ransomware - декабрь 2020
Phoenix Cryptolocker - март 2021
PayloadBin Ransomware - июнь 2021 
и другие


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

➤ Коллекция ссылок на образцы, помеченные разной датой выпуска:
Creation Time: 2020-04-15 (15 апреля): VT + VMR + HA + IA + TG
Creation Time: 2020-05-16 (16 мая): VT + VMR + HA
Creation Time: 2020-05-26 (26 мая): VT + VMR + HA
Creation Time: 2020-05-29 (29 мая): VT + VMR + IA
Creation Time: 2020-06-11 (11 июня): VT + VMR + AR + IA + TG

➤ Коллекция ссылок на образцы и анализы на сайте Intezer Analyze:
Общая ссылка: IA (5 образцов). 


Вариант от 24 июля 2020:
Сообщение >>
Статья на сайте BC >>
Расширение .garminwasted
Записка-шаблон: <filename>.garminwasted_info
Записка-пример для файла Image_2020.jpg: Image_2020.jpg.garminwasted_info
Файл EXE: Hivelist.exe
Результаты нализов: VT + HA + IA + IA + AR + TG + VMR + JSB 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32185
ALYac -> Trojan.Ransom.WastedLocker
BitDefender -> Trojan.GenericKD.43531595
ESET-NOD32 -> Win32/Filecoder.WastedLocker.A
McAfee -> Packed-GCI!2CC4534B0DD0
Microsoft -> Ransom:Win32/Garmin.SK!MTB
Rising -> Ransom.Garmin!8.11E81 (CLOUD)
Symantec -> Downloader
TrendMicro -> Ransom.Win32.WASTEDLOCKER.THGBGBO

---
Файл и поток: 
C:\Users\User\AppData\Roaming\Arbiter:bin
C:\Windows\SysWOW64\Arbiter.exe
---
Команда: 
cmd /c choice /t 10 /d y & attrib -h "C:\Users\admin\AppData\Roaming\Port" & del "C:\Users\admin\AppData\Roaming\Port"
---
Видеообзор этого варианта. 


Вариант от 30 июля 2020:
Расширение: .bbawasted
Результаты нализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32261
ALYac -> Trojan.Ransom.WastedLocker
ESET-NOD32 -> A Variant Of Win32/Packed.EnigmaProtector.J Suspicious
Malwarebytes -> Ransom.BinADS
TrendMicro -> TROJ_GEN.R002C0DKD20


Обновление от 7 октября 2020: 
WastedLocker Decrypter


Вариант от 14 октября 2020: 
Расширение: .easy2lock
Записка (шаблон названия): <filename>.eask2lock_read_me
Записка-пример для файла Image_2020.jpg: Image_2020.jpg.easy2lock_read_me
Email: leroy3564@protonmail.com
donovan4039@airmail.cc
darryl8227@msgsafe.io
Результаты нализов: VT + AR + IA + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32802
ALYac -> Trojan.Ransom.WastedLocker
ESET-NOD32 -> Win32/Filecoder.WastedLocker.A
Microsoft -> Ransom:Win32/WastedLocker.B!cert
TrendMicro -> Ransom.Win32.WASTEDLOCKER.AB
---
➤ Содержание записки: 
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorythm.
Backups were either encrypted or deleted.
Do not rename or move the encrypted files.
To get the files back contact us at:
leroy3564@protonmail.com
donovan4039@airmail.cc
darryl8227@msgsafe.io
Store the encryption key:
[begin_key]YF/23+ygd9YG1bzuinY3XxpU***LXVfD=[end_key] [всего 684 знака]


Вариант от 16 октября 2020: 
Расширение: .easy2lock
Записка (шаблон названия): <filename>.eask2lock_read_me
Результаты нализов: VT + AR + IA 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32876
ALYac -> Trojan.Ransom.WastedLocker
ESET-NOD32 -> Win32/Filecoder.WastedLocker.A
Malwarebytes -> Ransom.WastedLocker
Microsoft -> Ransom:Win32/WastedLocker.A!cert


Обновление от 23 октября 2020: 


Вариант от 17 декабря 2020:
Расширение: .<random{5}>
Записка: HOW-TO-DECRYPT-xxxxx.txt



=== 2021 ===

Вариант от 14 марта 2021:
Расширение: .seccrypt
Записка: .howto_seccrypt
Пример файла с текстом записки: UseTrace.mpeg.howto_seccrypt
Email: 16675@PROTONMAIL.CH


Файл: idconfig:bin
Результаты анализов: VT + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33621
BitDefender -> Trojan.Agent.EUGC
ESET-NOD32 -> A Variant Of Win32/Kryptik.HGSP
Malwarebytes -> Trojan.MalPack.TRE
Microsoft -> Ransom:Win32/WastedLocker.MA!MTB
Qihoo-360 -> Win32/Ransom.WastedLocker.HxQBVjUA
Rising -> Ransom.WastedLocker!8.11D3E (CLOUD)
Tencent -> Win32.Trojan.Delshad.Ebgy
TrendMicro -> Ransom_WastedLocker.R007C0DBF21


Вариант от 25 марта 2021:
Самоназвание: Phoenix Cryptolocker
Расширение: .phoenix
Записка: PHOENIX-HELP.txt
Результаты анализов: VT + IA + IA


Вариант от 4 мая 2021:
Расширение: .saverswasted
Записка для каждого файла: [original_filename].saverswasted_info 
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33901
BitDefender -> Trojan.Mint.Zamg.O
ESET-NOD32 -> A Variant Of Win32/Kryptik.HFDU
Malwarebytes -> Ransom.WastedLocker
Microsoft -> Ransom:Win32/WastedLocker.MA!MTB
TrendMicro -> Ransom_WastedLocker.R002C0CE421


Вариант от 2 июня 2021:
Самоназвание: PAYLOADBIN Ransomware
Расширение: .PAYLOADBIN
Записка: PAYLOADBIN-README.txt
Email: rickhood@armormail.net, meredithpatrick@protonmail.com
Результаты анализов: VT + JSB + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33999
Avira (no cloud) -> TR/Redcap.grcqg
BitDefender -> Trojan.GenericKD.46428899
ESET-NOD32 -> Win64/Filecoder.Conti.B
Kaspersky -> Trojan.Win32.Bingoml.bsxp
Microsoft -> Ransom:Win32/Filecoder!MSR
Symantec -> Downloader
TrendMicro -> Ransom_Filecoder.R002C0DF621
---
➤ Содержание записки: 
The network is LOCKED with PAYLOADBIN ransomware. Don't try to use other software.
For decryption KEY write HERE: #1 rickhood@armormail.net | #2 meredithpatrick@protonmail.com


Вариант от 20 октября 2021:
Новый вариант / ребрендинг: Macaw (Macaw Locker)
Записка: macaw_recover.txt


Результаты анализов: VT + IA




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage
 ID Ransomware (1st ID as Wasted, 2nd ID as WastedLocker)
 Write-up, Write-up, Write-up, Write-up, Topic of Support
 * 
Additional articles: 
Hijacking DLLs in Windows
Almost 300 Windows 10 executables vulnerable to DLL hijacking
WastedLocker Goes "Big-Game Hunting" in 2020 *
WastedLocker: technical analysis by Kaspersky (July 31, 2020)
 Thanks: 
 NccGroup, Michael Gillespie, Lawrence Abrams, Petrovic
 Andrew Ivanov (author)
 to authors of research and analysis
 to victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *