Если вы не видите здесь изображений, то используйте VPN.

среда, 17 июня 2020 г.

RansomEXX

RansomEXX Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компаний, организаций и бизнес-пользователей с помощью AES-256 (режим ECB) + RSA-4096 (для шифрования AES-ключа), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ransom.exx (указано в коде). На файле написано: mspusf.exe или что попало. Использует открытую библиотеку mbed TLS (tls.mbed.org). Для Windows и Linux систем. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32006, Trojan.Encoder.32587
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCN
Kaspersky -> Trojan-Ransom.Win32.Encoder.jdq
Malwarebytes -> Ransom.RansomEXX
Microsoft -> Ransom:Win32/FileCoder.TX!MSR
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_Encoder.R002C0PFE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Defray777 (Defray 2018-2020)
mix >> RansomEXX
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: 
.<company_name>
.<abbreviated_company_name>
.<org_name> 
.<domain_name>
или что-то около того. 
В любом случае это будет связано с названием той организации или компании, против которой это направлено. 

Примеры:
.txd0t
.dbe
.0s

Этимология названия: 
Видимо от английских слов "ransom" (выкуп) и "extension" (расширение). 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на май-июнь 2020 г. 
См. например: BCnews on May 11. BCnews on May 18
Тогда вымогатели атаковали Техасскую судебную систему (TxCourts - сайт www.txcourts.gov) и Техасский транспортный департамент (TxDOT - сайт www.txdot.gov). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Исследователи сообщили об этом только в июне 2020 г. 

Записка с требованием выкупа для Техасского транспортного департамента называлась: !TXDOT_READ_ME!.txt

Таким образом шаблон записки можно записать так: 
!XXXXX_READ_ME!.txt
!<abbreviated_company_name>_READ_ME!.txt

Здесь XXXXX будет сокращенным названием атакованной компании (аббревиатурой) с необходимым количеством заглавных букв. 



Содержание записки о выкупе:
Greetings, Texas Department of Transportation!
Read this message CAREFULLY and contact someone from IT department..
Your files are securely ENCRYPTED.
No third party decryption software EXISTS.
MODIFICATION or RENAMING encrypted files may cause decryption failure.
You can send us an encrypted file (not greater than 400KB) and we will decrypt it FOR FREE, so you have no doubts in possibility to restore all Files
From all aFFected systems ANY TIME.
Encrypted File SHOULD NOT contain sensitive inFormation (technical, backups, databases, large documents).
The rest oF data will be available aFter the PAYMENT.
infrastructure rebuild will cost you MUCH more.
Contact us ONLY if you officially represent the whole affected network.
The ONLY attachments we accept are non archived encrypted files For test decryption.
Speak ENGLISH when contacting us.
Mail us: ***@protonmail.com
We kindly ask you not to use GMAIL, YAHOO or LIVE to contact us.
The PRICE depends on how quickly you do it. 

Перевод записки на русский язык:
Приветствую, Техасский департамент транспорта!
Прочитайте это сообщение ВНИМАТЕЛЬНО и свяжитесь с кем-то из ИТ-отдела.
Ваши файлы надежно зашифрованы.
Никакой сторонней программы для расшифровки не существует.
ИЗМЕНЕНИЕ или ПЕРЕИМЕНОВАНИЕ зашифрованных файлов может вызвать сбой расшифровки.
Вы можете отправить нам зашифрованный файл (не более 400 КБ), и мы расшифруем его БЕСПЛАТНО, чтобы у вас не было сомнений в возможности восстановить все файлы из всех затронутых систем в ЛЮБОЕ ВРЕМЯ.
Зашифрованный файл НЕ ДОЛЖЕН содержать конфиденциальную информацию (техническую информацию, резервные копии, базы данных, большие документы).
Остальные данные будут доступны после ОПЛАТЫ.
Перестройка инфраструктуры обойдется вам НАМНОГО больше.
Свяжитесь с нами ТОЛЬКО если вы официально представляете всю затронутую сеть.
ЕДИНСТВЕННЫЕ вложения, которые мы принимаем, являются неархивированными зашифрованными файлами для тестовой расшифровки.
Говорите по-английски при обращении к нам.
Пишите нам: ***@protonmail.com
Мы просим вас не использовать GMAIL, YAHOO или LIVE для связи с нами.
ЦЕНА зависит от того, как быстро вы это сделаете.



Технические детали

Используется в целевых атаках на беизнес-пользователей и уязвимые корпоративные сети, централизованные системы хранения данных, в том числе работающие под управлением Linux. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, бэкапы системы, манипулирует размером теневого хранилища, отключает функции восстановления и исправления Windows на этапе загрузки, очищает журналы Windows (Application, System, Setup, Security), используя команды:
cipher /w %s
wbadmin.exe delete catalog -quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
schtasks.exe /Change /TN "\Microsoft\Windows\SystemRestore\SR" /disable
wevtutil.exe cl Application
wevtutil.exe cl System
wevtutil.exe cl Setup
wevtutil.exe cl Security
wevtutil.exe sl Security /e:false
fsutil.exe usn deletejournal /D C:

Отключает восстановление системы через Планировщик заданий: 
"C:\Windows\System32\schtasks.exe" /Change /TN "\Microsoft\Windows\SystemRestore\SR" /disable

Завершает 289 процессов, связанных с защитным ПО, серверами баз данных, программным обеспечением MSP, инструментами удаленного доступа и почтовыми серверами. 

Подробности о шифровании: 
Шифрование выполняется с помощью открытой библиотеки mbed TLS. После запуска генерируется 256-битный ключ, который используется для шифрования всех файлов, применяя блочный шифр AES-256 в режиме ECB. Каждую секунду генерируется новый AES-ключ, т.е. разные файлы шифруются разными AES-ключами. Каждый AES-ключ шифруется при помощи публичного RSA-4096-ключа, встроенного в код шифровальщика и прикрепляется к каждому зашифрованному файлу. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых расширений: 
.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .icl, .icns, .ico, .iso, .ics, .lnk, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .url, .mui,

Пропускает следующие файлы, системные и загрузочные директории: 
!TXDOT_READ_ME!.txt
ProgramFiles
ProgramW6432
iconcache.db
thumbs.db
ntldr
bootsect.bak
debug.txt
boot.ini
desktop.ini
autorun.inf
ntuser.dat
ntdetect.com
bootfont.bin
\windows\system32\
\windows\syswow64\
\windows\system\
\windows\winsxs\
\appdata\roaming\
\appdata\local\
\appdata\locallow\
\all users\microsoft\
\inetpub\logs\
\boot\
\perflogs\
\programdata\
\drivers\
и другие...

Пропускает три папки, которые ему, вероятно, нужны:
crypt_detect
cryptolocker
ransomware

Файлы, связанные с этим Ransomware:
!TXDOT_READ_ME!.txt - название файла с требованием выкупа
mspusf.exe - исполняемый файл
cipher.exe - инструмент для стирания свободного места на диске, чтобы с помощью программ для восстановления данных нельзя было ничего вернуть; 
4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458.exe - случайное название вредоносного файла
ELF-файл

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458.exe

➤ Информация о названии, текст записки и другие строки из кода.
 
 

Записи реестра, связанные с этим Ransomware:
Модифицирует следующие ключи реестра: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableConfig
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR
См. ниже результаты анализов.

Мьютексы:
{5DC7D478-7E59-A370-11D2-2BF9CFE472D4}
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: txdot911@protonmail.com
Для каждой атаки и каждой новой жертвы email будет другой. 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 июля 2020: 
Расширение: .K0N1M1N0
Записка: !!KONICA_MINOLTA_README!!.txt

Обновление от 2-3 сентября 2020:
Пост в Твиттере >>
Еще один образец. 
Результаты анализов: VT

Обновление от 27 октября 2020: 
Расширение: .tjpe911
Записка: !NEWS_FOR_TJPE! 
Пострадала судебная система бразильского штата Пернамбуку (Tribunal de Justiça do Estado de Pernambuco - TJPE).
Email (вероятно): tjpe911@protonmail.com

Обновление от 6 ноября 2020:
Статья от Kaspersky Lab "RansomEXX Trojan attacks Linux systems" >>
Образец для Linux есть в статье. 

Обновление без указания даты:
Вымогатели создали и стали использовать сайт публикации украденных данных. 

Обновление от 8 декабря 2020: 
Расширение: .3mbr43r
Записка: !NEWS_FOR_EMBRAER!.TXT
Email (вероятно): embraer@protonmail.com
Контакт: ссылка на Tor-сайт.



=== 2021 ===

Обновление от 5 февраля 2021:
Расширение: .MNH
Пострадавшая компания: Французская страховая компания Mutuelle Nationale des Hospitaliers (MNH)
Сообщение вымогателей на Tor-сайте. 


Сообщение от 6 августа 2021: 
Тайваньский производитель материнских плат Gigabyte подтвердил, что подвергся кибератаке банды вымогателей RansomEXX, которая угрожает опубликовать 112 ГБ украденных данных, если не будет уплачен выкуп. Было затронуто небольшое количество серверов. 



Сообщение от 30 сентября 2021: 
Компания Profero выпустили дешифровщик для файлов, котрый исправляет ошибкув дешифровании файлов, которую имеет оригинальный дешифровщик от вымогателей. Расшифровать файлов смогут только те, кто купил ключ дешифрования у вымогателей. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID: 1st as RansomEXX, 2nd as Defray777 / RansomEXX)
 Write-up, Write-up, Write-up, Topic of Support
 Write-up about PyXie >>  Write-up by Kaspersky (November 6, 2020) >>
 Thanks: 
 MalwareHunterTeam, Vitali Kremez, Michael Gillespie, Bart
 Andrew Ivanov (author)
 Akhmed Taia
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 14 июня 2020 г.

CobraLocker

CobraLocker Ransomware

Aliases: Cobra_Locker, Cobra Locker, Cobra

CobraLocker NextGen: IT, DaVinci, Cobra_Locker2.0, Cobra_Locker3.0, Cobra_Locker4.0, DaVinci, Lock, BlackMamba, CoronaCrypt0r, Niros, LegionLocker 2.0, 2.1, 3.0, WannaMad

CobraLocker CryptoToys (сборник разных вариантов)

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. В некоторых вариантах замечены ошибки в работе, в таких случаях уплата выкупа бесполезна. Оригинальное название: Cobra_Locker. На файле написано: Ransomware.exe. 

Обнаружения:
DrWeb -> Trojan.Encoder.31957, Trojan.Encoder.32077, Trojan.Encoder.32188
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.avuwe
BitDefender -> Gen:Heur.Ransom.RTH.1, Trojan.GenericKD.43441079
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YQ, A Variant Of MSIL/Filecoder.AAX
Malwarebytes -> Ransom.FileCryptor, Ransom.CobraLocker
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Wtod
TrendMicro -> TROJ_GEN.R002H09FE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: BB Ransomware > CobraLocker, CobraLocker NextGen

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Cobra


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 


Содержание текста о выкупе:
All your important files were encrypted on this PC.
All files with .Cobra extension are encrypted.
Encryption was produced using unique private key generated for this computer.
To decrypt your files, you need to obtain private key.
To retrieve the private key you need to contact us by email
Cobra_Locker@protonmail.com send us an email and wait for further instructions.
E-mail address to contact us:
Cobra_Locker@protonmail.com
If you want decrypt your files you must have decryption code

Перевод текста на русский язык:
Все ваши важные файлы зашифрованы на этом ПК.
Все файлы с .Cobra расширением зашифрованы.
Шифрование сделано с уникальным закрытым ключом, сгенерированным для этого компьютера.
Чтобы расшифровать ваши файлы, вам надо получить закрытый ключ.
Чтобы получить закрытый ключ, вам нужно связаться с нами по email 
Cobra_Locker@protonmail.com отправьте нам письмо и ждите инструкций.
Адрес email для контакта с нами:
Cobra_Locker@protonmail.com
Если вы хотите расшифровать ваши файлы, вам нужен код расшифровки






Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\FD1HVy\Desktop\Ransomware.exe
C:\Users\User\Desktop\Ransomware\Ransomware\obj\Debug\Ransomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Cobra_Locker@protonmail.com
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 - адрес известен в WannaCry: NSA Exploit Edition (2017 г.) 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4-5 июля 2020:
Пост в Твиттере >>
Расширение: .IT
Самоназвание: IT ransomware
Email: Cobra_Locker@protonmail.com


Файл EXE: IT.exe

Располоежение: C:\Users\User\AppData\Local\Temp\IT.exe
Автозагрузка: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\IT.exe
Файл проекта: C:\Users\xxx\source\repos\IT\IT\obj\Debug\IT.pdb
Результаты анализов: VT + TG + IA + VMR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32077
BitDefender -> Trojan.GenericKD.43441079
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AAX
Malwarebytes -> Ransom.CobraLocker
Symantec -> ML.Attribute.HighConfidence



Обновление от 10 июля 2020:
Самоназвание: CobraLocker ransomware
Расширение: .cobra
Email: Cobra_Locker@protonmail.com



Обновление от 17 июля 2020:
Самоназвание: CobraLocker ransomware
Расширение: .c0br4
Email: Cobra_Locker@protonmail.com



Обновление от 22 июля 2020:
Пост в Твиттере >>
Мой пост в Твиттере >>
Самоназвание: DaVinci Ransomware
Расширение: .DaVinci
Email: Cobra_Locker2.0@protonmail.com
Сумма выкупа в BTC: $300
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 - адрес известен в WannaCry: NSA Exploit Edition (2017 г.) 
Файл проекта: C:\Users\xxx\source\repos\DaVinci\DaVinci\obj\Debug\DaVinci.pdb
Файл EXE: DaVinci.exe
Результаты анализов: VT + IA + VMR


➤ Содержание текста вымогателей:
Hello I'm DaVinci I have encrypted all your important files!
if you want to recover them follow the instructions
Instructions:
Subscribe me on youtube (DaVinci)
Follow me on instagram (dvsvmvk_x)
Send $300 in bitcoin to this adress: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
and contact us: Cobra_Locker2.0@protonmail.com
---
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32188
BitDefender -> Trojan.GenericKD.34217957
Emsisoft -> Trojan.Ransom.DaVinci (A)
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ABD
Malwarebytes -> Ransom.Davinci
Symantec -> Trojan Horse
TrendMicro -> Trojan.MSIL.WACATAC.THGBBBO

---
Использует Slayer RDP Scanner Admin Tool: VT + HA + IAVT + HA + IA



Обновление от 13 августа 2020:
Пост в Твиттере >>
Email: Cobra_Locker2.0@protonmail.com
Файл: DaVinci.exe
Результаты анализов: VT + VMR + HA + IA



Вариант от 26 августа 2020:
Самоназвание: CoronaCrypt0r
Расширение: .Lock
Email: CoronaDecrypt0r@protonmail.com
BTC: 13am4vw2dhxygxeqepohkhsquy6ngaeb94
Файл проекта: C:\Users\xxx\source\repos\CoronaCrypt0r\CoronaCrypt0r\obj\Debug\CoronaDecrypt0r.pdb
Файл: CoronaCrypt0r.exe
Результаты анализов: VT + IA + VMR


➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32363
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ABD
Malwarebytes -> Ransom.Corona
Microsoft -> Ransom:MSIL/CovitseCryptor.MA!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Dztj
TrendMicro -> Ransom.MSIL.CORONACRYPTOR.A


Варианты от 20-21 декабря 2020:
Самоназвание: BlackMamba 2.0 Ransomware 


Файлы не шифруются, хотя это возможно при определённых условиях. 
Файл: BlackMamba2.exe
Результаты анализов: VT + IA 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33330
BitDefender -> Gen:Variant.MSILHeracles.8668
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CobraLocker.A
Malwarebytes -> Ransom.FileCryptor
TrendMicro -> Ransom_Cobra.R002C0DLO20
---
Другой вариант: 
Email: Cobra_Locker666@protonmail.ch
Ключ для разблокировки: "DaVinci"



Файл проекта: C:\Users\xxx\source\repos\BlackMamba2\BlackMamba2\obj\Debug\BlackMamba2.pdb
Файл: ransomware.exe
Результаты анализов: VT + IA + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33355
BitDefender -> Trojan.GenericKD.45179543
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CobraLocker.A
Malwarebytes -> Ransom.BlackMamba
TrendMicro -> Ransom.MSIL.COBRALOCKER.C


=== 2021 ===

Вариант от 3 января 2021: 
Email TorBox: CobraLocker@torbox3uiot6wchz.onion
На русском и английском языках. 
Файлы не шифруются, хотя это возможно при определённых условиях. 




Файл: AmongUs.exe
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CobraLocker.D
Malwarebytes -> Ransom.Winlock
Microsoft -> Ransom:MSIL/Cryptolocker.PDO!MTB
Tencent -> Msil.Trojan.Encoder.Efuj
TrendMicro -> Ransom.MSIL.COBRALOCKER.B


Вариант от 8 января 2021: 
Самоназвание: Niros
BTC: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Этот BTC известен из NSMF Ransomware


Файл проекта: C:\Users\xxx\source\repos\Niros\Niros\obj\Debug\Niros.pdb
Файл: Niros.exe
Результаты анализов: VT + VT / IA + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33371, Trojan.Encoder.33372
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CobraLocker.E
Malwarebytes -> Ransom.Niros.MSIL
Microsoft -> Ransom:MSIL/Filecoder.FI!MTB
Tencent -> Msil.Trojan.Encoder.Eibh, Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_Filecoder.R002C0DAB21, Ransom_Filecoder.R002C0DAC21


Вариант от 7 апреля 2021: 
Самоназвание: LegionLocker 2.0
Записка: @LegionReadMe@.hta
BTC: 131fjhrB4wH8j6adZXudp1Wn23pR33tpAh
Файл проекта: C:\Users\xxx\source\repos\Launcher\Launcher\obj\Debug\TGVnaW9uTG9ja2VyMi4w.pdb
Используемый файл: window.bat
Файл: TGVnaW9uTG9ja2VyMi4w.exe
Результаты анализов: VT + IA + AR




➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33780
BitDefender -> Trojan.GenericKD.36645382
ESET-NOD32 -> A Variant Of MSIL/TrojanDropper.Agent.FEH
Malwarebytes -> Ransom.CobraLocker
Rising -> Dropper.Agent!8.2F (CLOUD)


Вариант от 29-30 апреля 2021:
Расширение: .Legion
Файл: LegionLocker2.1.exe
Результаты анализов: VT + AR + AR


Вариант от 9 мая 2021: 
Самоназвание: LegionLocker 3.0
Расширение: .LGNLCKD
Записка: LegionReadMe.txt
Email: legionlocker@mail2tor.com, cobralocker@mail2tor.com


Файл: LegionLocker3.0
Результаты анализов: VT 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33929
ALYac -> Trojan.Ransom.Filecoder
BitDefender -> Gen:Variant.Ransom.LegionLocker.1
ESET-NOD32 -> A Variant Of Win32/Packed.Themida.HTV
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Trojan.Generic!8.C3 (CLOUD)
TrendMicro -> TROJ_GEN.R002C0WEC21


Вариант от 12 июля 2021: 
Самоназвание: WannaMad
Расширение: .hacked
Файл проекта: C:\Users\polem\source\repos\WannaMad\WannaMad\obj\Debug\WannaMad.pdb
Файл: WannaMad.exe
Расположение: C:\Users\Admin\AppData\Local\Temp\WannaMad.exe
Результаты анализов: VT + TG + IA + AR


➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.12
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YQ
Kaspersky -> UDS:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> MachineLearning/Anomalous.94%
Microsoft -> Trojan:Win32/Wacatac.B!ml
SymantecML.Attribute.HighConfidence


Вариант от 1 сентября 2021: 
Расширение: .aes
Записка: Readme.txt
Записка зашифрована: Readme.txt.aes
BTC: 16b8cf29760341ed35ca72cb722aab79
E:\Fiverr\jrackz\ClickApp\Click\obj\Release\Click.pdb
C:\Users\Admin\AppData\Local\Temp\Click.exe


Результаты анализов: IOS: VT, IA, TG
MD5: 16b8cf29760341ed35ca72cb722aab79
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34300
BitDefender -> Gen:Heur.Ransom.RTH.1
Malwarebytes -> Malware.AI.3863244583
Microsoft -> Ransom:MSIL/WannaCrypt.PA!MTB
Symantec -> ML.Attribute.HighConfidence



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CobraLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, Michael Gillespie, Petrovic
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *