Если вы не видите здесь изображений, то используйте VPN.

среда, 2 сентября 2020 г.

Conti-2, Conti-3

Conti-2 Ransomware

Conti-3 Ransomware

Aliases: IOCP, R3ADM3

Conti Doxware

***

Unnamed ContiStolen-based Ransomware

Different ContiStolen-cloned Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует файлы на серверах, сайтах и локальные сети компаний с помощью ChaCha20/8, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На загружаемом файле написано: IOCP.exe. Использует легитимную программу XColorPickerXPTest.exe для самоназвания. Фальш-название: XColorPickerXPTest. Фальш-копирайт: Copyright 2008 Hans Dietrich. Фальш-контакт: hdietrich@gmail.com. 
Через некоторое время выснилось, что это новая, 2-я версия Conti. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32468, Trojan.Encoder.32474, Trojan.Encoder.32490, Trojan.Encoder.32708, Trojan.Encoder.33199, Trojan.Encoder.33299, Trojan.Encoder.33482
BitDefender -> Gen:Variant.Zusy.312578, Trojan.GenericKD.43777841, A Variant Of Win32/Kryptik.HFYO, Gen:Variant.Cerbu.84170
ALYac -> Trojan.Ransom.Filecoder, Trojan.Ransom.Conti
Avira (no cloud) -> TR/AD.ShellcodeCrypter.zkvgk, TR/Zenpak.cxhrx
ESET-NOD32 -> A Variant Of Win32/GenKryptik.EROG, Win32/Filecoder.NYJ, A Variant Of Win32/Filecoder.Conti.F
Kaspersky -> Trojan-Ransom.Win32.Encoder.kbl, Trojan-Ransom.Win32.Encoder.kbn, Trojan.Win32.Zenpak.avin
Malwarebytes -> Trojan.MalPack.TRE
McAfee -> GenericRXLW-TR!D4F2318BEEC5, Artemis!6F58A5472E3B
Rising -> Trojan.Zenpak!8.10372 (TFE:5:YOgaFs7jzLN), Trojan.Generic@ML.96 (RDML:HepTV26Jt*, Ransom.Conti!8.11736 (TFE:5:*
Symantec -> Trojan.Gen.MBT, Downloader, Trojan.Emotet
Tencent -> Win32.Trojan.Encoder.Wtne, Win32.Trojan.Filecoder.Wrgy
TrendMicro -> TROJ_GEN.R002H09I320, TROJ_GEN.R002C0DI620
---

© Генеалогия: Conti ⇒ 
Conti-2 (IOCP), Conti-3 > NB65 (ContiStolen)
Знак  здесь означает переход группы вымогателей на другую разработку. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<RANDOM{5}>

Примеры таких расширений: 
.COSWH
.UAKXC


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Скриншот с одного из пострадавших сайтов. Дата шифрования файлов - 2 сентября 2020. 

Записка с требованием выкупа называется: R3ADM3.txt


Содержание записки о выкупе:
The network is locked do not try to use other software for decryption tool write here:
***email-1***@protonmail.com
***email-2***@protonmail.com
If you do not pay, we will publish private data on our news site. 

Перевод записки на русский язык:
Сеть блокирована, не пытайтесь использовать другие программы для дешифрования, пишите сюда:
***email-1***@protonmail.com
***email-2***@protonmail.com
Если вы не заплатите, мы опубликуем личные данные на нашем новостном сайте.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Использует PowerShell для начала атаки, в очередной раз подтверждая вредоносной этой технологии в составе Windows.

➤ Удаляет теневые копии файлов, используя WMIC.exe.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IOCP.exe - название вредоносного файла;
R3ADM3.txt - название файла с требованием выкупа;
file-tree.txt - список файлов;
<random>.exe - случайное название вредоносного файла;
XColorPickerXPTest.exe - файл, который выдает себя за полезную утилиту. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
169923hi23qw237721415d66
См. ниже результаты анализов.

Сетевые подключения и связи:
Сайт Conti News: hxxx://continewsnv5otx5kaoje7krkto2qbu3gtqef22mnr7eaxw3y6ncz3ad.onion.ly/


Email: fanlabomos1974@protonmail.com, eranndicuc1978@protonmail.com
Email: guifullcharti1970@protonmail.com, phrasitliter1981@protonmail.com
Email: elsleepamlen1988@protonmail.com, southbvilolor1973@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT> VT> VT>
🐞 Intezer analysis >>  IA>  IA>  IA>
ᕒ  ANY.RUN analysis >>  AR> AR> 
ⴵ  VMRay analysis >>  VMR> VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно. Присылайте образцы.


➤ Дополнения из альтернативных статей-исследований: 
... Обычно хакеры-операторы Conti начинают свои атаки через спам-сообщения с прямой доставкой через бэкдор с помощью маяка Cobalt Strike. Целевые спам-кампании тщательно разрабатываются на основе выборочного исследования предполагаемой цели, негативных СМИ-сообщений о ней, их руководителях и сотрудниках. Эти кампании настроены так, чтобы гарантировать открытие спам-писем и запуск маяков Cobalt Strike... 
... Кража данных обычно осуществляется с помощью Rclone. Создается конфигурация Rclone и устанавливается внешнее расположение (например, MEGA или FTP) для синхронизации (клонирования) данных. Операторы Conti предпочитают данные на основе сетевых ресурсов, а конкретной целью являются документации, связанной с финансами, юриспруденцией, бухгалтерским учетом, страхованием и информационными технологиями...
... Хакеры-операторы Conti добиваются того, чтобы пострадавшая сторона не могла восстановиться, для этого они блокируют систему и резервные копии и следят за тем, чтобы резервные копии были удалены... 
---
Группа хакеров-вымогателей Conti заинтересовалась уязвимостью Log4Shell и протестировала возможности использования эксплойта в своих атаках. 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Фактически это одно семейство, если можно так сказать. Но из-за изменений после первой версии получилось так, что в Дайджесте есть две статьи для ранней и для следующих версий. 
Conti Ransomware
Conti-2 Ransomware


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 19 сентября 2020: 
Расширение: .RHMLM
Записка: R3ADM3.txt
Email: carbedispgret1983@protonmail.com
glocadboysun1978@protonmail.com
Результаты анализов: VT + VMR


Вариант от 21 сентября 2020: 
Расширение: .UAKXC 
Записка: R3ADM3.txt


Email: guifullcharti1970@protonmail.com
phrasitliter1981@protonmail.com
Результаты анализов: VT + IA + AR


Вариант от 14 октября 2020: 
Расширение: .AWSAK
Записка: R3ADM3.txt
Email: maxgary777@protonmail.com, ranosfinger@protonmail.com
Результаты анализов: VT + VMR + IA 


 Обнаружения: 
DrWeb -> Trojan.Encoder.32708
BitDefender -> Generic.Ransom.Conti.57C16005
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.F
Kaspersky -> Trojan-Ransom.Win32.Encoder.kbq
TrendMicro -> Ransom.Win32.CONTI.SMW


Вариант от 19-20 октября 2020: 
Случайное расширение (пример): .TJODT 
Записка: R3ADM3.txt


Мьютекс: lslaif8aisuuugnzxbvmdjk
URL: hxxxs://contirecovery.info/
Tor-URL: hxxx://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid.onion

 

Текст на сайте:
CONTI recovery service
HOW I GOT HERE?
If you are looking at this page right now, that means that your network was succesfully breached by CONTI team.
All of your files, databases, application files etc were encrypted with military-grade algorithms.
If you are looking for a free decryption tool right now - there's none.
Antivirus labs, researches, security solution providers, law agencies won't help you to decrypt the data.
If you are interested in out assistance upon this matter - you should upload README.TXT file
to be provided with further instructions upon decryption.
---
Результаты анализов: VT + VMR + JSB + IA // VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32888
ALYac -> Trojan.Ransom.Conti
Avira (no cloud) -> TR/Crypt.Agent.kuuyw
BitDefender -> Trojan.GenericKD.34820886
ESET-NOD32 -> A Variant Of Win32/Kryptik.HGUR
Rising -> Trojan.Kryptik!1.CD97 (CLASSIC)
Symantec -> Trojan.Gen.2
TrendMicro -> TROJ_GEN.R002H06JJ20


Вариант от 4 декабря 2020: 
Расширение: .SYTCO 
Записка: readme.txt
niggchiphoter1974@protonmail.com
Результаты анализов: VT + VMR 



Вариант от 8-9-13 декабря 2020: 
Расширения: .TJMBK, .FBSYW, .KCWTT
Записка: readme.txt
Результаты анализов: VT + VT + VT


➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33199, Trojan.Encoder.33299
ALYac -> Trojan.Ransom.Conti
ESET-NOD32 -> A Variant Of Win64/Kryptik.CEF, A Variant Of Win32/Kryptik.HHYB, Win32/Filecoder.Conti.F
Malwarebytes -> Ransom.Conti
TrendMicro -> TrojanSpy.Win32.EMOTET.TIOIBOLH, TrojanSpy.Win32.EMOTET.SMD4.hp, Ransom_Encoder.R011C0PLC20


Вариант от 11 декабря 2020:
Версия: v3
Файл проекта: "A:\source\conti_v3\x64\Release\cryptor_dll.pdb"
Текст: "Аll оf уоur filеs аrе currеntlу еncrуptеd bу CОNTI strаin." 
Скриншот от исследователя. 




Вариант от 20 декабря 2020:
Расширение: .KLZUB
Штамп даты: 30 октября 2020:
Email: limistocon1980@protonmail.com
Записка: R3ADM3.txt
Результаты анализов: VT + IA + VMR


=== 2021 ===

Вариант от 22 января 2021:
Расширение: .MBRNY
Записка: readme.txt
URL: hxxxs://contirecovery.best
Tor-URL: hxxx://contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion/
Результаты анализов: VT + AR




Вариант от 1 февраля 2021: 
Расширение: .EXTEN
Записка: readme.txt
Результаты анализов: VT + VT


Вариант от 3 февраля 2021: 
Расширение: .PVVXT
Записка: readme.txt
Tor-URL: hxxx://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid.onion
URL: hxxxs://contirecovery.info 
Результаты анализов: AR + VT



Вариант от 16 февраля 2021: 
Расширение: .ANCIF
Записка: readme.txt


Результаты анализов: VT + IA + VMR + JSB
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33482
ALYac -> Trojan.Ransom.Conti
BitDefender -> Trojan.GenericKD.45742277
Microsoft -> Trojan:Win32/Ymacco.AAA5
TrendMicro -> Trojan.Win32.MALREP.THBAGBA


Вариант от 25 апреля 2021:
Расширение: .GFYPK
Записка: readme.txt
Результаты анализов: VT + HA




Вариант от 26 апреля 2021:
Расширение: .ALNBR
Записка: readme.txt
URL: contirecovery.top
Tor-URL: contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion
Результаты анализов: VT + HA




Вариант от 3 мая 2021: 
Расширение: .HJAWF
Файл: EAGLE.dll
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33892
BitDefender -> Gen:Variant.Razy.844481
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.P


Вариант от 3 мая 2021: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33949
BitDefender -> Trojan.GenericKD.36860772
ESET-NOD32 -> Win32/Filecoder.Conti.R


Вариант от 21 мая 2021: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34231
BitDefender -> Gen:Variant.Ransom.Conti.19
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.N


Вариант от 16 сентября 2021: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34529 - Conti Ransomware+ 
BitDefender -> Gen:Variant.Razy.844459
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.N

Вариант от 31 октября 2021:
Расширение: .BFVEY 
Записка: readme.txt
URL: contirecovery.ws
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34469
BitDefender -> Trojan.GenericKD.37916051
ESET-NOD32 -> A Variant Of Generik.MIUFNQB



=== 2022 ===

Новость от 25 февраля 2022:
Группа Conti Ransomware официально заявила о своей лояльности правительству России и пригрозила атаковать любого, кто решит организовать кибератаку или какую-либо военную деятельность против России. 

---
Потом они изменили текст на нижеследующий. 



Новости марта-апреля 2022: 
Среди вымогателей из группы Conti обнаружился ренегат, который выкрал исходный код одного из вариантов Conti Ransomware и слил его другим кибер-преступникам. На его основе группа украинских хакеров-вымогателей, называющая себя NB65, выпустила NB65 Ransomware

Новость от 15 апреля 2022:
Исследователи выявили связь между Conti Ransomware, Diavol Ransomware и Karakurt

Новость от 19 мая 2022:
Официальный сайт Conti Ransomware закрыт. 
СМИ сообщают о закрытии этого вымогательского проекта. 
Подразделения Conti могут разделиться на более мелкие части и действовать отдельно. 

*** пропущенные варианты ***


Unnamed ContiStolen-based Ransomware

Кто-то стал использовать украденный код Conti-2-3 для проведения собственных вымогательских атак. Есть сведения, что среди них есть украинские хакеры. 

Некоторые группы вымогателей запустили:
Потом они объединились в новых вариантах Meow Ransomware.

Ниже добавлены другие очень похожие варианты, которые тем не менее, я просто оставляю тут. 

Вариант от 8 июля 2022:
Расширение: .RUBEN
Записка: readme.txt
Содержание записки:
Все файлы зашифрованы!  
Свяжись в Telegram @gary_stone чтобы восстановить файлы
Номер: 913******         



Вариант от 18 августа 2022 года:
Расширение: .TOK12
Записка: readme.txt
Telegram: @wilden123
Email: tokaev123@proton.me
Файл: cryptor.exe 
Содержание записки: 
Файлы были зашифрованы. 
Свяжись с нами в Telegram @wilden123 или на почте tokaev123@proton.me
Ваш уникальный номер: 5w6*****



Вариант от 26 сентября 2022:
Сообщение: twitter.com/pcrisk/status/1575445295139266560
Расширение: .T_TEN
Записка: readme.txt
IOC: VT: ad797bd222cddd6aee89937bccdf0544 
Обнаружения: 
DrWeb -> Trojan.Encoder.35972
ESET-NOD32 -> A Variant Of Win64/Filecoder.GB
Kaspersky -> Trojan-Ransom.Win32.Conti.ab


*** пропущенные однотипные варианты ***


Вариант от 3 апреля 2023 или раньше: 
Расширение: .met@n
Записка: README.txt
Telegram: @MetanFiles
Результаты анализов: VT + IA + AR
Обнаружения: 
DrWeb -> Trojan.Encoder.37433
BitDefender -> Gen:Variant.Midie.120073
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Kaspersky -> HEUR:Trojan.Win32.Scar.vho
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Ransom.Conti!1.DF1E (CLASSIC)
TrendMicro -> Ransom.Win32.CONTI.SMYXBBU






Different ContiStolen-cloned Ransomware

Вариант от 8 декабря 2022: 
Самоназвание: Amelia Ransomware V1.61
Расширение: .Amelia
Записка: R3ADM3.txt
Email: Amelia@cyberfear.com, Amelia@onionmail.org






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Conti)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, GrujaRS, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 31 августа 2020 г.

XP10, FakeChrome

XP10 Ransomware

FakeChrome Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $980, чтобы вернуть файлы. Оригинальное название: xp10-ransom. На файле написано: chrome.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop13.50455
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Stupid
Avira (no cloud) -> TR/Ransom.cyuwx
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AAT
Kaspersky -> HEUR:Trojan.MSIL.Fsysna.gen
Malwarebytes -> Ransom.FileCryptor
Symantec -> Trojan.Gen.2
Tencent -> Msil.Trojan.Fsysna.Dvzw
TrendMicro -> TROJ_GEN.R002C0WI220
---

© Генеалогия: Stupid >> XP10 (FakeChrome)


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .xp10-ransom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
ATTENTION!
Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
xp10.ransom@gmail.com
Your personal ID: ***

Перевод записки на русский язык:
ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фото, базы данных, документы и другие важные файлы, зашифрованы с самым надежным шифрованием и уникальным ключом.
Единственный способ восстановить файлы - это приобрести инструмент дешифрования и уникальный ключ для вас.
Эта программа расшифрует все ваши зашифрованные файлы.
Какие гарантии у вас есть?
Вы можете отправить один из зашифрованных файлов со своего ПК и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации.
Стоимость закрытого ключа и программы для дешифрования составляет $980.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа, это цена для вас $490.
Заметьте, что вы никогда не восстановите свои данные без оплаты.
Проверьте папку "Spam" или "Junk" в своей почте, если вы не получаете ответа более 6 часов.
Чтобы получить эту программу, вам надо написать на наш email:
xp10.ransom@gmail.com
Ваш личный ID: ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .accdb, .aepx, .ai, .arw, .asf, .asp, .aspx, .asx, .avi, .bay, .bin, .bmp, .cdr, .cer, .class, .cpp, .cppproj, .cr2, .crt, .crw, .cs, .csproj, .csv, .dat, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .fla, .flv, .html, .idml, .indb, .indd, .indl, .indt, .info, .ipsw, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mpeg, .pdf, .php, .png, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .prel, .prproj, .resx, .sldm, .sldx, .sql, .txt, .vb, .vbproj, .wav, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xltx, .xml (94 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа
chrome.exe
chrome.pdb
xdfjhdlojdziosdvxjoo.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\New folder (2)\Visual Studio 2012\Projects\WindowsApplication4\WindowsApplication4\obj\Debug\chrome.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xp10.ransom@gmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Скриншоты от Майкла Джиллеспи:

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 30 августа 2020 г.

Z3

Z3 Ransomware

Z3enc Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует (точнее, пытается зашифровать) данные пользователей, чтобы затем потребовать выкуп за расшифровку файлов. Содержит ошибки, из-за которых не удается его вредоносные действия. Вероятно, он еще находится в разработке. Оригинальное название: z3. На файле написано: z3.exe
---
Обнаружения:
DrWeb -> Trojan.MulDrop13.50657
BitDefender -> Trojan.GenericKD.43779174
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ABS
Malwarebytes -> Ransom.FileCryptor
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_FileCrypter.R002C0DI520
---

© Генеалогия: ??? >> Z3
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .z3enc 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа никак не называется. См. скриншот. 

Содержание записки о выкупе:
Oops! Your files have been encrypted!
To decrypt then, you must *bla bla bla*.
If you close this window, all your data will be lost.

Перевод записки на русский язык:
Ой! Ваши файлы зашифрованы!
Чтобы расшифровать, вы должны *бла бла бла*.
Если вы закроете это окно, все ваши данные пропадут.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Завершает работу ПК с помощью команды:

shutdown /f /r /t 0

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
z3.exe
z3.pdb
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
<random>.bat
data.bin
wsgjqtyy.1kv.exe
m5u0uccp.na0.bat
bdb77b2f35c0f3e79853ea7f8bdf5b29.in.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\z3\z3\obj\Release\net472\z3.pdb
C:\Users\User\AppData\Local\Temp\m5u0uccp.na0.bat
C:\Users\User\AppData\Local\Temp\bdb77b2f35c0f3e79853ea7f8bdf5b29.in.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Z3)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *