Conti-2 Ransomware
Conti-3 Ransomware
Aliases: IOCP, R3ADM3
Conti Doxware
***
Unnamed ContiStolen-based Ransomware
Different ContiStolen-cloned Ransomware
Этот крипто-вымогатель шифрует файлы на серверах, сайтах и локальные сети компаний с помощью ChaCha20/8, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На загружаемом файле написано: IOCP.exe. Использует легитимную программу XColorPickerXPTest.exe для самоназвания. Фальш-название: XColorPickerXPTest. Фальш-копирайт: Copyright 2008 Hans Dietrich. Фальш-контакт: hdietrich@gmail.com. Через некоторое время выснилось, что это новая, 2-я версия Conti.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32468, Trojan.Encoder.32474, Trojan.Encoder.32490, Trojan.Encoder.32708, Trojan.Encoder.33199, Trojan.Encoder.33299, Trojan.Encoder.33482
BitDefender -> Gen:Variant.Zusy.312578, Trojan.GenericKD.43777841, A Variant Of Win32/Kryptik.HFYO, Gen:Variant.Cerbu.84170
ALYac -> Trojan.Ransom.Filecoder, Trojan.Ransom.Conti
Avira (no cloud) -> TR/AD.ShellcodeCrypter.zkvgk, TR/Zenpak.cxhrx
ESET-NOD32 -> A Variant Of Win32/GenKryptik.EROG, Win32/Filecoder.NYJ, A Variant Of Win32/Filecoder.Conti.F
Kaspersky -> Trojan-Ransom.Win32.Encoder.kbl, Trojan-Ransom.Win32.Encoder.kbn, Trojan.Win32.Zenpak.avin
Malwarebytes -> Trojan.MalPack.TRE
McAfee -> GenericRXLW-TR!D4F2318BEEC5, Artemis!6F58A5472E3B
Rising -> Trojan.Zenpak!8.10372 (TFE:5:YOgaFs7jzLN), Trojan.Generic@ML.96 (RDML:HepTV26Jt*, Ransom.Conti!8.11736 (TFE:5:*
Symantec -> Trojan.Gen.MBT, Downloader, Trojan.Emotet
Tencent -> Win32.Trojan.Encoder.Wtne, Win32.Trojan.Filecoder.Wrgy
TrendMicro -> TROJ_GEN.R002H09I320, TROJ_GEN.R002C0DI620
---
© Генеалогия: Conti ⇒ Conti-2 (IOCP), Conti-3 > NB65 (ContiStolen)
Знак ⇒ здесь означает переход группы вымогателей на другую разработку.
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .<RANDOM{5}>
Примеры таких расширений:
.COSWH
.UAKXC
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Скриншот с одного из пострадавших сайтов. Дата шифрования файлов - 2 сентября 2020.
Записка с требованием выкупа называется: R3ADM3.txt
Содержание записки о выкупе:
The network is locked do not try to use other software for decryption tool write here:
***email-1***@protonmail.com
***email-2***@protonmail.com
If you do not pay, we will publish private data on our news site.
Перевод записки на русский язык:
Сеть блокирована, не пытайтесь использовать другие программы для дешифрования, пишите сюда:
***email-1***@protonmail.com
***email-2***@protonmail.com
Если вы не заплатите, мы опубликуем личные данные на нашем новостном сайте.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует PowerShell для начала атаки, в очередной раз подтверждая вредоносной этой технологии в составе Windows.
➤ Удаляет теневые копии файлов, используя WMIC.exe.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
IOCP.exe - название вредоносного файла;
R3ADM3.txt - название файла с требованием выкупа;file-tree.txt - список файлов;
<random>.exe - случайное название вредоносного файла;
XColorPickerXPTest.exe - файл, который выдает себя за полезную утилиту.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
169923hi23qw237721415d66
См. ниже результаты анализов.
Сетевые подключения и связи:
Сайт Conti News: hxxx://continewsnv5otx5kaoje7krkto2qbu3gtqef22mnr7eaxw3y6ncz3ad.onion.ly/
➤ Дополнения из альтернативных статей-исследований:
... Обычно хакеры-операторы Conti начинают свои атаки через спам-сообщения с прямой доставкой через бэкдор с помощью маяка Cobalt Strike. Целевые спам-кампании тщательно разрабатываются на основе выборочного исследования предполагаемой цели, негативных СМИ-сообщений о ней, их руководителях и сотрудниках. Эти кампании настроены так, чтобы гарантировать открытие спам-писем и запуск маяков Cobalt Strike...
... Кража данных обычно осуществляется с помощью Rclone. Создается конфигурация Rclone и устанавливается внешнее расположение (например, MEGA или FTP) для синхронизации (клонирования) данных. Операторы Conti предпочитают данные на основе сетевых ресурсов, а конкретной целью являются документации, связанной с финансами, юриспруденцией, бухгалтерским учетом, страхованием и информационными технологиями...
... Хакеры-операторы Conti добиваются того, чтобы пострадавшая сторона не могла восстановиться, для этого они блокируют систему и резервные копии и следят за тем, чтобы резервные копии были удалены...
--- Группа хакеров-вымогателей Conti заинтересовалась уязвимостью Log4Shell и протестировала возможности использования эксплойта в своих атаках.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Фактически это одно семейство, если можно так сказать. Но из-за изменений после первой версии получилось так, что в Дайджесте есть две статьи для ранней и для следующих версий.
Conti Ransomware
Conti-2 Ransomware
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 19 сентября 2020:
Расширение: .RHMLM
Записка: R3ADM3.txt
Email: carbedispgret1983@protonmail.com
glocadboysun1978@protonmail.com
Результаты анализов:
VT + VMR
Вариант от 21 сентября 2020:
Расширение: .UAKXC
Записка: R3ADM3.txt
Email: guifullcharti1970@protonmail.com
phrasitliter1981@protonmail.com
Результаты анализов:
VT + IA + AR
Вариант от 14 октября 2020:
Расширение: .AWSAK
Записка: R3ADM3.txt
Email: maxgary777@protonmail.com, ranosfinger@protonmail.com
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32708
BitDefender -> Generic.Ransom.Conti.57C16005
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.F
Kaspersky -> Trojan-Ransom.Win32.Encoder.kbq
TrendMicro -> Ransom.Win32.CONTI.SMW
Вариант от 19-20 октября 2020:
Случайное расширение (пример): .TJODT
Записка: R3ADM3.txt
Мьютекс: lslaif8aisuuugnzxbvmdjk
URL: hxxxs://contirecovery.info/
Tor-URL: hxxx://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid.onion
Текст на сайте:CONTI recovery service
HOW I GOT HERE?
If you are looking at this page right now, that means that your network was succesfully breached by CONTI team.
All of your files, databases, application files etc were encrypted with military-grade algorithms.
If you are looking for a free decryption tool right now - there's none.
Antivirus labs, researches, security solution providers, law agencies won't help you to decrypt the data.
If you are interested in out assistance upon this matter - you should upload README.TXT file
to be provided with further instructions upon decryption.
---
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32888
ALYac -> Trojan.Ransom.Conti
Avira (no cloud) -> TR/Crypt.Agent.kuuyw
BitDefender -> Trojan.GenericKD.34820886
ESET-NOD32 -> A Variant Of Win32/Kryptik.HGUR
Rising -> Trojan.Kryptik!1.CD97 (CLASSIC)
Symantec -> Trojan.Gen.2
TrendMicro -> TROJ_GEN.R002H06JJ20
Вариант от 4 декабря 2020:
Расширение: .SYTCO
Записка: readme.txt
niggchiphoter1974@protonmail.com
Результаты анализов:
VT + VMR
Вариант от 8-9-13 декабря 2020:
Расширения: .TJMBK, .FBSYW, .KCWTT
Записка: readme.txt
Результаты анализов:
VT + VT + VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33199, Trojan.Encoder.33299
ALYac -> Trojan.Ransom.Conti
ESET-NOD32 -> A Variant Of Win64/Kryptik.CEF, A Variant Of Win32/Kryptik.HHYB, Win32/Filecoder.Conti.F
Malwarebytes -> Ransom.Conti
TrendMicro -> TrojanSpy.Win32.EMOTET.TIOIBOLH, TrojanSpy.Win32.EMOTET.SMD4.hp, Ransom_Encoder.R011C0PLC20
Вариант от 11 декабря 2020:
Версия: v3
Файл проекта: "A:\source\conti_v3\x64\Release\cryptor_dll.pdb"
Текст: "Аll оf уоur filеs аrе currеntlу еncrуptеd bу CОNTI strаin."
Скриншот от исследователя.
Вариант от 20 декабря 2020:
Расширение: .KLZUB
Штамп даты: 30 октября 2020:
Email: limistocon1980@protonmail.com
Записка: R3ADM3.txt
=== 2021 ===
Вариант от 22 января 2021:
Расширение: .MBRNY
Записка: readme.txt
URL: hxxxs://contirecovery.best
Tor-URL: hxxx://contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion/
Результаты анализов:
VT + AR
Вариант от 1 февраля 2021:
Расширение: .EXTEN
Записка: readme.txt
Результаты анализов: VT + VT
Вариант от 3 февраля 2021:
Расширение: .PVVXT
Записка: readme.txt
Tor-URL: hxxx://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid.onion
URL: hxxxs://contirecovery.info
Результаты анализов: AR + VT
Вариант от 16 февраля 2021:
Расширение: .ANCIF
Записка: readme.txt
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33482
ALYac -> Trojan.Ransom.Conti
BitDefender -> Trojan.GenericKD.45742277
Microsoft -> Trojan:Win32/Ymacco.AAA5
TrendMicro -> Trojan.Win32.MALREP.THBAGBA
Вариант от 25 апреля 2021:
Расширение: .GFYPK
Записка: readme.txt
Результаты анализов: VT + HA
Вариант от 26 апреля 2021:
Расширение: .ALNBR
Записка: readme.txt
URL: contirecovery.top
Tor-URL: contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion
Результаты анализов:
VT + HA
Вариант от 3 мая 2021:
Расширение: .HJAWF
Файл: EAGLE.dll
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33892
BitDefender -> Gen:Variant.Razy.844481
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.P
Вариант от 3 мая 2021:
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33949
BitDefender -> Trojan.GenericKD.36860772
ESET-NOD32 -> Win32/Filecoder.Conti.R
Вариант от 21 мая 2021:
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34231
BitDefender -> Gen:Variant.Ransom.Conti.19
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.N
Вариант от 16 сентября 2021:
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34529 - Conti Ransomware+
BitDefender -> Gen:Variant.Razy.844459
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.N
Вариант от 31 октября 2021:
Расширение: .BFVEY
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34469
BitDefender -> Trojan.GenericKD.37916051
ESET-NOD32 -> A Variant Of Generik.MIUFNQB
=== 2022 ===
Новость от 25 февраля 2022:
Группа Conti Ransomware официально заявила о своей лояльности правительству России и пригрозила атаковать любого, кто решит организовать кибератаку или какую-либо военную деятельность против России.
---Потом они изменили текст на нижеследующий.
Новости марта-апреля 2022:
Среди вымогателей из группы Conti обнаружился ренегат, который выкрал исходный код одного из вариантов Conti Ransomware и слил его другим кибер-преступникам. На его основе группа украинских хакеров-вымогателей, называющая себя NB65, выпустила
NB65 Ransomware.
Новость от 15 апреля 2022:
Новость от 19 мая 2022:
Официальный сайт Conti Ransomware закрыт.
СМИ сообщают о закрытии этого вымогательского проекта.
Подразделения Conti могут разделиться на более мелкие части и действовать отдельно.
*** пропущенные варианты ***
Unnamed ContiStolen-based Ransomware
Кто-то стал использовать украденный код Conti-2-3 для проведения собственных вымогательских атак. Есть сведения, что среди них есть украинские хакеры.
Некоторые группы вымогателей запустили:
Потом они объединились в новых вариантах Meow Ransomware.
Ниже добавлены другие очень похожие варианты, которые тем не менее, я просто оставляю тут.
Расширение: .RUBEN
Записка: readme.txt
Содержание записки:
Все файлы зашифрованы!
Свяжись в Telegram @gary_stone чтобы восстановить файлы
Номер: 913******
Вариант от 18 августа 2022 года:
Расширение: .TOK12
Записка: readme.txt
Telegram: @wilden123
Email: tokaev123@proton.me
Файл: cryptor.exe
Содержание записки:
Файлы были зашифрованы.
Свяжись с нами в Telegram @wilden123 или на почте tokaev123@proton.me
Ваш уникальный номер: 5w6*****
Вариант от 26 сентября 2022:
Сообщение: twitter.com/pcrisk/status/1575445295139266560
Расширение: .T_TEN
Записка: readme.txt
IOC: VT: ad797bd222cddd6aee89937bccdf0544
Обнаружения:
DrWeb -> Trojan.Encoder.35972
ESET-NOD32 -> A Variant Of Win64/Filecoder.GB
Kaspersky -> Trojan-Ransom.Win32.Conti.ab
*** пропущенные однотипные варианты ***
Вариант от 3 апреля 2023 или раньше:
Расширение: .met@n
Записка: README.txt
Telegram: @MetanFiles
Результаты анализов:
VT +
IA +
ARОбнаружения:
DrWeb -> Trojan.Encoder.37433
BitDefender -> Gen:Variant.Midie.120073
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Kaspersky -> HEUR:Trojan.Win32.Scar.vho
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Ransom.Conti!1.DF1E (CLASSIC)
TrendMicro -> Ransom.Win32.CONTI.SMYXBBU
Different ContiStolen-cloned Ransomware
Вариант от 8 декабря 2022:
Самоназвание: Amelia Ransomware V1.61
Расширение: .Amelia
Записка: R3ADM3.txt
Email: Amelia@cyberfear.com, Amelia@onionmail.org
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet + myTweet
ID Ransomware (ID as Conti)
Write-up, Topic of Support
*
Thanks:
Michael Gillespie, GrujaRS, S!Ri
Andrew Ivanov (author)
***
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.