Hentai Oniichan Ransomware
Variants: Berserker, King Engine
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью Rijndael, а затем требует выкуп в 10 BTC (~ $130000), чтобы вернуть файлы. Оригинальное название: Hentai Oniichan Ransomware. На файле написано: recent_invoice_view.exe или что-то другое. Использует библиотеку Crypto++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33369
BitDefender -> Gen:Variant.Johnnie.274191
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Injector.wktxz
ESET-NOD32 -> A Variant Of Generik.HKOKDPH
Kaspersky -> Trojan.Win32.Inject.anhmr
Malwarebytes -> Ransom.Quimera
Microsoft -> Trojan:Win32/Ymacco.AA44
Qihoo-360 -> Generic/HEUR/QVM10.2.E5CB.Malware.Gen
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Falsesign.Hsrw
TrendMicro -> TROJ_FRS.0NA103IE20
---
© Генеалогия: ??? >> Hentai Oniichan
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .HOR
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Ориентирован на англоязычных пользователей финансового и энергетического секторов, может распространяться по всему миру.
Записка от вымогателей называется: warning.htm
Содержание записки:
If you end task/kill our program, your data will gone forever, which mean "YOU CANNOT RECOVER YOUR DATA!"
Перевод записки на русский язык:
Если вы завершите нашу программу, ваши данные пропадут, т.е. ВЫ УЖЕ НЕ НЕ ВЕРНЕТЕ СВОИ ДАННЫЕ!
If you end task/kill our program, your data will gone forever, which mean "YOU CANNOT RECOVER YOUR DATA!"
Перевод записки на русский язык:
Если вы завершите нашу программу, ваши данные пропадут, т.е. ВЫ УЖЕ НЕ НЕ ВЕРНЕТЕ СВОИ ДАННЫЕ!
Другим информатором выступает изображение, заменяющее обои рабочего стола.
Содержание записки с требованием выкупа:
HENTAI ONICHAN RANSOMWARE VERSION BERSERKER
TO RECOVER DATA:
- PAY 10 BTC (BITCOIN).
- SEND/PAY ONLY TO THIS BITCOIN WALLET "ONLY TO THIS BITCOIN ADDRESS"
= bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu
- NO NEGOTIABLE OFFER MY ENGLISH IS BAD SO STOP WASTING TIME.
- SEND EMAIL TO hidalgoroberto859@gmail.com WITH SUBJECT YOUR COMPUTER/PC/IP NAME AND WITH BODY/MESSAGE "I'M DONE WITH PAYMENT".
- AFTER YOU FINISH WITH PAYMENT, I SEND DECRYPTOR PROGRAM.
- TIME EXPIRED IN 30 DAYS FROM NOW.
HOR
HentaiOniichanRansomware<HOR>
Перевод записки на русский язык:
HENTAI ONICHAN RANSOMWARE VERSION BERSERKER
ДЛЯ ВОССТАНОВЛЕНИЯ ДАННЫХ:
- ЗАПЛАТИТЕ 10 BTC (BITCOIN).
- ОТПРАВЬТЕ ТОЛЬКО НА ЭТОТ БИТКОИН КОШЕЛЕК "ТОЛЬКО НА ЭТО БИТКОИН АДРЕС"
= bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu
- НЕТ НУЖНЫ ПЕРЕГОВОРЫ, МОЙ АНГЛИЙСКИЙ ПЛОХОЙ, НЕ ТЕРЯТЕ ВРЕМЯ.
- ОТПРАВЬТЕ EMAIL НА hidalgoroberto859@gmail.com, УКАЗАВ В ТЕМЕ ИМЯ ВАШЕГО КОМПЬЮТЕРА /ПК/IP И В ТЕЛЕ/СООБЩЕНИИ "Я СДЕЛАЛ ОПЛАТУ".
- ПОСЛЕ ОПЛАТЫ ПРИШЛЮ ДЕШИФРОВЩИК.
- ВРЕМЯ ПОШЛО, ОСТАЛОСЬ 30 ДНЕЙ.
HOR
HentaiOniichanRansomware <HOR
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама на тему COVID-19 и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует технологии Microsoft Powershell, CMD для осуществления атаки.
➤ Стремится максимально затруднить восстановление за счет удаления резервных копий файлов, созданных в разных программах, ориентированных на создание бэкапов. Для этого производится дополнительное удаление резервных копий и файлов образов дисков по расширениям и каталогам. В частности осуществляется поиск файлов со следующими расширениями: .vhd, .bac, .bak, .wbcat, .bkf, .set, .win, .dsk.
Список отключаемых служб:
Acronis VSS Provider
AcronisAgent
AcrSch2Svc
Antivirus
ARSM
AVP
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
BackupExecVSSProvider
bedbg
ccEvtMgr
ccSetMgr
Culserver
dbeng8
dbsrv12
DCAgent
DefWatch
EhttpSrv
ekrn
Enterprise Client Service
EPSecurityService
EPUpdateService
EraserSvc11710
EsgShKernel
ESHASRV
FA_Scheduler
IISAdmin
IMAP4Svc
KAVFSGT
kavfsslp
klnagent
macmnsvc
masvc
MBAMService
MBEndpointAgent
McAfeeEngineService
McAfeeFrameworkMcAfeeFramework
McShield
McTaskManager
mfefire
mfemms
mfevtp
MMS
mozyprobackup
MsDtsServer100
MsDtsServer110
MSExchangeES
MSExchangeIS
MSExchangeMGMT
MSExchangeMTA
MSExchangeSA
MSExchangeSRS
msftesql$PROD
msmdsrv
MSOLAP$SQL_2008
MSOLAP$SYSTEM_BGC
MSOLAP$TPSAMA
MSSQL$BKUPEXEC
MSSQL$ECWDB2
MSSQL$PRACTICEMGT
MSSQL$PRACTTICEBGC
MSSQL$PROD
MSSQL$PROFXENGAGEMENT
MSSQL$SBSMONITORING
MSSQL$SHAREPOINT
MSSQL$SOPHOS
MSSQL$SQL_2008
MSSQL$SQLEXPRESS
MSSQL$SYSTEM_BGC
MSSQL$TPSAMA
MSSQL$VEEAMSQL2008R2
MSSQL$VEEAMSQL2012
MSSQLFDLauncher$PROFXENGAGEMENT
MSSQLFDLauncher$SBSMONITORING
MSSQLFDLauncher$SHAREPOINT
MSSQLFDLauncher$SQL_2008
MSSQLFDLauncher$SYSTEM_BGC
MSSQLFDLauncher$TPSAMA
MSSQLSERVER
MSSQLServerADHelper100
MSSQLServerOLAPService
MySQL57
MySQL80
NetMsmqActivator
ntrtscan
OracleClientCache80
PDVFSService
POP3Svc
QBCFMonitorService
QBIDPService
QuickBoooks.FCS
ReportServer$SQL_2008
ReportServer$SYSTEM_BGC
ReportServer$TPSAMA
RESvc
RTVscan
SAVAdminService
SavRoam
SAVService
SepMasterService
ShMonitor
Smcinst
SmcService
SMTPSvc
SNAC
SntpService
Sophos Agent
Sophos AutoUpdate Service
Sophos Clean Service
Sophos Device Control Service
Sophos File Scanner Service
Sophos Health Service
Sophos MCS Agent
Sophos MCS Client
Sophos Message Router
Sophos Safestore Service
Sophos System Protection Service
Sophos Web Control Service
sophossps
SQL Backups
sqladhlp
SQLADHLP
sqlagent
SQLAgent$BKUPEXEC
SQLAgent$CITRIX_METAFRAME
SQLAgent$CXDB
SQLAgent$ECWDB2
SQLAgent$PRACTTICEBGC
SQLAgent$PRACTTICEMGT
SQLAgent$PROD
SQLAgent$PROFXENGAGEMENT
SQLAgent$SBSMONITORING
SQLAgent$SHAREPOINT
SQLAgent$SOPHOS
SQLAgent$SQL_2008
SQLAgent$SQLEXPRESS
SQLAgent$SYSTEM_BGC
SQLAgent$TPSAMA
SQLAgent$VEEAMSQL2008R2
SQLAgent$VEEAMSQL2012
sqlbrowser
SQLBrowser
SQLsafe Backup Service
SQLsafe Filter Service
SQLSafeOLRService
sqlserv
SQLSERVERAGENT
SQLTELEMETRY$ECWDB2
sqlwriter
SQLWriter
svcGenericHost
swi_filter
swi_service
swi_update_64
Symantec System Recovery
TmCCSF
tmlisten
tomcat6
TrueKeyScheduler
TrueKeyServiceHelper
UI0Detect
Veeam Backup Catalog Data Service
VeeamBackupSvc
VeeamBrokerSvc
VeeamCatalogSvc
VeeamCloudSvc
VeeamDeploymentService
VeeamDeploySvc
VeeamEnterpriseManagerSvc
VeeamHvIntegrationSvc
VeeamMountSvc
VeeamNFSSvc
VeeamRESTSvc
VeeamTransportSvc
vmware-converter
vmware-usbarbitator64
W3Svc
wrapper
WRSVC
Список файловых расширений, подвергающихся шифрованию:
Все популярные форматы, кроме игнорируемых.
Это наверяка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и различные резервные копии и пр.
Файлы, связанные с этим Ransomware:
Список игнорируемых расширений:
.bak, .bin, .c, .cmd, .com, .cpp, .dat, .DAT, .db, .dll, .exe, .h, .hpp, .inf, .ini, .ink, .js, .lib, .lnk, .ps1, .sys, .vbs, .ws
Файлы, связанные с этим Ransomware:
update.pdb
2020Q3PH.pdb
warning.htm - название файла с требованием выкупа
recent_invoice_view.exe - название вредоносного файла
recent_invoice_view.exe - название вредоносного файла
C:\Users\Roberto\Desktop\items\Release\update.pdb
%USERPROFILE%\Desktop\items\Release\update.pdb
%USERPROFILE%\source\repos\2020Q3PH\Release\2020Q3PH.pdb
C:\Users\Vlv1337\Desktop\cryptopp-CRYPTOPP_8_2_0\rijndael_simd.cpp
C:\Users\Vlv1337\Desktop\cryptopp-CRYPTOPP_8_2_0\sha_simd.cpp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Скриншот от исследователя:
Сетевые подключения и связи:
Email: hidalgoroberto859@gmail.com
BTC: bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 28 октября 2020:
Расширение: .HOR
Новый вариант "King Engine" и нацелен на отрасль здравоохранения.
Пересылает данные на email-адрес, обнаруженный в исполняемом файле.
Эта версия шифрует также файлы с расширением .docm
Требует более высокий выкуп в 50 BTC (~ $650000).
Вариант от 2 декабря 2020:
Статья об этом варианте >>
Статья об этом варианте >>
Расширение: .HOR
Файл: Fatality_DIed.dll
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: VMRay, Cofense Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.