Если вы не видите здесь изображений, то используйте VPN.

четверг, 1 октября 2020 г.

Osno

Osno Ransomware

Babax-Osno Ransomware

FakeRansomware

(шифровальщик-вымогатель, ) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей, но отдельно пока не распространяется. Входит в комплект 
Osno stealer (инфостилер), который сам по себе является вариантом Babax stealer. Оригинальное название: OsnoRansom. На файле написано: Osno.exe, FallGuysStats.exe, Chrome updaters.exe, Tencent, Gamebuddy, CardGame.exe, osno-crypted.exe. На файле Osno Decryptor.exe написано FakeRansomware 1.1.0.0. Использует в описании файлов названия легитимных компаний, программ и приложений, чтобы запутать пользователей. В будущих версиях, после исправления ошибок, для шифрования файлов может начать использоваться алгоритм шифрования XXTEA.
В описанном варианте Osno Decryptor.exe не сможет вернуть файлы тем, кто заплатит.  Оплата выкупа бесполезна! 
---
Обнаружения:
DrWeb -> Trojan.Siggen10.33440, Trojan.PWS.Stealer.29333
BitDefender -> Trojan.GenericKD.34681455, Trojan.GenericKD.43992759
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> BDS/Androm.kjgjr, HEUR/AGEN.1109526
ESET-NOD32 -> A Variant Of Generik.LDYUKMD
Malwarebytes -> ***
Rising -> Ransom.OnyxLocker!1.C0BA (CLASSIC)
Symantec -> Trojan.Gen.2, Trojan.Gen.MBT
TrendMicro -> Ransom.Win32.OSNO.THJOFBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Babax > Osno

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .osnoed
 
Маркирует зашифрованные файлы словом OsnoRansom.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября - октября 2020 г. Даты создания разных образцов: 26 сентября, 4 октября, а также более новые и фиктивные. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа помешщается в файл RecInstruct.osnoned

Информатором жертвы или источником информации может быть экран блокировки или то, что его заменяет. 

Экран Osno Decryptor.exe с полем для ввода кода дешифрирования. 


Технические детали

Распространяется под видом исполняемого игры FallGuysStats.exe на соответствующих сайтах. Использует Discordapp.com для распространения. 


После доработки и модификации может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Fallout EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Прописывается в реестре и добавляет Автозагрузку Windows файл 
Chrome updaters.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RecInstruct.osnoned - специальный файл-записка от вымогателей
OsnoStealer WifiFucker v2
AAhy3Mb.png - загружаемое изображение
Desktop.txt, Documents.txt, Pictures.txt, Videos.txt, Startup.txt, Downloads.txt, processes.txt и другие - создаёт файлы с разными списками
Gamebuddy, CardGame.exe - распространяемый файл
FallGuysStats.exe, Chrome updaters.exe - распространяемый файл
Osno Decryptor.exe - модуль дешифрования
Osno.exe - название вредоносного файла
osno-crypted.bin.exe - название вредоносного файла
  

Ошибки: 
На файле, чей запуск был завершен, написано FakeRansomware 1.1.0.0.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome updaters.exe
C:\Users\User\AppData\Local\Temp\osno-crypted.bin.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL изображения: https://i.imgur.com/AAhy3Mb.png
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 октября 2020:
Пост в Твиттере >>
 


Обновление от 5 ноября 2020:


Обновление от 6 ноября 2020:
Osno Builder: VT >>





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as Osno)
 Write-up, Topic of Support
 Added later: Write-Up by Karsten Hahn (G DATA) 
 Thanks: 
 Karsten Hahn, Michael Gillespie, James, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 28 сентября 2020 г.

Dreamon

Dreamon Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Dreamon (в записке не указано). На файле написано: Dreamon.exe, Dreamon[Hwk].exe. Написан на языке .NET (C#). 

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---

© Генеалогия: предыдущая разработка >> Dreamon


Изображение — логотип статьи

Какое 
расширение добавляется к зашифрованным файлам неизвестно. 
Это может быть .dreamon или настраиваемое. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Представление этого крипто-вымогателя было замечено в конце сентября 2020 г. Ориентирован на русскоязысных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***.html
Это HTML-файл с настраиваемым названием. 


Технические детали

Распространяется на форумах киберандеграунда, доступен к продаже. Продается за 
$640. 
Обратите внимание на то, что на скриншотах показан как бы один и тот человек, но на одном форуме (с белым фоном) он зарегистрирован как пользователь, а на другом ( с чёрным фоном) он пишет сообщения уже как модератор. Текст написан на русском и английском языках, значит русский язык он знает. 

 



После покупки или получения копии аффилированными партнерами Dreamon RaaS может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Сообщается, что Dreamon использует технологию CLR Hosting, удаляет системные точки восстановления, сканирует и шифрует все найденные диски, флешки, сетевые диски, удаляет все файлы из Корзины, самоудаляется по окончанию работы, не оставляя никаких следов. Обходит системные файлы и директории (не шифрует, чтобы не вызвать системных сбоев в работе ПК). Имеет ограничение на запуск второго экземпляра приложения, если уже работает первый, ограничение на запуск в странах СНГ (РФ), не шифрует повторно уже шифрованный файл. Имеет защиту от запуска на виртуальных машинах, в песочницах. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
Dreamon.exe, Dreamon[Hwk].exe - 
названия исполняемого файла; 
<ransom_note>.html - название файла с требованием выкупа. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://ipconfig.ws/threads/Продам-dreamon-ransomware-crypt-decrypt-А-так-же-Исходники-source.294/
Email: 
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ 
Hybrid analysis >>
𝚺  
VirusTotal analysis >>
🐞 
Intezer analysis >>
ᕒ  
ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая. 
Подробные сведения собираются регулярно. Присылайте образцы. 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. 


 Read to links: 
 Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 RakeshKrish12
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 
*
© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 27 сентября 2020 г.

EyeCry, OxiJoiner

EyeCry Ransomware 

OxiJoiner Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: EYECRY. На файле написано: EyeCry.exe или Oxi_Joiner.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop8.22787
BitDefender -> Trojan.MSIL.Injector.MF
ALYac -> Trojan.Ransom.Petya
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 -> Win32/TrojanDropper.Small.NMM
Kaspersky -> Backdoor.Win32.Poison.ggrf
Malwarebytes -> Backdoor.Dropper
Rising -> Dropper.Win32.Small.bnv (CLASSIC)
Symantec -> Trojan Horse
Tencent -> Malware.Win32.Gencirc.10b3e7f9
TrendMicro -> Ransom.Win32.EYECRYLOCKER.A

© Генеалогия: ✂️ Green Petya > EyeCry

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текст записки о выкупе написан зелёными буквами на чёрном фоне, как былов Green Petya Ransomware

Майкл Джиллеспи попытлся ввести ключ, который подходил для Green Petya, но он не был принят. Из чего следует, что здесь используется другой ключ. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Перезагружает ПК, чтобы получить низкоуровневые права доступа на запись в раздел диска, используя команду: 
shutdown.exe -r -f -t 0

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
EyeCry.exe - название вредоносного файла
Oxi_Joiner.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\james\AppData\Local\Temp\EyeCry.exe
C:\Users\james\Desktop\RzqrKrXj7q.exe
C:\Users\FD1HVy\Desktop\Oxi_Joiner.exe
C:\Users\FD1HVy\AppData\Local\Temp\EyeCry.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as EyeCry)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 26 сентября 2020 г.

Babax, Executor

Babax Ransomware

Babaxed Ransomware

Executor (ExecutorV3) Ransomware

(фейк-шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в $50 в BTC. Входит в комплект Babax stealer (инфостилер), который известен в нескольких вариантах, сделанных один за другим. Такая неустойчивость говорит о том, что разработка еще не завершена. На файлах разных вариантов может быть написано: 
Gamebuddy, CardGame.exe, Tencent, Execv3.exe, loader4perx.exe, что-то еще. Использует в описании файлов названия легитимных компаний, программ и приложений, чтобы запутать пользователей. 
---
Обнаружения:
DrWeb -> Trojan.Siggen10.30724
BitDefender -> Trojan.GenericKD.43912085
ESET-NOD32 -> A Variant Of MSIL/GenKryptik.ETCZ
Kaspersky -> HEUR:Backdoor.MSIL.Androm.gen
Malwarebytes -> Spyware.Agent
Rising -> Trojan.Ymacco!8.11BE1 (TFE:***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0PIT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Babax > Executor > Osno

Изображение — логотип статьи

К фейк-зашифрованным файлам добавляется расширение: .babaxed
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября 2020 г. - начало октября. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
RECOVERY INSTRUCTIONS 0.txt
RECOVERY INSTRUCTIONS 1.txt  
RECOVERY INSTRUCTIONS 2.txt 
RECOVERY INSTRUCTIONS 3.txt 
RECOVERY INSTRUCTIONS 4.txt 
RECOVERY INSTRUCTIONS 5.txt 
и может быть в большем количестве

В некоторых вариантах может совсем не использоваться или не отбрасывается из-за ошибок. 


Содержание записки о выкупе:
All your Files have been crypted. Send 50$ wort of Bitcoins to this Address: 1Nehd3pSRF6ijmeumjpPmq7Nwn3hFJEsj
As soon as you sent the Money, sent an email to: haunexuwofwuf@protonmail.com as soon as we see the email we will send you the decrypter.

Перевод записки на русский язык:
Все ваши файлы зашифрованы. Отправьте $50 в биткойнах на этот адрес: 1Nehd3pSRF6ijmeumjpPmq7Nwn3hFJEsj
Как только вы послали деньги, отправьте email на адрес: haunexuwofwuf@protonmail.com, как только мы увидим письмо, мы отправим вам дешифратор.

Информатором жертвы или источником информации может быть экран блокировки или то, что его заменяет. 

Загружаемое изображение AAhy3Mb.png с надписью BABAX. 


Технические детали

Распространяется под видом исполняемых файлов программ и игр на соответствующих сайтах. Использует Discordapp.com для распространения. 

После доработки и модификации может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Fallout EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ График поведения исполняемого файла (файлов) от AnyRun.

Список файловых расширений, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

На самом деле файлы не шифруются, а так сказать babax'уются — первые первые 11 байтов заменяются словом "babaxRansom", кроме того расширение файла заменяется на расширение .babaxed, и всё название 
переводится в нижний регистр. 
Никакой расшифровки не потребуется, только нужно вручную заменять заголовки во всех файлах и надеяться на то, что в первых 11 байтах ничего важного не было.

Файлы, связанные с этим Ransomware:
RECOVERY INSTRUCTIONS 0.txt - название файла с требованием выкупа
RECOVERY INSTRUCTIONS 1.txt  
RECOVERY INSTRUCTIONS 2.txt 
RECOVERY INSTRUCTIONS 3.txt 
RECOVERY INSTRUCTIONS 4.txt 
RECOVERY INSTRUCTIONS 5.txt и даже больше
CardGame.exe - название вредоносного файла
Desktop.txt, Documents.txt, Pictures.txt, Videos.txt, Startup.txt, Downloads.txt, processes.txt и другие - создаёт файлы с разными списками
Gamebuddy, CardGame.exe - распространяемый файл
Execv3.exe, loader4perx.exe - другие варианты или копии
Spazer.pdb
ctfmom.exe


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\USER\source\repos\Spazer\Release\Spazer.pdb

Записи реестра, связанные с этим Ransomware:
Прописывается в реестре в разных местах. 
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL изображения: https://i.imgur.com/AAhy3Mb.png
Email: haunexuwofwuf@protonmail.com
BTC: 1Nehd3pSRF6ijmeumjpPmq7Nwn3hFJEsj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Babaxed)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *