Если вы не видите здесь изображений, то используйте VPN.

среда, 28 апреля 2021 г.

N3TW0RM, NetWorm

N3TW0RM Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компьютерных систем некотоых израильских компаний, а затем требует выкуп в 3-4 BTC или больше, чтобы вернуть файлы. Иначе вымогатели угрожают опубликовать украденные данные этих компаний. Оригинальные названия: N3TW0RM, N3tw0rm (фактически: NetWorm), указано в заголовке записки и её тексте. Начало атаки: 18 апреля 2021. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33897
BitDefender -> Trojan.GenericKD.46208382
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.nwhkv
ESET-NOD32 -> Win32/Filecoder.N3TW0RM.A, A Variant Of Win32/Filecoder.N3TW0RM.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen
Malwarebytes -> Trojan.Crypt
Microsoft -> Ransom:Win32/Rolsig.A
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> ***
TrendMicro -> Ransom.Win32.NETWORM.A
---

© Генеалогия: Pay2Key? > N3TW0RM

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .n3tw0rm

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 


Этимология названия и подоплека атаки. 
Эта атака является ответом на израильскую кибератаку на ядерный объект Ирана и другие агрессивные военные действия, произошедшие в первой половине апреля 2021. Завуалированное название NetWorm ("сетевой червь") является отголоском функционала сетевого червя Stuxnet, который в 2010 году готовился спецслужбами Израиля и США и использовался кибергруппами  против ядерного проекта Ирана. За прошедшие годы иранский хактивизм и киберактивность во многом продвинулись, их кибервойска и отдельные кибергруппы теперь могут проводить не менее разрушительные кибератаки. Но если бы все ограничивалось кибератакими... Безбашенная военщина Израиля продолжает стрелять по объектам в Иране и Сирии без какого-то либо предупреждения, не считаясь с жизнями людей. Справедливый гнев и жажда мести заставляют отдельные иранские кибергруппировки проводить ответные меры, среди которых и подобные хакерские атаки с использованием Ransomware и Doxware. И хотя эти атаки не проливают человеческую кровь, они тоже являются преступлением. 

Информация из статей...
По словам израильских специалистов, иранские кибервымогатели выдают себя за русских (используя ник N3tw0rm). Они атакуют израильские фирмы, участвующие в цепочке поставок. Взлом этих компаний, предоставляющих  услуги большому количеству других компаний, позволит получить доступ к информации множества пострадавших. Хактивисты NetWorm идеологически мотивированы, но при этом всё же требуют выкуп, вероятно не имея реального намерения разглашать данные. 

Израильские эксперты полагают (нет доказательств), что N3tw0rm связана с иранскими операторами Pay2key Ransomware, которые в прошлом году заявили о взломе Israel Aerospace Industries и израильской ИБ-компании Portnox. Или группа Pay2key просто сменила название. 

Судя по информации, опубликованной вымогателями на своем сайте в Darknet, объектами атак NetWorm стали израильские компании H&M Israel и Veritas Logistic. Вымогатели разместили на сайте их логотипы. Хакеры угрожают опубликовать 110 гигабайт данных H&M Israel и 9 гигабайт данных Veritas, включая информацию о клиентах, счетах, данных о сотрудниках, платежную информацию, в том числе кредитные карты, если выкуп не будет выплачен. По данным Veritas, к 3 мая хакеры требовали с них 3 биткойна (почти $170 000). Позже стало известно, что мишенью кибервымогателей N3TW0RM стали четыре израильские компании и одна неправительственная фирма Ecolog Engineering Ltd.
---

Записка с требованием выкупа называется: N3TW0RM_MESSAGE.TXT


Содержание записки о выкупе:
--== Dear users! ==--
N3tw0rm is talking to you...
N3tw0rm provides enterprise-level of ransomware attacks!
Don't worry about your network because you're not the first and of course not the last!
[+] What is Ransomware?[+]
Ransomware is a type of malware from cryptovirology that threatens to publish the victim's data or perpetually block access to it unless a ransom is paid.
It encrypts the victim's files, making them inaccessible, and demands a ransom payment to decrypt them.
(https://en.wikipedia.org/wiki/Ransomware)
[+] What's Happened? [+]
Your entire company network has been encrypted! yes, your whole network!
By the way, everything is possible to recover (restore), but you need to follow the instructions. Otherwise, you can't return your data (NEVER).
N3tw0rm extracted some of your important information as a deal guarantee, everything is moving better when you have a guarantee in your hands absolutely!
[+] Trial decryption [+]
You can send 5 random files from any computers and receive decrypted data to make sure that N3tw0rm decryptor works. 
[+] How to restore your files back? [+]
Simple and easy!
You should pay 4 BTC to receive your network decryptor.
Wallet: ***
E-Mail: n3tw0rm@tuta.io
Your Computer Unique ID: ***
Your Network Identifier ID: ***
[!] NOTICE [!]
You should make your payment before 05/04/2021, otherwise your price will be doubled and your data going to leak on N3tw0rm onion directory!
Check the N3tw0rm onion site:
http://***hra4wthvlgyeyd.onion/
[!] Don't try to change files by yourself, Don't use any third party software for restoring your data or antivirus solutions.
[!] Don't modify encrypted files or you can damage them and decryption will be impossible!

Перевод записки на русский язык:
-== Дорогие е пользователи! ==-
N3tw0rm с вами говорит...
N3tw0rm обеспечивает защиту корпоративного уровня отransomware!
Не беспокойтесь о своей сети, потому что вы не первый и, конечно, не последний!
[+] Что есть Ransomware? [+]
Ransomware - это тип вредоносного ПО из криптовирологии, которое угрожает опубликовать данные жертвы или постоянно блокирует доступ к ним, если не будет уплачен выкуп.
Он шифрует файлы жертвы, делая их недоступными, и требует выкуп за их расшифровку.
(https://en.wikipedia.org/wiki/Ransomware)
[+] Что случилось? [+]
Вся ваша корпоративная сеть зашифрована! да, вся ваша сеть!
Кстати, все можно вернуть (восстановить), но нужно следовать инструкции. Иначе вы не сможете вернуть свои данные (НИКОГДА).
N3tw0rm извлек часть вашей важной информации как гарантию сделки, все идет лучше, когда у вас есть абсолютная гарантия!
[+] Пробная расшифровка [+]
Вы можете прислать 5 случайных файлов с любых компьютеров и получить расшифрованные данные, чтобы убедиться, что дешифратор N3tw0rm работает.
[+] Как вернуть файлы назад? [+]
Просто и легко!
Вы должны платить 4 BTC, чтобы получить сетевой дешифратор.
Кошелек: ***
E-Mail: n3tw0rm@tuta.io
Уникальный ID вашего компьютера: ***
Ваш ID сетевого идентификатора: ***
[!] УВЕДОМЛЕНИЕ [!]
Вы должны произвести оплату до 05.04.2021, иначе ваша цена удвоится, и ваши данные утекут на onion-сайте N3tw0rm!
Посетите onion-сайт N3tw0rm:
http: //***hra4wthvlgyeyd.onion/
[!] Не пытайтесь сами изменять файлы, не используйте сторонние программы для восстановления ваших данных или антивирусные решения.
[!] Не изменяйте зашифрованные файлы, иначе вы можете повредить их и расшифровка будет невозможна!




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
N3TW0RM_MESSAGE.TXT - название файла с требованием выкупа;  
<random>.exe - случайное название вредоносного файла; 
slave.exe - название вредоносного файла; 
N3TW0RM_IOC.xlsx

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://***hra4wthvlgyeyd.onion/
Email: n3tw0rm@tuta.io
BTC: скрыт
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis N3TW0RM_IOC.xlsx >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as N3TW0RM)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer, Haaretz 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 24 апреля 2021 г.

Orion

Orion Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English


Этот шифровальщик шифрует данные после того, как пользователь сам запустит вредоносную программу и согласится с тем, что она может причинить вред. Затем вымоагтель даже не требует выкуп, но показывает несколько ключей, которые могут помочь вернуть файлы. Оригинальное название: OrionRansomware. На файле написано: OrionRansomware.exe. Разработчик: BadSam#1224. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33857
BitDefender -> Gen:Variant.Strictor.257713
Avira (no cloud) -> HEUR/AGEN.1134366
ESET-NOD32 -> A Variant Of Win32/Packed.Themida.Gen.BJU
Kaspersky -> UDS:Trojan.Win32.Delf.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Hynamer.A!ml
Rising -> Trojan.Delf!8.67 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Delf.Piab
TrendMicro -> TROJ_GEN.R002H07DO21
---

© Генеалогия: ??? >> OrionRansomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .XXXXX


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя не наблюдалась, образец был найден на во второй половине апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Информатором жертвы выступает следующий экран: 


Содержание текста с экрана:
Orion Ransomware
Warning!!!
All your files and databases have been encrypted.
If you want your files back, you have to get the correct key.
If you have chosen the wrong key or closed this window, your computer will DIE
KEY 1=> mUSBAukTeNU6
KEY 2=> h4BZkq6XoCSg
KEY 3=> rbdijkwjsdpa
KEY 4=> Tf7fljcRq7u6
KEY 5=> ijk89hSfm1ZH

Перевод текста на русский язык:
Предупреждение!!!
Все ваши файлы и базы данных зашифрованы.
Если вы хотите вернуть свои файлы, вы должны получить правильный ключ.
Если вы выбрали неправильный ключ или закрыли это окно, ваш компьютер ВЫРУБИТСЯ
КЛЮЧ 1 => mUSBAukTeNU6
КЛЮЧ 2 => h4BZkq6XoCSg
КЛЮЧ 3 => rbdijkwjsdpa
КЛЮЧ 4 => Tf7fljcRq7u6
КЛЮЧ 5 => ijk89hSfm1ZH


Какой из ключей правильный не сообщается, видимо его нужно угадать. 
Появлению этого экрана предшествует диалоговое окно, в котором сообщается о вредоносном файле, который может причинить вред  компьютеру. 



Содержаниие текста из этого окна:
Do you really want to run this?
Warning this is a malware!
This program will harm your computer!
Don't run this program on a real computer.
Click [yes] if you want to continue...
Written by BadSam#1224
[Yes] [No]

Перевод текста на русский язык: 
Вы правда хотите запустить это?
Предупреждаю, это вредоносная программа!
Эта программа навредит вашему компьютеру!
Не запускайте эту программу на реальном компьютере.
Нажмите [Да], если хотите продолжить ...
Автор BadSam#1224
[Да] [Нет]


Таким образом, шифрование начинается после нажатия кнопки "Да". 
После этого начнется шифрование найденных файлов и появится следующий экран с надписью "Orion". 





Технические детали

Ничего неизвестно о его распространении. Вероятно находится на стадии испытаний или сделан для изучения вредоносных программ. 

После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это могут быть популярные типы файлов, например, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
OrionRansomware.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 23 апреля 2021 г.

NoCry

NoCry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: NoCry. На файле написано: sketchpro.exe или NoCry.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop16.31173, Trojan.Encoder.34098
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dropper.Gen
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Generic.Ransom.Hiddentear.A.756CC101
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFL
Malwarebytes -> Malware.AI.4154580173
Microsoft -> Ransom:MSIL/NoCry.AS!MTB
Rising -> Trojan.AntiVM/MSIL!1.D7C2 (CLASSIC), Ransom.NoCry!1.D7BF (CLASSIC)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Generic.Dzaa
TrendMicro ->Ransom.MSIL.NOCRY.A
--- 

© Генеалогия: Stupid >> NoCry

NoCry Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Cry


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Образец этого крипто-вымогателя был найден во второй половине апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки.  


Содержание записки о выкупе:
Ooooops All Your Files Are Encrypted ,NoCry
Can I Recover My Files ?
Yes, You Can Recover All Your Files Easily And Quickly
But How ?
Send The Required Amount And
I Will Send The Key To You For Decryption
See You Soon (0_0)
Send $300 worth of bitcoin to this address:
be1qtje3mdvmwsp64k20srtj65m23qjjc42f2cd3pc

Перевод записки на русский язык:
Упс, все ваши файлы зашифрованы, NoCry
Могу ли я восстановить свои файлы?
Да, вы можете легко и быстро восстановить все свои файлы
Но как ?
Отправьте требуемую сумму и
Я пришлю вам ключ для расшифровки
Увидимся скоро (0_0)
Отправьте биткойны на сумму 300 долларов на этот адрес:
be1qtje3mdvmwsp64k20srtj65m23qjjc42f2cd3pc


Дополнительным информатором выступает изображение короткий красный текст на чёрном фоне, заменяющее обои Рабочего стола. 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
sketchpro.exe - 
название вредоносного файла;
NoCry.exe - название вредоносного файла;
rGoB8VnbP6W42hW5.exe - случайное название вредоносного файла;
NoCry Decryptor - в составе программы-вымогателя. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\ku5h2\OneDrive\Desktop\NoCry Discord\ransomeware\obj\Debug\NoCry.pdb
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rGoB8VnbP6W42hW5.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: be1qtje3mdvmwsp64k20srtj65m23qjjc42f2cd3pc
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 881ce2f3cd743dd8d2da8dd8167ceaf2


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 29 июня 2021:
Расширение: .Cry
Записка: How To Decrypt My Files.html
BTC: 3PirF4RjK5RyRpfgU3NY2MzNwDwUcsxFN4




Файл: NoCry.exe
Файл в Автозагрузке: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qRERbdKw22juwi2Y.exe
Результаты анализов: IOS: VT, HA, IA, TG, AR
MD5: a2263b0ab9ee242a2e9e6e29fa788bcf
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34098
BitDefender -> Generic.Ransom.Hiddentear.A.756CC101
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFL
Microsoft -> Ransom:MSIL/NoCry.AS!MTB
Rising -> Ransom.NoCry!1.D7BF (CLASSIC)
---
Файлы изображений из анализа: 
Cry.img > Cry.jpg
admin-screenshot.jpg




Вариант от 27 октября 2021: 
Расширение: .IHA
URL: hxxx://luffysec.000webhostapp.com/
Файл: NoCry.exe, IHAransom.exe
IOC: VT, TG
MD5: 5f775c9a9d49013ef37aa7d332327af4




=== 2024 ===

Вариант от 16 июня 2024:
Самоназвание: AzzaSec Ransomware
Расширение: .AzzaSec
Файл: AzzaSec.exe
IOC: VT, IA
MD5: 4205653eb6536fbacc44cab5c77ccb31
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.69
BitDefender -> Generic.Ransom.WCryG.2DCF0744
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFL
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.NoCry!1.D7BF (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c0056c
TrendMicro -> TROJ_GEN.R002C0RFG24




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Petrovic, Michael Gillespie,
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 20 апреля 2021 г.

Qlocker

Qlocker Ransomware

QNAP 7z-locker Ransomware

(7zip-шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные на QNAP NAS устройствах пользователей, а затем требует выкуп в 0.01 BTC (~$500) за пароль, чтобы вернуть файлы. На самом деле файлы помещаются в 7z-архив с паролем, известным только вымогателям. Оригинальное название: Qlocker (написано на сайте вымогателей в сети Tor). На файле написано: нет данных.

Файлы можно восстановить, если есть желание. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro -> 

---

© Генеалогия: QNAP Ransomware
7-Zip архиватор >> Qlocker

Изображение — логотип статьи

Файлы заблокированы в архивах с расширениями .7z
Это обычное расширение для архиватора 7-Zip

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди пострадавших пользователи из США, Канады, Франции, Италии, Германии, Польши, Израиля и других стран. 

Записка с требованием выкупа называется: !!!READ_ME.txt


Содержание записки о выкупе:
!!! All your files have been encrypted !!!
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
2. Visit the following pages with the Tor Browser:
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
3. Enter your Client Key:
KU1o8mGG4p8moefySdZSI85HX6*** [всего 344 знака]

Перевод записки на русский язык:
!!! Все ваши файлы зашифрованы !!!
Все ваши файлы зашифрованы с использованием приватного и уникального ключа, созданного для компьютера. Этот ключ хранится на нашем сервере, и только один способ получить ваш ключ и расшифровать файлы - это биткойн-оплата.
Чтобы приобрести ключ и расшифровать файлы, выполните следующие действия:
1. Загрузите браузер Tor с https://www.torproject.org/. Если вам нужна помощь, пожалуйста, Google для "доступа к луковой странице".
2. Посетите следующие страницы с Tor-браузером:
 gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
3. Введите свой клиентский ключ:
KU1o8mGG4p8moefySdZSI85HX6 *** [всего 344 знака]
---

Скриншоты с Tor-сайта вымогателей
 

Содержание текста на сайте:
Qlocker
You have to send 0.01 BTC to below address and specify the transaction ID in the field below, which will be verifyed and confirmed.
Once we receive your payment, you'll get a password to decrypt your data.
Send 0.01 BTC to this address
Transaction ID (txid)
Txid must be length 64, it looks like 21aaaf3cfefe7171b8f5835838067b0ab6947aef263a6f812bf0112e4efefe6f
Waiting for payment.

Перевод текста на русский язык:
Qlocker
Вам надо отправить 0.01 BTC на адрес ниже и указать ID транзакции в поле ниже, который будет проверен и подтвержден.
Как мы получим ваш платеж, вы получите пароль для расшифровки данных.
Отправьте 0.01 BTC на этот адрес
ID транзакции (txid)
Txid должен быть длиной 64, это как 21aaaf3cfefe7171b8f5835838067b0ab6947aef263a6f812bf0112e4efefe6f
Ожидается платеж.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это могут быть популярные форматы файлов: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
!!!READ_ME.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
Email: - 
BTC: 
34vbPQLgGZwKG2FikitGU6QR7K25aB6Shh
37m57HiP5rPceopgEWF9sM58CkzaDFYtaU
3Ekwztte7oWR1odC1eKeL2Va4cpBuGXPgU
3EPBKN3bcax81U3MdKYUhMC1fzFEFGPC6E
3EvCKQ38y8ePUwM4w49XWVtAK7KhYbmeMH
3FvLioiqF2TrQgZ9zRMdd7QUfc2hTjKZfL
3FXVLv8TmcHNmnfwLfc5g7f2a32xp3XugW
3G6fbWX6At9uRzKf6kwS6R6pn5EQ8UsxKY
3GfAJxhUen3oqb4sDDnPmXyhs5mDboHbyG
3JRdPjB8U3nfDqQHzTqw9yYra49Gsd8Rar
3KmK5z4CAvn3aL4Q8F2gWbhuPRy9ZmEurN
3Kywg92E877KUWmyaeeLNSXFc5bqBvFbAm
3LLzycFNFh7mDsqRhfknfGBa6TKq6HcfwS
3Lp1NkJHYsmFRBfM3ggoWsS1PF5hXxrwrD
3PDfzkTnD1E7gB7peZ2prRyDxjQ1BhqcV1
3PunvFGpVWLX7PNAoT3bMDbPQU2QQW4kxN
3Q8WmjQyFs1EKCdu415t2P9cxY7AbqorPd
3EWRngsRDhCxMHtKxeK6k9kX3pyWZSA2YB
3Gwz3yVmrGr5AqmUrAS8H2QQaPz2v9Rhpx
3JtUAz4aKUrjcBK47ocdv52tTJkriat1nx
3NtgDQCu7xck4UEpyTf8HNSSvrMCnKZRjt
3DhE1iZ5Ui6HALVKuuYXW52ArZPVJjUgJA

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ALTERNATIVE DECRYPTOR ===



Скриншот альтернативного дешифровщика. 
Работает с паролем, полученным от вымогателей после уплаты выкупа. 




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 19 мая 2021: 
Вымогатели Qlocker, заработав более 350 тысяч долларов, решили закрыть свой сайт и остановить вымогательство. 


Вместо того, чтобы требовать миллионы долларов на восстановление файлов, Qlocker-вымогатели изначально оценили сумму выкупа всего в $500, что привело к тому, что многие компании заплатили выкуп за восстановление своих файлов. 
Поскольку в Qlocker Ransomware использовался фиксированный набор биткойн-адресов, на которые жертвами перечислялись суммы выкупа, можно отследить, сколько биткойнов они получили в качестве выкупа.
На 22 биткойн-адреса Qlocker, известных BleepingComputer, жертвы заплатили в общей сложности 8.93258497 BTC. Сегодня это стоит 353708 долларов, но до краха биткойнов на этой неделе те же самые биткойны стоили почти 450000 долларов.
Если разделить все биткоины, полученные вымогателями по 0.01 BTC с каждого, то получится около 893 пострадавших пользователей, которые заплатили выкуп. Их могло бы быть больше, если бы Qlocker использовал другие биткойн-адреса. 


=== 2022 ===

Вариант от 6 января 2022: 
Записка: !!!READ_ME.txt
Tor-URL: gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Qlocker)
 Write-up, Topic of Support
 Added later: Write-up, Write-up
Файлы можно восстановить, если есть желание. 
Отдельная тема на форуме >>
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *