Если вы не видите здесь изображений, то используйте VPN.

пятница, 28 мая 2021 г.

Epsilon Red

Epsilon Red Ransomware 

EpsilonRed PowerShellScript Ransomware 

EpsilonRed PSS-Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные в атакованной корпоративной сети с помощью AES+RSA, а затем требует выкуп в несколько BTC, чтобы вернуть файлы. Оригинальное название: Epsilon Red. На файле написано: Red.exe. Написан на языке Go. Включает в себя набор уникальных PowerShell-скриптов, подготавливающих ПК к шифрованию файлов.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: заимствования из других проектов >> Epsilon Red

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .epsilonred


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине - конце мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: ***нет данных***


Содержание записки о выкупе:
[+] What's Happened? [+]
Your files have been encrypted and currently unavailable. You can check it. All files in your system have "EpsilonRed" extension. By the way, everything is possible to recover (restore) but you should follow our instructions. Otherwise you can NEVER return your data.
[+] What are our guarantees? [+]
It's just a business and we care only about getting benefits. If we don't meet our obligations, nobody will deal with us. It doesn't hold our interest. So you can check the ability to restore your files. For this purpose you should come to talk to us we can decrypt one of your files for free. That is our guarantee.
It doesn't metter for us whether you cooperate with us or not. But if you don't, you'll lose your time and data cause only we have the private key to decrypt your files, time is much more valuable than money.
[+] Data Leak [+]
We uploaded your data and if you dont contact with us then we will publish your data.
Example of data:
- Accounting data
- Executive data
- Sales data
- Customer support data
- Marketing data
- And more other ...
[+] How to Contact? [+]
You have two options :
1. Chat with me :
-Visit our website: http://epsilons.red/***
-When you visit our website, put the following KEY into the input form.
-Then start talk to me.
2. Email me at : ***@protonmail.com

Перевод записки на русский язык:
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете это проверить. Все файлы в вашей системе имеют расширение "EpsilonRed". Кстати, все можно вернуть (восстановить), но вы должны следовать нашим инструкциям. В противном случае вы НИКОГДА не сможете вернуть свои данные.
[+] Какие у нас гарантии? [+]
Это просто бизнес и мы заботимся только о выгоде. Если мы не будем выполнять обязательства, с нами никто не будет иметь дело. Это нам неинтересно. Таким образом, вы можете проверить возможность восстановления ваших файлов. Для этого вам следует поговорить с нами, мы бесплатно расшифруем один из ваших файлов. Это наша гарантия.
Нам не важно, сотрудничаете вы с нами или нет. Но если вы этого не сделаете, вы потеряете свое время и данные, потому что только у нас есть закрытый ключ для расшифровки ваших файлов, время гораздо дороже денег.
[+] Утечка данных [+]
Мы загрузили ваши данные и если вы не свяжетесь с нами, мы их опубликуем.
Пример данных:
- Данные бухгалтерского учета
- Исполнительные данные
- Данные о продажах
- Данные поддержки клиентов
- Маркетинговые данные
- И многое другое ...
[+] Как связаться? [+]
У вас есть два варианта:
1. Пообщайтесь со мной:
-Посетите наш сайт: http://epsilons.red/***
-При посещении нашего сайта введите следующий КЛЮЧ в форму ввода.
-Тогда начнете со мной разговаривать.
2. Напишите мне на адрес: ***@protonmail.com


Содержание записки вероятно заимствовано из записки Sodinokibi (REvil) Ransomware.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Начальной точкой проникновения злоумышленников в корпоративную сеть являются непропатченные серверы Microsoft Exchange. Далее, используя возможности WMI (Windows Management Instrumentation), злоумышленники получают доступ  к другим машинам корпоративной сети и возможность установки на них другого вредонсоного ПО. 

Список типов файлов, подвергающихся шифрованию:
Списка нет. Шифруются все найденные файлы внутри папок, включая другие исполняемые файлы и DLL, что может сделать программы или всю систему неработоспособными. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
1.ps1 - 12.ps1, C.ps1. S.ps1, RED.ps1 - PowerShell-сценарии, используемые зломышленниками во время атаки и шифрования; 
P.exe - файл, приостаналивающий некоторые процессы, которые могут помешать шифрованию файлов (вероятно модифицированная версия инструмента EventCleaner); 
RED.ps1 - скрипт, выполняющий выполняет 12 из 14 скриптов PowerShell, добавляя их в Планировщик заданий; 
Red.exe - программа-вымогатель (исполняемый файл 64-битной Windows, написанный на языке Go, скомпилированный с помощью инструмента MinGW и упакованный модифицированной версией упаковщика UPX; 


rutserv.exe - файл установщика, созданный с помощью Remote Utilities, который зломышленники загружают на несколько компьютеров в сети цели, чтобы потом запустить на выполнение.


Описание действий некоторых вышеназванных файлов:
Сценарий red.ps1 распаковывает архив RED.7z в директорию %SYSTEM%\RED, а затем создает запланированные задачи, которые запускают распакованные сценарии. Затем он ждет один час и выполняет команды, которые изменяют правила брандмауэра Windows таким образом, чтобы брандмауэр блокировал входящие соединения на всех TCP-портах, кроме 3389/tcp протокола удаленного рабочего стола и коммуникационного порта 5650/tcp, используемого коммерческим инструментом Remote Utilities. Как ни странно, он сначала блокирует входящий трафик на порты 80 и 443, а затем избыточно блокирует все большие диапазоны портов, которые включают 80 и 443, но также исключают порты RDP и Remote Utilities: 1-3388, 3390-5649, and 5651-65352. 

1.ps1 ищет процессы, содержащие любую из следующих строк в имени, и пытается их прервать: sql, Sql, SQL, BASup, Titan, SBAM, sbam, vipre, Vipre, Cylance, cylance, Senti, senti, sql, backup, veeam, outlook, word, excel, office, ocomm, dbsnmp, onenote, firefox, xfssvccon, infopath, wordpa, isqlplussvc, sql, dbeng50, mspub, mydesktopqos, ocautoupds, thunderbird, encsvc, oracle, mydesktopservice, thebat, agntsvc, steam, ocssd, tbirdconfig, synctime, visio, sqbcoreservice, winword, msaccess, powerpnt, mepocs, memtas, svc$, vss, sophos, crm, quickbooks, pos, qb, sage, SQL, prc, w3wp, java, store, ax32, dbs, wordpad, VeeamAgent, Backup, Cloud, Mbae, MB3, WRSA, rsa, wrsa

2.ps1 удаляет все тома теневых копии системы, выполняя только одну команду vssadmin.exe delete shadows /all /quiet 

3.ps1 отключает автоматическое восстановление, которое Windows может попытаться запустить после перезагрузки; 

4.ps1 пытается удалить теневые копии другим способом: 
wmic shadowcopy delete /nointeractive
Get-WmiObject Win32_ShadowCopy | % { $_.Delete() }
Get-WmiObject Win32_ShadowCopy | Remove-WmiObject
Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }
Get-CimInstance Win32_ShadowCopy | Remove-CimInstance 

5.ps1 выполняет две команды, которые удаляют журналы событий Windows Windows Event Logs), что затрудняет расследование инцидентов; 

6.ps1 пытается завершить службы, на основе следующего списка строк, которые могут появиться в именах этих служб:  
sql, Sql, SQL, BASup, Titan, Cylance, cylance, Defend, NisSvc, Veeam, veeam, backup, Backup, rsa, wrsa, WRSA, RSA
Кроме того, он отключает Защитник Windows, изменив следующий ключ в реестре Windows:  
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender” /f /v DisableAntiSpyware /t REG_DWORD /d

7.ps1 отключает практически все открытые сеансы на компьютере; 

8.ps1 - дублирует сценарий для правил брандмауэра, включенного в red.ps1;

9.ps1 запускается первым и пытается вызвать деинсталлятор для защитного программного обеспечения от Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot и нескольких агентов облачного резервного копирования; 

10.ps1 повторно запускает удаленный исполняемый файл P.exe, который приостанавливает процессы, содержащие следующие строки, и очищает их журналы: 
MpCmd, MsMp, Senti, senti, sql, backup, veeam, outlook, word, excel, office, ocomm, dbsnmp, onenote, firefox, xfssvccon, infopath, wordpa, isqlplussvc, sql, dbeng50, mspub, mydesktopqos, ocautoupds, thunderbird, encsvc, oracle, mydesktopservice, thebat, agntsvc, steam, ocssd, tbirdconfig, synctime, visio, sqbcoreservice, winword, msaccess, powerpnt, mepocs, memtas, svc$, vss, sophos, crm, quickbooks, pos, qb, sage, SQL, prc, w3wp, java, store, ax32, dbs, wordpad, VeeamAgent, Backup, Cloud, Mbae, MB3

11.ps1 выполняет следующие команды для удаления теневых копий (в третий раз!), изменения параметров восстановления и очищения журналов:  
vssadmin.exe Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled no
wmic shadowcopy delete
wbadmin delete backup
wbadmin delete systemstatebackup -keepversions:0
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
wbadmin delete systemstatebackup
wbadmin delete catalog -quiet
bootstatuspolicy ignoreallfailures

12.ps1 предоставляет группе "Все" права доступа к каждой букве диска, которая может быть на компьютере, чтобы зашифровать наибольшее количество файлов. 

По результатам исследования Andrew Brandt (Sophos), вымогатели использовали возможности инструментов из свободного доступа: PowerShell,  Copy-VSS,  Remote Utilities, EventCleaner

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://epsilons.red
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
sha256 57EE78299598170C766FF73CEFCA9E78B9B81AC6999E8ADB61903BC89BE313BA - red.ps1
sha256 7259975D7E3B3D9D059A38F4393AB920764B46CA243E192E08F7699999382E07 - RED.7z archive (contains all subsequent files)
sha256 172BBF46E5F46DD7A9EA0C22054B644F60EFC3A9AD26A6F0E95CA57E38AF60A7 - 1.ps1 file
sha256 9845619CB9C3612055A934C4270568391832EAB40A66DBB22B1B37FA05559C92 - 2.ps1 file
sha256 5120998FA1482D4D0D0099D91AAB2AF647C0272819D7DCF792EEC01C77AB9391 - 3.ps1 file
sha256 4D6272AEADF7FC131AC126DC07D7BFD2E878D359E5E7BB5376A67295CE05FC15 - 4.ps1 file
sha256 0794C8630F40F04C0E7CEA40F11DC3F1A829A3BE69852FE9E184AA8B7ED20797 - 5.ps1 file
sha256 7A8128F8788524E54A69619B69870DFD4C50DB46E3EB786899F7275DAB73D2D9 - 6.ps1 file
sha256 4EAF5E93953756BC2196BFCFB030B6EAAD687FA1E8DB9F47B09819F3B4315230 - 7.ps1 file
sha256 8C294F1EF05DF823460BD11CE34EA7860178DE6BC3D9B0127A3B9C08CF62437F - 8.ps1 file
sha256 A9A6D35469E471666758ED5D1174EDC5B650C0ACB2C351213EADFB408F74BDCB - 9.ps1 file
sha256 039DA6B099303FDFD087BB7DF94012780DFE375C67234CE495C78CF2DCF7FD9D - 10.ps1 file
sha256 699FFB898864BF804CF726F39B5E8168D55E44FC1584B71BA25E31B43AE543E8 - 11.ps1 file
sha256 EE10F3A798AAA03F4CED2DDB28D2B36FE415EA2CBBD9C3B97B2A230A72D77F5C - 12.ps1 file
sha256 C1F963ABA616680E611601E446955E9552C69DB23DABAB8444718D82AD830029 - C.ps1 file
sha256 5AA7DE7EAB570522C93D337D395396057033AD6596DB4A0BDA15D77A6D4C6C3A - S.ps1 file
sha256 84755B2177B72364918F18C62A23854E7A8A66C4F5005CC040357850ADF9D811 - P.exe
sha256 ce5ba1e5d70d95d52b89a1b8278ff8dd4d1e25c38c90ca202b43bdc014795d78 - rutserv.exe (Remote Utilities installer)
sha256 35ffc1263005fd0a954deed20a7fb0cd53dbab6bb17ff8bd34559a5a124686c7 - rutserv.exe (Remote Utilities installer)


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as EpsilonRed)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Brandt (Sophos)
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DarkRadiation

DarkRadiation Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель нацелен на дистрибутивы Linux на базе Red Hat и Debian. Оригинальное название: в записке не указано. Представляет собой большой набор Bash-скриптов. 
---
Обнаружения:
DrWeb -> Linux.BackDoor.Shell.107
ALYac -> Trojan.Linux.Generic.200858
BitDefender -> Trojan.Linux.Generic.200858
ESET-NOD32 -> Linux/TelegramBot.B
Kaspersky -> Backdoor.Shell.Agent.h
Symantec -> Ransom.DarkRadiation
TrendMicro -> Trojan.SH.TEGBOT.A
---

© Генеалогия: DarkRadiation

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в конце мая - начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Вся цепочка атак DarkRadiation реализована в виде Bash-скрипта. Вероятно, пока в стадии разработки. Большинство компонентов этой атаки нацелено на дистрибутивы Red Hat и CentOS Linux, но в некоторые сценарии — на дистрибутивы Linux на основе Debian. 

Bash-сценарий, или сценарий командной строки (скрипт), написанный для оболочки Bash, представляет собой текстовый файл с набором команд, которые выполнятся в определенном порядке, с определенными условиями. Bash-скрипт нужен для решения частых задач, помогает облегчить пользователям Linux ввод множества различных команд. Существуют и другие оболочки, например: zsh, tcsh, ksh. Ссылка >> 

Сценарии DarkRadiation имеют ряд зависимостей , включая wget, curl, sshpass, pssh и openssl. Если какие-то из них недоступны на инфицированном устройстве, то вредоносная программа попытается загрузить нужные инструменты с помощью YUM (Yellowdog Updater, Modified), менеджера пакетов на основе Python, широко используемого в популярных дистрибутивах Linux, таких как RedHat и CentOS.

Артефакты кода в том же сценарии показывают, что программа-вымогатель пытается остановить, отключить и удалить каталог /var/lib/docker , используемый Docker для хранения образов, контейнеров и локальных именованных томов. Несмотря на название функции, docker_stop_and_encrypt в своей текущей форме она действует исключительно как стиратель образов Docker. В инфраструктуре злоумышленника обнаружено несколько версий этих скриптов, вероятно, они находятся в стадии разработки и еще не готовы к полному развертыванию.


Программа-вымогатель использует другой скрипт bt_install.sh для настройки и тестирования бота Telegram, вписанного в локальный путь к файлу по адресу 
"/usr/share/man/man8/mon.8.gz". Поклонники кинотрилогии "Матрица" узнают сообщение "Knock knock Neo", включенный в bt_install сценарий оболочки.

Тот же сценарий устанавливает и включает службу под названием "griphon" для устойчивости. Если вредоносная программа запущена с правами администратора, служба устанавливается как "griphon.service" по умолчанию в путь "/etc/systemd/system/" и обеспечивает запуск Telegram-бота при каждой перезагрузке устройства. 


Сообщение написано в motd (приветствие в консоли): 




Содержание сообщения:
YOU WERE HACKED
Contact us on mail: nationalsiense@protonmail.com
您己被黑客入侵 ! 您的發据己被下莪并加密。请咲系 Email: nationalsiense@protonmail.com. 扣不联系皤件, 锊会袪采取更严重的措旌。


Перевод записки на русский язык:
ВЫ ВЗЛОМАНЫ
Пишите нам на mail: nationalsiense@protonmail.com
Вас взломали ! Ваши данные загружены и зашифрованы. Напишите нам на Email: nationalsiense@protonmail.com. Если не напишите, мы примем более серьезные меры.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Список не предоставлен, вероятно, среди зашифрованных могут оказаться файлы, аналогичные тем, что являются наиболее ценными в ОС Windows. 
Это документы, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр. Возможно, что следующий скриншот и демонстрирует типы файлов, которые могут быть зашифрованы. 



Файлы, связанные с этим Ransomware:
motd - файл с сообщением; 
mon.8.gz - название вредоносного файла; 

скрипты в наборе. 

Расположения:
/bin/bash
/etc

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nationalsiense@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 9731cda791dae2d9443ce27547b0df7e


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as DarkRadiation)
 Research, Research, Topic of Support
 * 
 Thanks: 
 r3dbU7z, TrendMicro
 Andrew Ivanov (article author)
 Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WowSmithAgain

WowSmithAgain Ransomware

Petna Nextgen Ransomware

NotPetya Nextgen Ransomware

(шифровальщик-вымогатель, rar-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель (точнее, несколько разных вариантов) использует разные возможности для вымогательства: один вариант помещает файлы в rar-архив, защищенный паролем, а другой шифрует данные пользователей с помощью комбинации алгоритмов. Оба требуют выкуп в долларах и BTC, чтобы вернуть файлы. Оригинальное название: нигде не указано. Оба варианта объединены в одну статью на основе email-логина вымогателя и используемого им BTC-кошелька. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: NotPetya (Petna) >> WowSmithAgain


Сайт "ID Ransomware" в некоторых случаях идентифицирует это как Petna, а в других случаях не идентифицирует. 


Информация для идентификации

Активность этого варианта крипто-вымогателя была замечена в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К помещенным в архив файлам добавляется расширение: .ramsome.encrypt(rsw).nat

Записка с требованием выкупа называется: readme-instructions.txt


Содержание записки о выкупе:

Ooops, your important files are encrypted. If you see this text, 
then your files are no longer accessible, because they have been encrypted. 
files, but don't waste your tiMe. decrypt ion service. Perhaps you are busy 
looking for a way to recover your Nobody can recover your files without our 
All you We guarantee that you can recover all your files safely and easily. 
need to do is submit the payment and purchase the decrypt ion key. Please f
ollow the instructions: 1. Send  1 Bitcoin to following address: 
1Mz7153HMuxXTuR2R1t78MGSdzaftNbBWX 2. Send your Bitcoin wallet ID and personal 
installation key to e-mail WOWSMith123456@encripted.net. Your personal 
installation key: [redacted 10 groups of 5 alphanum separated by dashes] 
If you already purchased your key, please enter it below. Key: welivesecurity


Текст выглядит урезанным или умышленно искажённым. 

Перевод записки на русский язык:
Упс, ваши важные файлы зашифрованы. Если вы видите этот текст,
то ваши файлы больше не доступны, потому что они зашифрованы, но не тратьте ваше время ***
службы расшифровки. Возможно, вы заняты поиском способа восстановить свои ***
Никто не сможет восстановить ваши файлы без нашего ***
Все вы ***
Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы.
*** необходимо сделать оплату и купить ключ дешифрования.
Пожалуйста, следуйте инструкциям:
1. Отправьте 1 биткойн на следующий адрес:
1Mz7153HMuxXTuR2R1t78MGSdzaftNbBWX
2. Отправьте ID своего биткойн-кошелька и персональный установочный ключ на email адрес WOWSMith123456@encripted.net. Ваш личный установочный ключ: ***
Если вы уже приобрели ключ, введите его ниже. Ключ: welivesecurity




Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme-instructions.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: WOWSMith123456@encripted.net
Email-2: 
wowsmith123456@posteo.net
BTC: 1Mz7153HMuxXTuR2R1t78MGSdzaftNbBWX
Аккаунт вымогателей в Твиттере: hxxps://twitter.com/wowsmith12345
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 31 января - 12 февраля 2022: 
Аккаунт вымогателей в Твиттере: hxxps://twitter.com/wowsmith12345
Email (целиком как у NotPetya): wowsmith123456@posteo.net
Записка: README_5652206.txt



➤ Содержание записки: 
Ooops, your important files are encrypted.
Your personal Id:
d1Z86IIka***
If you see this text, then your files are no longer accessible, because they have been encrypted. 
Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service. 
We guarantee that you can recover all your files safely and easily. 
All you need to do is submit the payment and purchase the decryption key.
 Please follow the instructions: 
1. Send $300 worth of Bitcoin to following address: 33Ui4qyDn3UNJgjY8UJJLsC5xydbQTgQKP
2. Send your Bitcoin wallet ID and personal id to e-mail wowsmith123456@posteo.net.
---
Файл: xaqipaxowq.exe
Результаты анализов: IOC: VT + AR + IA + TG
MD5: 11fea5d1914bb2a69c21d33e4d57075e
SHA-1: 0805389d789d5d7cc1445c0b49563f8646975613
SHA-256: 9378b1a61cd599f6b2f21f7449d6cf35d260a7096aa1fdb9dfa2743457dfc9fc
Vhash: 254036651511e0ad2d253061
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744



➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34915
BitDefender -> Generic.Ransom.Blackout.23D5CA96
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Fantom.R
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.2960142392
Microsoft -> Ransom:MSIL/Kelnoc.A
Symantec -> Ransom.HiddenTear!g1
Tencent -> Win32.Trojan.Generic.Dzas
TrendMicro -> TROJ_FRS.0NA103BC22, Ransom.MSIL.PETYA.THBADBB




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 27 мая 2021 г.

Motocos

Motocos Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем, 
чтобы вернуть файлы, требует выкуп, который увеличивается через каждые 6 часов на в 0.025 BTC (0.1 в сутки).  Оригинальное название: Motocos, указано в записке. На файле написано: taskhos.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33982
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> DR/Delphi.Gen7
BitDefender -> Trojan.GenericKD.36977710
ESET-NOD32 ->  ***
Kaspersky -> HEUR:Trojan.Win32.Agentb.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Filecoder!ml
Rising -> Ransom.Destructor!1.B060 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> Trojan.Win32.MOTOCOS.A
---

© Генеалогия: ??? >> Motocos

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .mo2

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в конце мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: 
Readme.txt
Motocos_Readme.txt
Ransomware_Readme.txt 


Содержание записки о выкупе:
Not your language? Use https://translate.google.com
--------------------------------------------------------------
What happens to your files?
It's clear, your files encrypted with [RSA-2048] algorithm and the decryption key is safe with us.
Don't worry, you can get all your data back.
- To decrypt your files send this readme file to (@Motocos_bot) bot in Telegram messenger and follow the instructions, (https://telegram.org)
*** Don't waste your time and money on forensics or recovery techniques to restore files, it definitely makes your files unrecoverable :(
*** To ensure you'll get a working decrypter, you can decrypt 2 files for free using the bot.
*** Remember, the entire process from payment to decryption will be handle by a stupid automated bot, so don't beg on it!
*** From now [05-27-2021] you have exactly 5 days to contact our bot to pay the requested money.
There's a pressure about time on you! An extra 0.025 BTC will be add to
the price every 6 hours (0.1 a day), which calculated by the bot as well.
After 5 days, the bot stops responding to you, but you can still pay negotiation price to make a deal.
*** The bot needs below information to decrypt your files, so don't remove or modify any part of this file ***
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9wOBAQEFAAOCAQ8AMIIBCgKCAQEAnbsRBXMv7IHWJXdHv3F***
.....END PUBLIC KEY-----

Перевод записки на русский язык:
Не твой язык? Используй https://translate.google.com
-------------------------------------------------- ------------
Что случилось с вашими файлами?
Понятно, что ваши файлы зашифрованы с алгоритмом [RSA-2048] и ключ дешифрования находится у нас.
Не волнуйтесь, вы можете вернуть все свои данные.
- Чтобы расшифровать ваши файлы, отправьте этот файл readme боту (@Motocos_bot) в мессенджере Telegram и следуйте инструкциям (https://telegram.org)
*** Не тратьте свое время и деньги на форензику или способы восстановления файлов, это точно сделает ваши файлы невосстановимыми :(
*** Чтобы получить работающий дешифратор, вы можете бесплатно расшифровать 2 файла с помощью бота.
*** Помните, что весь процесс от оплаты до расшифровки будет обрабатываться тупым автоматическим ботом, так что не просите его!
*** С этого момента [05-27-2021] у вас есть ровно 5 дней, чтобы связаться с нашим ботом и выплатить запрошенные деньги.
Время давит на тебя! Дополнительные 0.025 BTC будут добавлены к
цена каждые 6 часов (0.1 в день), которая также рассчитывается ботом.
Через 5 дней бот перестанет вам отвечать, но вы все равно можете заплатить договорную цену, чтобы заключить сделку.
*** Боту требуется указанная ниже информация для расшифровки ваших файлов, поэтому не удаляйте и не изменяйте никакую часть этого файла ***
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9wOBAQEFAAOCAQ8AMIIBCgKCAQEAnbsRBXMv7IHWJXdHv3F***
.....END PUBLIC KEY-----




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, манипулирует параметрами, отключает функции восстановления и исправления Windows на этапе загрузки, дополнительно удаляет каталог общей командой:
vssadmin.exe delete shadows /all /quiet;wmic shadowcopy delete;bcdedit /set {default} bootstatuspolicy ignoreallfailures;bcdedit /set {default} recoveryenabled no;wbadmin delete catalog -quiet

➤ Очищает журналы системы с помощью команды
PowerShell.exe Clear-EventLog -LogName application, system, security 

➤ Блокирует доступ к следующим сайтам: 
google.com,youtube.com,baidu.com,facebook.com,amazon.com,360.cn,yahoo.com,wikipedia.org,zoom.us,live.com,reddit.com,netflix.com,microsoft.com,instagram.com,vk.com,alipay.com,myshopify.com,office.com,bing.com,ebay.com,microsoftonline.com,aliexpress.com,adobe.com,apple.com,twitter.com

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.



Файлы, связанные с этим Ransomware:
Readme.txt, Motocos_Readme.txt, Ransomware_Readme.txt - названия файлов с требованием выкупа;
0046562091.exe - название вредоносного файла; 
taskhos.exe - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Lucas\AppData\Local\Temp\0046562091.exe 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @Motocos_bot
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IATG, AR, VMR, JSB
MD5: 88af65ad6b23ee2f9745ddacff604748


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *