Если вы не видите здесь изображений, то используйте VPN.

среда, 9 июня 2021 г.

Ryuk.Net, Chaos

Ryuk.Net Ransomware

Ryuk .Net Ransomware Builder v1.0

Chaos Ransomware Builder v2.0 - 5.1

Different Chaos-based Ransomware

(шифровальщик-вымогатель, деструктор, крипто-строитель) (сборник разных вариантов) (первоисточник)

Translation into English



Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $1500 в BTC, чтобы вернуть файлы. На самом деле он повреждает файлы с помощью Base64, чтобы они казались зашифрованными. Оригинальное название: Ryuk .Net Ransomware Builder v1.0. На распространяемом файле 1-й версии написано: Ryuk .Net Ransomware Builder.exe. Разработчик знает русский язык, но некоторые данные указывают на Азербайджан. 
---
✋ Вредоносная программа по коду и платежной информация не соответствует никаким реальным операциям Ryuk Ransomwareизвестного с 2018 года. Это отдельный проект, который пока находится в разработке. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34010 / Trojan.ClipBankerNET.7 / VirusConstructor.Encoder.6
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 - A Variant Of MSIL/Riskware.Crypter.** / A Variant Of MSIL/Filecoder.AGP / A Variant Of MSIL/Filecoder.APU
Kaspersky -> HEUR:Constructor.MSIL.Agent.gen
Malwarebytes -> Ransom.Builder
Microsoft -> Trojan:Win32/Ymacco.AA0D
Symantec -> Trojan Horse
TrendMicro -> TROJ_FRS.VSNTF921
---

© Генеалогия: 
✂ HiddenTear, ✂ Ryuk (взято название) >> Ryuk.Net
© Генеалогия: Bagli > Ryuk.Net 


Сайт "ID Ransomware" это идентифицирует как Chaos


Информация для идентификации

Образец этого крипто-вымогателя был найден в начале июня 2021 г.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным (фактически: перезаписанным случайными данными) файлам добавляется расширение: .encrypted или .encrypt

Желающий создать свою программу-вымогатель может в настройках криптостроителя поменять расширение на любое другое. 

Записка с требованием выкупа написана на изображении, которое предлагается открыть по ссылке xxxxs://i.ibb.co/DDKCCQW/Screenshot-2.png: 

Ryuk .Net Ransomware Builder v1.0

Содержание информационной записки:
All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.
What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.
The price for the software is $1,500. Payment can be made in Bitcoin only.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Bitcoin.
Many of our customers have reported these sites to be fast and reliable:
Coinmama - hxxps://www. coinmama.com 
Bitpanda - hxxps://www.bitpanda.com
Payment information
Amount: 0.1473766 BTC
Bitcoin Address: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg

Перевод 
информационной записки на русский язык:
Все ваши файлы зашифрованы
Ваш компьютер заражен вирусом-вымогателем. Ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи.
Что я могу сделать, чтобы вернуть свои файлы?
Вы можете купить нашу специальную программу для дешифрования, эта программа позволит вам восстановить все ваши данные и удалить ransomware с вашего компьютера.
Стоимость программы - $1500. Оплатe можно делать только в биткойнах.
Как мне заплатить, где мне взять биткойн?
Покупка биткойнов варьируется от страны к стране, лучше всего выполнить быстрый поиск в Google, чтобы узнать, как купить биткойн.
Многие из наших клиентов отметили, что эти сайты работают быстро и надежно:
Coinmama - hxxps://www. coinmama.com
Битпанда - hxxps://www.bitpanda.com
Платежная информация
Сумма: 0.1473766 BTC
Биткойн-адрес: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg


Кроме того, есть также текстовая записка READ_ME_NOW.txt


Содержание записки о выкупе: 
Attention! All the files are encrypted!
To restore the files, write to the mail : bomboms123@mail.ru
If you do not receive a response from this mail within 24 hour
then write to the subsidiary:yourfood20@mail.ru
---
012CDC701509734485

Перевод записки:
Внимание! Все файлы зашифрованы!
Для возврата файлов пишите на почту: bomboms123@mail.ru
Если вы не получите ответ на это письмо в течение 24 часов
то пишите на дополнительную: yourfood20@mail.ru
---
012CDC701509734485



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Ryuk.Net вместо шифрования выполняет кодирование в Base64, имитируя "зашифрованную структуру" файла. Спасибо Marco Ramilli за сравнительное исследование


Список типов файлов, подвергающихся структурному повреждению:
.7z, .7-zip, .accdb, .ace, .apk, .arj, .asp, .aspx, .avi, .backup, .bak, .bay, .bmp, .bz2, .cab, .cer, .contact, .core, .cpp, .crt, .cs, .css, .csv, .dat, .db, .dll, .doc, .docx, .dwg, .exif, .flv, .gzip, .htm, .html, .ibank, .ico, .ini, .iso, .jar, .java, .jpe, .jpeg, .jpg, .js, .lnk, .lzh, .m4a, .mdb, .mkv, .mov, .mp3, .mp3, .mp3, .mp4, .mpeg, .mpg, .odt, .p7c, .pas, .pdb, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .rb, .rtf, .settings, .sie, .sql, .sum, .tar, .txt, .wallet, .wma, .wmv, .xls, .xlsb, .xlsm, .xlsx, .xml, .xz, .zip (86 типов файлов). В другом варианте 102 расширения. 

Может перезаписать все файлы на компьютере. Об этом предупреждается в файле README.md на сайте проекта. 


Содержание текста: 
# ryuk-ransomware 
TRY ON VM ONLY. Ryuk .Net Ransomware overwrites all files on the computer (It means nobody can ever return files back) and makes it at least 2
times faster than other ransomwares. It drops read_it.txt for startup folder and all folders which files has been encrypted. 
This project depends on your donation. Please donete if you want to see next releases in the future
(https://i.ibb.co/DDKCCQW/Screenshot-2.png
Donation
Bitcoin: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
Monero: 44wJKzwrzWY7dxLov4EjVia3wmwaj6ige6a8C6eHKXKtVy8PTU3SnCG6A6do3vL4Cu3kLUedKwjomDKe754QhshVJw52xFV

Возможно, функция шифрования будет реализована в более новой версии Ryuk .Net Ransomware. В любом случае среди перезаписанных или зашифрованных скорее всего будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., которые являются наиболее ценными для пользователей ПК. 

Файлы, связанные с этим Ransomware:
READ_ME_NOW.txt - текстовый файл записки; 
read_it.txt - другой текстовый файл записки; 
README.md - название файла с предупреждением об использовании только на вируальных машинах; 
svchost.exe - выходной исполняемый файл; 
Ryuk .Net Ransomware Builder.pdb - название файла проекта; 
Ryuk .Net Ransomware Builder.exe - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
c:\Users\User\Desktop\builder\CustomWindowsForm\obj\Debug\Ryuk .Net Ransomware Builder.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Ссылка на картинку: xxxxs://i.ibb.co/DDKCCQW/Screenshot-2.png
Email: bomboms123@mail.ru, yourfood20@mail.ru
BTC: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg
BTC: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
XMR: 44wJKzwrzWY7dxLov4EjVia3wmwaj6ige6a8C6eHKXKtVy8PTU3SnCG6A6do3vL4Cu3kLUedKwjomDKe754QhshVJw52xFV
GitHub: xxxxs://github.com/Hetropo/ryuk-ransomware
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: b20d5ada2e81683bda32aa80cd71c025
SHA-1: 1ab3daa872761d887ef0be9ace528ee323201211
SHA-256: 0d8b4a07e91e02335f600332644e8f0e504f75ab19899a58b2c85ecb0887c738
Vhash: 22503615151600b144e489030
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая в начале.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Ryuk .Net Ransomware Builder v1.0 - начало июня 2021
Chaos Ransomware Builder v2.0 - середина июня 2021



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 15 июня 2021: 
Самоназвание: Chaos Ransomware Builder v2.0
Сообщение >>
Записка: read_it.txt
BTC: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
IOC: VT, AR, IA: 1aeaf7271545bdd30f1bc1e07a01771e
➤ Обнаружения: 
DrWeb -> Trojan.ClipBankerNET.7
BitDefender -> Generic.Ransom.HydraCrypt.F940D4B4
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Kaspersky -> HEUR:Trojan.MSIL.Fsysna.gen
Microsoft -> Ransom:Win32/Filecoder!ml
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_RAMSIL.SM




Вариант 4 июля 2021: 
Самоназвание: Chaos Ransomware Builder V3
Шифрование файлов должно выполняться с использованием AES-256 (режим CBC) с секретным ключом и солью. Шифрует только файлы с размером до 200Мб, файлы с большим размером перезаписываются случайным данными. 


Файл: Chaos Ransomware Builder v3.exe
Результаты анализов: VT + IA
Обнаружения: 
DrWeb -> VirusConstructor.Encoder.6
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Malware.AI.1605093323
TrendMicro -> Ransom_RyukCrypt.R002C0DG421


Вариант 14 июля 2021: 
Расширение:  .teddy
Записка: read_it.txt


Файл: Chaos Ransomware Builder v3.exe
Результаты анализов: VT + HA
➤ Обнаружения: 
DrWeb -> Trojan.ClipBankerNET.7
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Malware.AI.2630437986


Вариант 18 июля 2021: 
Записка: read_it.txt
Ransom: 0.1473766 BTC
BTC:  bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
Файлы: shell.exe, ransom.exe
Результаты анализов: VT + AR




Вариант от 3 августа: 
Записка: README
BTC: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0


Файл: afs.exe
Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.ClipBankerNET.7
BitDefender -> Generic.Ransom.HydraCrypt.681B38A7
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Ransom.Chaos
Microsoft -> Ransom:MSIL/ApisCryptor.PAA!MTB
TrendMicro -> Ransom_ApisCryptor.R002C0DH321


Вариант от 20 августа 2021: 
Самоназвание: AstraLocker Ransomware
Расширение: .AstraLocker
Записка: read_it.txt


Вариант от 22 августа 2021: 
Расширение: .mihq
Записка: READ TO UN-HACK.txt
Подпись в записке: Razor Squad



Email: CCSMEDIA.COMPLIANCE@protonmail.com
BTC: bc1q8f3a4s546jm7dnw7gmv72k39wjs36cj0gfsf6f
Файл: Privacy By Design - Training Module.exe
Результаты анализов: VT + IA + TG


Публикация от 25 августа 2021: 



Вариант от 2 сентября 2021: 
Расширение: .GoldenWolf42
Записка: read_it.txt


Файл: Ransomware.exe, svchost.exe, Twitch Follow Bot.exe
Результаты анализов: VT + AR + IA
➤ Обнаружения: 
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1138919
BitDefender -> Generic.Ransom.HydraCrypt.ED1818FC
DrWeb -> Trojan.ClipBankerNET.7
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Ransom.Chaos
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> Ransom.HiddenTear!g1
Tencent -> Win32.Trojan.Raas.Auto


Вариант от 10 сентября 2021:
Расширение: .CRYPTEDPAY
Самоназвание: "PSN Gift Card Generator.exe"
Результаты анализов: VT




Вариант от 10 сентября 2021: 
Самоназвание: JamesBond Ransomware
Расширение: .jamesbond2021@tutanotacom_jamesbond
Записка: desktop wallpaper and read_it.txt
Email: jamesbond2021@tutanota.com
Результаты анализов: VT


Вариант от 13 сентября 2021:  
Расширение: .covid-19
Записка: read_it.txt 
Файл: covid-19.exe
Результаты анализов: VT


Вариант от 14 сентября 2021: 
Расширение: .retrievedata300@gmailcom
Записка: help_data.txt
Email: retrievedata300@gmail.com
BTC: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg


➤ Содержание записки: 
All of your files have been encrypted!
The harddisks of your computer have been encrypted with an military grade
encryption algorithm. There is no way to restore your data without a special
key Delta Plus.
Contact: retrievedata300@gmail.com
To purchase your key and restore your data, please follow these three easy
steps:
1. The price for the software is $300 USD.
     Payment can be made in Bitcoin only.
2. Bitcoin Address: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg
3. You receive your key within 20 minutes:
  Once paid, send payment photo:
  Email: retrievedata300@gmail.com


Вариант от 12 октября 2021: 
Самоназвание: GABUTS PROJECT Ransomware
Расширение: .im back
Записка: gabuts project is back.txt



Изображение заменяет обои Рабочего стола. 
Файл: gabuts_project.exe
Результаты анализов: VT
➤ Обнаружения: 
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
DrWeb -> Trojan.ClipBankerNET.7
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Microsoft -> Ransom:MSIL/GabutCrypt.PB!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> CallRansom_Filecoder.R002C0DJC21

Вариант от 15 октября 2021: 
Расширение: .j3ster
Записка: J3ster ReadMe.txt
Email: j3stertools@gmail.com
BTC: bc1qa6hdec8jh6dw6k58ua7rypcgjjrrfn84v7qcm6




Файл: Free Minecraft Hacks (Ransomware).exe
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34437
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Malware.AI.3384415825
Microsoft -> Ransom:MSIL/Filecoder.PK!MSR
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Agent.Llgx
TrendMicro -> Ransom_Filecoder.R002C0CJF21

Вариант от 30 ноября 2021:
Расширение: .wnbe
Записка: read_it.txt
BTC:  bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
Файлы: client.exe, svchost.exe
Использует Cobalt Strike, Quasar RAT, PowerShell и др. 
Результаты анализов: VT + ARIA / VT + ARIA




➤ Содержание записки: 
All of your files have been encrypted
Your computer was infected with wannabe. Your files have been encrypted and you won't 
be able to decrypt them without our help.What can I do to get my files back?You can buy our special 
decryption software, this software will allow you to recover all of your data and remove the
ransomware from your computer.The price for the software is $1,500. Payment can be made in Bitcoin only.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search
yourself  to find out how to buy Bitcoin. 
Many of our customers have reported these sites to be fast and reliable:
Coinmama - https://www.coinmama.com Bitpanda - https://www.bitpanda.com
Payment informationAmount: 0.1473766 BTC
Bitcoin Address:  bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0


Вариант от 18 декабря 2021:
Расширение разное для каждого файла: .<random{4}> 
Записка: read_it.txt




Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.5554
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
TrendMicro -> Ransom_FileCoder.R002C0CLI21


=== 2022 ===

Вариант от 15 января 2022:
Расширение: .polizia
Записка: POLIZIA_DI_STATO.txt
Email: bambolina2021@virgilio.it
BTC: 1EoyuvcXdAQQvStkoJZ38vdGm84StD7wjm 
Текст записки на итальянском языке. Преподносится от имени итальянской полиции. Изменяет обои Рабочего стола на следующее изображение. 


Результаты анализов: VT + IA
MD5: e82fcd653029059ccfb7cbb23fbb041e
SHA-1: c84f4947f17e6dc46d420307feb920cd500fb1bb
SHA-256: 543e39242762d61e740f9c22c173f914cf01dd88c22ad61e65d2c18d9f5162ca
Vhash: 21603615651b00714f0034
Imphash f34d5f2d4577ed6d9ceec516c1f5a744
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.5554
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Malware.AI.3384415825
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Ajbr
TrendMicro -> Ransom_FileCoder.R002C0DAF22


Вариант от 17 января 2022:
Самоназвание: The Arizona Ransomware
Расширение: .AZ
Записка: README.txt



Это изображение заменяет обои Рабочего стола. На фото гигантские кактусы сагуаро в Национальном парке Сагуаро в округе Пима, около города Тусон, на юге штата Аризона (США). Сам парк создан для защиты ландшафта пустыни Сонора. 
Email: WhoIsJoeMamma1234@protonmail.com
Файл: AZ(DANGEROUS).exe
Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.5554
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14


Вариант от 24 января 2022: 
Расширение: .shq
Записка: read_me.txt
Файл изображения, заменяющего обои: yb0r0i9lt.jpg или 0apsk7nhn.jpg



Результаты анализов: VT + AR + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34437
BitDefender -> Trojan.GenericKD.48127942
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Ransom.Chaos
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Agent.Hxql
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14


Вариант от 31 января 2022: 
Файл: BLACK EYE RANSOMWARE.exe
Результаты анализв: VT + IA



=== 2022 ===

Вариант от 13 января 2022: 
Название: AMC Ransomware
Расширение для каждого файла разное: .<random{4}> 
Записка: ransom_read_it.txt
Результаты анализов: VT + IA


Сообщения от 24 марта 2022: 
Chaos Ransomware Builder v4
Результаты анализов: AR + VT



Chaos Ransomware Builder v5
Результаты анализов: AR + VT
➤ Обнаружения: 
DrWeb -> Trojan.Builder.6
ESET-NOD32 -> A Variant Of MSIL/Riskware.Crypter.VH
Microsoft -> Ransom:MSIL/RyukCrypt.PD!MTB
Tencent -> Win32.Trojan.Ransom.Ecaz
TrendMicro -> Ransom.MSIL.CHAOSBUILDER.SMYPBHET

 


Chaos Ransomware Builder v5.1
Результаты анализов: AR + VT
➤ Обнаружения: 
DrWeb -> Trojan.Builder.6
ESET-NOD32 -> A Variant Of MSIL/Riskware.Crypter.VH
Microsoft -> Ransom:MSIL/RyukCrypt.PD!MTB
Tencent -> Win32.Trojan.Ransom.Jmj
TrendMicro -> Ransom.MSIL.CHAOSBUILDER.SMYPBHET

 

 


Вариант от 10 апреля 2022: 
Дополнительное название: SHIELD Ransomware
Расширение: .<random{4}>
Записка: README.txt 
Файл: Shield.exe
Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.5554
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Malware.AI.3384415825
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> Ransom.Sorry
Tencent -> Msil.Trojan.Agent.Hwcz
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14


Вариант от 12 апреля 2022: 
Дополнительное название: BlackGT5327 Ransomware
Расширение: .<random{4}>
Записка: read_it.txt
Файл: Sims4.exe
Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.5554
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Malware.AI.3384415825
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> Ransom.Sorry
Tencent -> Msil.Trojan.Agent.Chg
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14


Вариант от 22 апреля 2022: 
Дополнительное название: Yashma Ransomware
Расширение: .<random{4}>
Записка: read_it.txt
Файл: yashma-encrypt.exe
Результаты анализов: VT 


Вариант от 25 апреля 2022: 
Дополнительное название: LokiLok Ransomware 
Расширение: .LokiLok 
Записка: read_me.txt 
Результаты анализов: VT


Вариант от 1 мая 2022 или раньше: 
Расширение: .<random{4}>
Расширения (примеры): .oha7, .appd, .jlat
Записка: readme.txt
Email: bangthlu2@gmail.com
Discord: Danet#7950
Результаты анализов: VT + AR + TG


Содержание записки: 
All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't 
be able to decrypt them without our help.
What can I do to get my files back? 
You can buy our special 
decryption software, this software will allow you to recover all of your data and remove the
ransomware from your computer.The price for the software is depend. Payment can be made by buying hack and send to me only.
How do I pay, where i can buy hack?
This one only need the hack from any game (personal fav: Geometry Dash, Minecraft, Roblox, Cookie Run)
For Minecraft, there're many hack include: Vape V4, Astolfo
+ Astolfo: hxxxs://www.astolfo.lgbt/
+ Vape V4: vape.gg
For Geometry Dash, only Mega Hack V7 (Mega Hack Pro): hxxxs://absolllute.com/store/view_mega_hack_pro
For Roblox, there're many like: Synapse X, Script-Ware,...
+ Synapse X: hxxxs://x.synapse.to/
+ Script-Ware: hxxxs://script-ware.com/ (Windows or iOS)
+ Protosmasher: hxxxs://protosmasher.net/ (dead)
For Cookie Run, please no, i don't need right now. (its not worth it, and not avilable, easy to get banned)
Note: JUST ONE HACK, NOT MORE.
After you bought one of them, send it via:
Discord: Danet#7950
Email: bangthlu2@gmail.com
I AM THE LAWYER, MY FILE IS ENCRYPTED, NOW GIVE ME BACK-
Woah woah woah slow down, i'm sorry lawyer... but you have to proof us you're lawyer and we'll give you an decrypter, good luck.
Your public key: uDfsiP4lI2xvhOW/dgdxwv***


Вариант от 5 мая 2022: 
Дополнительное название: Odaku Ransomware
Расширение: .<random{4}> 
Записка: read_it.txt
Результаты анализов: VT

Вариант от 6 мая 2022: 
Доп. название: Japan Ransomware
Расширение: .japan
Записка: how to decrypt.txt (на вьетнамском языке)
Файл: svchost.exe (Japan.exe)
Результаты анализов: VT + IA + TG 





Вариант от 13 мая 2022: 
Yashma Ransomware Builder 1.2


 


Вариант от 14 мая 2022:
Доп. название: WORLD GRASS/EARTH GRASS Ransomware
Расширение: .34r7hGr455
Записка: Read ME (Decryptor).txt
Файл: Don't Open Me.exe
Результаты анализов: VT

Вариант от 14 мая 2022:
Доп. название: Matamoe Ransomware
Расширение: .matamoe
Записка: read_THIS.txt; 
Email: basg@ik.me
Файл: word.exe, matamoe.docx.exe, matamoe-ransom.exe
Результаты анализов: VT



Вариант от 15 мая 2022:
Доп. название: LockData Ransomware
Расширение: .<random{4}> 
Записка: read_it
Файл: projet.Tunisie.exe
Результаты анализов: VT 

Вариант от 15 мая 2022:
Доп. название: FIXED Ransomware
Расширение: .FIXED
Записка: Info.hta
Файл: 1.exe
Результаты анализов: VT

Вариант от 17 мая 2022: 
Расширение: .cryptbit
Записка: CryptBIT-restore-files.txt
Результаты анализов: VT 
Обнаружения: 
DrWeb -> Trojan.Encoder.34437
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes ->Malware.AI.3384415825
Rising ->Ransom.Destructor!1.B060 (CLASSIC)
Symantec ->Ransom.Sorry
TrendMicro ->Ransom.MSIL.CHAOS.SMRA14


Вариант от 22 мая 2022: 
Доп. название: BlackToxic Ransomware
Расширение: .KsiRu0w2 
Записка: read_it.txt
Файл: AmonGusHackMenu.exe
Результаты анализа: VT + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.34437
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP


Вариант от 24 мая 2022: 
Доп. название: RedEngine Ransomware 
Расширение: .<random{4}>
Записка: read_it.txt
Файл: anarchyrat_andro.exe
Результаты анализа: VT 
Обнаружения: 
DrWeb -> Trojan.ClipBankerNET.7
ESET-NOD32 -> A Variant Of MSIL/Filecoder.APU


Вариант от 25 мая 2022: 
Доп. название: Miami44 Ransomware 
Расширение: .<random{4}> 
Записка: README.txt
Файл: CalciumDegenerate.exe
Результаты анализа: VT 
Обнаружения: 
DrWeb -> Trojan.InjectNET.14
ESET-NOD32 -> A Variant Of MSIL/Injector.FCD


Вариант от 25 мая 2022:
Доп. название: Craze Ransomware
Расширение: .<random{4}>
Записка: RESTORE-MY-FILES.TXT
Файл: craze.exe
Результаты анализа: VT + IA


Вариант от 25 мая 2022 или раньше: 
Версия: Chaos-Yashma
Самоназвание: Cronos-Crypter
Расширение: .<random{4}> 
Записка: README.txt
Email: miami44@gmailvn.net
Файл: CalciumDegenerate.exe
Результаты анализов: VT + AR + IA + TG / VT 




Вариант от 6 июня 2022:
Расширение: .ryuk
Записка: read_it.txt
Файл: WannaFriendMe.exe
Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.34437
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Malwarebytes -> Malware.AI.3384415825
---
Содержание записки:
----- YOUR FILES HAVE BEEN ENCRYPTED! -----
Don't panic, your files are decryptable, But your files can only be decrypted with our own decrypter tool! To get this decrypter, you must buy this gamepass: hxxxs://www.roblox.com/game-pass/49955147/Ryuk-Decrypter
YOU MUST HAVE A ROBLOX ACCOUNT TO BUY THE GAMEPASS, BUY 1700 ROBUX AND THEN BUY THE GAMEPASS ABOVE.
AFTER BUYING THE GAMEPASS, CONTACT xxx@icloud.com WITH YOUR USERNAME AND SCREENSHOT OF YOU OWNING THE GAMEPASS. DO NOT DELETE THE GAMEPASS OTHERWISE YOU WILL DISOWN THE GAMEPASS.


Вариант от 6 июня 2022: 
Расширение: .warlocks
Записка: read_it.txt
BTC: bc1qw0H8p9m8uGzhqhyd7z459ajrk722yn8c5j4fg
Telegram: WARLOCK_MAK, CattyLola
Файл: svchost.exe (warlocks new.exe, TauntKaskarGame.exe)
Результаты анализов: VT + IA

 



Вариант от 11 июня 2022: 
Доп. название: Dark Web Hacker Ransomware
Расширение: .<random{4}> 
Записка: read_it.txt
Файл: Secret 7.exe
Результаты анализа: VT
Обнаружения: 
DrWeb -> Trojan.ClipBankerNET.7
ESET-NOD32 -> A Variant Of MSIL/ClipBanker.MZ


Вариант от 11 июня 2022: 
Расширение: .ritzer
Записка: read_it.txt
Файл: 123123.exe
Результаты анализа: VT 
Обнаружения: 
DrWeb -> Trojan.Encoder.35449
ESET-NOD32 -> A Variant Of MSIL/ClipBanker.MU


Вариант от 15 июня 2022: 
Доп. название: Magnus Ransomware
Расширение: .<random{4}> 
Записка: READMEEEEEE!!!!.txt
Файл: SQL Injector Cracked By @mustleak.exe
Результаты анализа: VT
Обнаружения: 
DrWeb -> Trojan.ClipBankerNET.7
ESET-NOD32 -> A Variant Of MSIL/Filecoder.APU


Вариант от 17 июня 2022:
Доп. название: Code Core Ransomware
Расширение: .<random{4}>
Записка: code core.txt
Результаты анализа: VT

--- пропущенные варианты ---

Вариант от 24 сентября 2022: 
Доп. название: Spartan Hack Ransomware
Сообщение: twitter.com/pcrisk/status/1574293660765757440
Расширение: .<random{4}> 
DrWeb -> Trojan.Encoder.35905
ESET-NOD32 -> A Variant Of MSIL/Filecoder.APU

Вариант от 27 сентября 2022: 
Доп. название: OkHacked Ransomware
Сообщение: twitter.com/pcrisk/status/1574645377432707079
Сообщение: twitter.com/petikvx/status/1574691935176257536
Расширение: .okhacked
DrWeb -> Trojan.Encoder.35905
ESET-NOD32 -> A Variant Of MSIL/Filecoder.APU


***** Пропущенные варианты *****

!!! Отслеживание новых вариантов Chaos с их новыми расширениями и другими элементами прекращена.
Если вам интересны новые варианты, то следите за обновлениями в Twitter/X , которые публикует PCrisk по ссылке >>

Ниже я буду добавлять лишь некоторые обновления. 


=== 2023 ===

Вариант от 6 февраля 2023: 
Сообщение: twitter.com/pcrisk/status/1622866100252774401
Доп. название: Adrianov Ransomware
Расширение: .1iyT6bav7VyWM5 
Записка: adrianov.txt
IOC:VT:MD5: 9b02b542834573f9502ca83719a73a01

Вариант от 14 февраля 2023: 
Записка: How to Recovery.bat
ID: 17 знаков
BTC Address: 33j4JbAEzZwWGgA2MxBARD7zprJuNDP2hP
Email: sirattacker@mailfence.com
Результаты анализа: VT



Вариант от 30 мая 2023: 
Сообщение: twitter.com/pcrisk/status/1668520332162990083
Доп. название: LMAO Ransomware
Основа: HiddenTear + Chaos
Расширение: .LMAO
Записка: read_it.txt
IOC:VT:MD5: 083589c41c2304bbf4c40e6b6a5612c9

Вариант от 31 мая 2023: 
Сообщение: twitter.com/pcrisk/status/1668529294123974656
Доп. название: Eren Yeager Ransomware
Расширение: .<random{4}>
Записка: read_it.txt
IOC:VT:MD5: ef4ec2e14b72f57c074d4faa814fb0d4

Вариант от 25 июня 2023: 
Доп. название: WAGNER Ransomware
Расширение: .WAGNER
Записка: WAGNER.txt
Сообщение: twitter.com/pcrisk/status/1673222941566173184
IOC:VT:MD5: d26b2c8fc07cb5c72bfc40779f09d491

Вариант от 11 июля 2023: 
Сообщение: twitter.com/pcrisk/status/1678994091097374720
Доп. название: Snea575 Ransomware
Расширение: .hackedbySnea575
Записка: README_txt.txt
IOC:VT:MD5: b13250c7f88464e94d7174b43ef966cf

Вариант от 14 августа 2023:
Доп. название: Allahu Akbar Ransomware
Расширение: .allahuakbar
Записка: how_to_decrypt.txt
Результаты анализа: VT + TG




=== 2024 ===

Вариант от 17 июня 2024: 
Расширение: .rapax
Сумма выкупа: $5000
Записка: instruction.txt
Email: rapax123@protonmail.com
BTC: bc1qdvk0zgyswnwcck55kleepjr8qcr7yhw52sf4y4


IOC: VT, IA, TG
➤ Обнаружения: 
DrWeb -> Trojan.ClipBankerNET.7
ESET-NOD32 -> A Variant Of MSIL/ClipBanker.MZ
TrendMicro -> Ransom_Encoder.R002C0XFL24




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage + Message + Message
 Write-up, Topic of Support
 Added later: Write-up (Comparison and analysis of Ryuk and Ryuk.Net) 
Write-up by TrendMicro (обзор версий от 1 до 4)
 Thanks: 
 Security Joes, Vitali Kremez, Marco Ramilli
 Andrew Ivanov (article author)
 GrujaRS, 3xp0rt, PCrisk
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 8 июня 2021 г.

HimalayA

HimalayA Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

---
Обнаружения:
DrWeb -> 
ALYac -> 
Avira (no cloud) -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 

---

© Генеалогия: предыдущие разработки >> HimalayA


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя не наблюдалась. Сообщение появилось на форуме Даркнета в начале июня 2021 г. Предоставляется как RaaS с запретом проведения атак на компьютерные системы в области здравоохранение и некоммерческие организации. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: *нет данных*.




Содержание сообщения:
Ransomware as a Service - HimalayA
We offer ransomware for free!
We take a commission of 30% of all ransoms paid
We send the part of your ransom maximum 24 hours after confirmation of the transaction
We manage communication with victims
VERY IMPORTANT WARNING :
PROHIBITION OF ATTACKING HEALTH FACILITIES
PROHIBITION OF ATTACKING ANY PUBLIC ORGANIZATION OR NON-PROFIT ASSOCIATION
ONLY ATTACK PRIVATE COMPANIES OR INDIVIDUALS
Already configured and compiled FUD Ransomware.
AES 256 Encryption
x86 / x64 for Windows
Files types HimalayA encrypt :( by default )
'.txt', '.ppt', '.pptx', '.doc', '.docx', '.gif', '.jpg', '.png', '.ico', '.mp3', '.ogg', '.csv', '.xls', '.exe', '.pdf', '.ods', '.odt', '.kdbx', '.kdb', '.mp4', '.flv', '.jpeg', '.zip', '.tar', '.tar.gz', '.rar',
You can change by specifying your request when ordering
Directory HimalayA encrypt : ( by default )
'Downloads', 'Documents', 'Pictures', 'Music', 'Desktop', 'Onedrive',
You can change by specifying your request when ordering
ORDER
Send us an email specifying :
- The amount in btc/xmr of the ransom requested
- A btc/xmr address for the payment of your share of the ransoms
- Options files types encrypt
- Option directorys encrypt
himalayaraas@dnmx.org

Перевод сообщения на русский язык:
Программа-вымогатель как услуга - HimalayA
Мы предлагаем программы-вымогатели бесплатно!
Мы берем комиссию в размере 30% от всех уплаченных выкупов.
Мы отправляем часть вашего выкупа максимум через 24 часа после подтверждения транзакции.
Управляем общением с жертвами
ОЧЕНЬ ВАЖНОЕ ПРЕДУПРЕЖДЕНИЕ:
ЗАПРЕТ НА АТАКУ МЕДИЦИНСКИХ УЧРЕЖДЕНИЙ
ЗАПРЕТ НА АТАКУ ОБЩЕСТВЕННЫХ ОРГАНИАЗАЦИЙ ИЛИ НЕКОММЕРЧЕСКИХ АССОЦИАЦИЙ
РАЗРЕШЕНЫ АТАКИ ТОЛЬКО НА ЧАСТНЫЕ КОМПАНИИ ИЛИ ЛИЦА
Уже настроено и скомпилировано FUD Ransomware.
Шифрование AES 256
x86 / x64 для Windows
Типы шифруемых HimalayA файлов : (по умолчанию)
'.txt', '.ppt', '.pptx', '.doc', '.docx', '.gif', '.jpg', '.png', '.ico', '.mp3', '.ogg', '.csv', '.xls', '.exe', '.pdf', '.ods', '.odt', '.kdbx', '.kdb', '.mp4', '.flv', '.jpeg', '.zip', '.tar', '.tar.gz', '.rar',
Вы можете изменить, указав свой запрос при заказе
Шифруемые HimalayA каталоги: (по умолчанию)
"Загрузки", "Документы", "Изображения", "Музыка", "Рабочий стол", "Onedrive",
Вы можете изменить, указав свой запрос при заказе
ЗАКАЗ
Отправьте нам email с уточнением:
- Суммы запрошенного выкупа в btc/xmr 
- Адреса btc/xmr для выплаты вашей доли выкупа 
- Параметров шифруемых типов файлов 
- Возможности шифрования каталогов 
himalayaraas@dnmx.org



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию по умолчанию:
.csv, .doc, .docx, .exe, .flv, .gif, .ico, .jpeg, .jpg, .kdb, .kdbx, .mp3, .mp4, .ods, .odt, .ogg, .pdf, .png, .ppt, .pptx, .rar, .tar, .tar.gz, .txt, .xls, .zip (26 типов файлов). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Директории, в которых файлы шифруются по умолчанию:
Downloads, Documents, Pictures, Music, Desktop, Onedrive. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: ohu6eschnuhxfg46wvco7j3e76oqymo4cowfepbi7h6z3vf6if6lj5yd.onion
Email: himalayaraas@dnmx.org
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 RAKESH KRISHNAN
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 4 июня 2021 г.

ChupaCabra

ChupaCabra Ransomware

Aliases: Anubis-2021, IndustriaHost

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.003 - 0.02 BTC, чтобы вернуть файлы. Оригинальное название: ChupaCabra. На файле написано: svhost.exe.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.22
Avira (no cloud) -> TR/CrypMod.udrkf
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Generik.GUBXNDS
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmod.gen
Malwarebytes -> Trojan.MalPack.Generic
Microsoft -> Trojan:Win32/Ymacco.AB21, Ransom:MSIL/ChupaCabra.MK!MTB
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Crypmod.Hufk
TrendMicro -> Ransom_Crypmod.R002C0OFB21, Ransom_ChupaCabra.R002C0DFD21
---

© Генеалогия: ✂ HiddenTear + 
Anubis (2016)? >> ChupaCabra, Anubis-2021


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале - серединеиюня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .ChupaCabra

Записка с требованием выкупа называется: HowToDecrypt.txt
Она дублируется всплывающим сообщением. 


Содержание записки о выкупе:
IMPORTANT INFORMATION!!!!
All your files are encrypted with ChupaCabra: v.2.0 Reload
To Decrypt:
 - Send 0.00364383 BTC to: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q
 - Contact me Telegram: @C_h_u_p_a_K_a_b_r_a

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!!!!
Все ваши файлы зашифрованы с помощью ChupaCabra: v.2.0 Reload
Чтобы расшифровать:
  - Отправить 0.00364383 BTC на адрес: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q
  - Свяжитесь со мной в Telegram: @C_h_u_p_a_K_a_b_r_a



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Содержит майнер XMRig для майнинга криптовалюты Monero.

Файлы, связанные с этим Ransomware:
HowToDecrypt.txt - название файла с требованием выкупа;
svhost.exe - название вредоносного файла.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Administrator\Videos\AnubisNew(1)\obj\Debug\svhost.pdb
C:\Users\Administrator\Videos\AnubisNew(1)\obj\Debug\svhost.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: - 
Telegram: @C_h_u_p_a_K_a_b_r_a
BTC: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IATG
MD5: 07f482fdc70a699d02495c8b4dc1ee63
SHA-1: 8c536b4c8a9a810635daa506c67f70180b048c83
SHA-256: 213d6a4c5a5c0045550fa2b822434c51dfd1b6f573c1d1bf22d9eda4f7ab2259
Vhash: 22503655151b004750030
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 июня 2021:
Самоназвание: industria.host: v.2.0 Reload
Расширение: .industria_host
Записка: HowToDecrypt.txt
Telegram: @industria_host
BTC: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q


Файл проекта: C:\Users\Administrator\Desktop\AnubisNew\obj\Debug\Anubis.pdb
Файл: Anubis.exe
IOC: VT, IA
MD5: 94b498bc7a96b425d4887a849fe56bc8
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.22
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Generik.GUBXNDS
Microsoft -> Ransom:MSIL/ChupaCabra.MK!MTB
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Crypmod.Hufk
TrendMicro -> Ransom_ChupaCabra.R002C0DFD21


Вариант 24 июня 2021: 
Расширение: .ChupaCabra
Файл проекта: 
C:\Users\Administrator\Desktop\AnubisNew\obj\Debug\Anubis.pdb
IOC: VT, IA
MD5: ebe90fe011e6ad938541f047e2adfe03
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.22
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> MSIL/Filecoder.AJN
Malwarebytes -> Ransom.Anubis
Rising -> Ransom.ChupaCabra!1.D798 (CLASSIC)
TrendMicro -> TROJ_GEN.R002C0OFO21





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao, GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Bam-2021

Bam-2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Mau bao cao 2.docx.exe. 
Фактически Bam-2021 повторяет собой Bam! Ransomware из 2017 года, но файл был изменен несколько раз. Более того, нет никаких данных о том, что за ним стоят те же разработчики, в новой версии нет email-контакта. Более того, прошло почти 4 года, это много по любым меркам. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34003
Avira (no cloud) -> TR/FileCoder.whnqx
BitDefender -> DeepScan:Generic.Ransom.Bam.EDBFCFA5
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEB
Kaspersky -> HEUR:Trojan-Ransom.Win32.Cryptor.gen
Malwarebytes -> Malware.AI.2716773224
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Ecup
TrendMicro -> TROJ_GEN.R002H09F421
---

© Генеалогия: Bam! (2017) > Bkav > пропуск в 4 года > Bam-2021


Сайт "ID Ransomware" это идентифицирует как Bam! .


Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Вероятно сделан во Вьетнаме, если Google-переводчик правильно определил слова "Mau bao cao" (Mẫu báo cáo), написанные на распространяемом вредоносном файле. 

К зашифрованным файлам добавляется расширение: .bam!

Зашифрованные файлы также помечаются специальным маркером: 
.bam! 



Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола: 




Содержание записки о выкупе:
YOUR COMPUTER AND FILES ARE ENCRYPTED
Your files will be lost on: 23:58:26
Encryption was made with a special crypto-code!
There are NO CHANCE to decrypt it without our special software and your unique private key!
To decrypt files. Send $300 worth of bitcoin to this address:
1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE

Перевод записки на русский язык:
ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши файлы будут потеряны: 23:58:26
Шифрование сделано специальным криптокодом!
НЕТ ШАНСА расшифровать это без нашей специальной программы и вашего уникального закрытого ключа!
Для расшифровки файлов. Отправьте $300 в биткойнах на этот адрес:
1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
.3dm, .3ds, .accdb, .ARC, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .der, .dif, .doc, .docm, .docx, .dot, .dotm, .dwg, .eml, .fla, .flv, .frm, .gif, .hwp, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .odb, .odp, .ods, .odt, .p12, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sql, .sqlite3, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tgz, .tif, .tiff, .txt, .vbs, .vdi, .vmdk, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (122 типа файлов). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бекапы и пр.

Файлы, связанные с этим Ransomware:
Notify.jpg - название файла с требованием выкупа; 
Mau bao cao 2.docx.exe - название вредоносного файла; 
SimulationSpyware.pdb - файл проекта. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\TuongND\Desktop\APTClient\Release\SimulationSpyware.pdb

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2455352368-1077083310-2879168483-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Notify.jpg"
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IATG, AR
MD5: 84ffb87cc91d697db2f5685df68de7af
SHA-1: 4f0360d60b685ed6059d32aef24c6b3cbbd46e9e
SHA-256: 10bba07a1965c61a2ec05b46331e3eeda3d7bdeb8074c86009dc11f2564048fa
Vhash: 026056655d1555114z31b007f7z6055z10a00593z20a7z
Imphash: 657339296770e8f5651105f5b71d90d4


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bam! (Bam) Ransomware - июль 2017
Bkav Ransomware - август 2017 
--- 4 года пропуска ---
Bam! Ransomware - июнь 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *