Hive

Hive Ransomware

Hive Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Угрожает опубликовать данные. Оригинальное название: в записке не указано. На файле написано: encryptor_win32.exe. Написан на языке Go. 

В криптографической схеме 100 различных ключей RSA в диапазоне от 1024 до 5120 бит, одноразовый блокнот (OTP) 10 Мб и настраиваемый потоковый шифр. Даже если пострадавший заплатит выкуп и получит ключ дешифрования, само дешифрование будет долгим (сообщение об этом). 

🐝🐝🐝

Вымогатели, распространяющие Hive Ransomware, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов с помощью программных средств (doxware). 

За распространением Hive стоят кибер-группировки из Украины, которые могут действовать и из других стран.  

Пострадавшие сообщают, что вымогатели берут деньги и не дают дешифратор. 

Не верьте вымогателям! Требуйте гарантии и подтверждения возможности расшифровки. 
---
Обнаружения:
DrWeb -> Trojan.Siggen14.9462
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Crypt.XPACK.Gen
BitDefender -> Gen:Variant.Razy.853199
ESET-NOD32 -> WinGo/Filecoder.V, A Variant Of WinGo/Filecoder.V
Kaspersky -> Not-a-virus:HEUR:RiskTool.Win32.Generic
Malwarebytes -> Malware.AI.4245506271
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Malware.Heuristic!ET#94% (RDMK:cmR*
Symantec -> ML.Attribute.HighConfidence, Ransom.Hive
Tencent -> Win32.Risk.Generic.Syhw
TrendMicro -> TROJ_GEN.R002H0CFP21
---

© Генеалогия: Bonsoir ? >> Hive

Сайт "ID Ransomware" это идентифицирует как Hive. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .hive

Записка с требованием выкупа называется: HOW_TO_DECRYPT.txt

Содержание записки о выкупе:

Your network has been breached and all data is encrypted.

To decrypt all the data you will need to purchase our decryption software.

Please contact our sales department at:

   xxxx://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/

      Login: EQA9oyd*****

      Password: vNtgAgb3kM**********

Follow the guidelines below to avoid losing your data:

 - Do not shutdown or reboot your computers, unmount external storages.

 - Do not try to decrypt data using third party software. It may cause irreversible damage.

 - Do not fool yourself. Encryption has perfect secrecy and it's impossible to decrypt without knowing the key.

 - Do not modify, rename or delete *.key.hive files. Your data will be undecryptable.

 - Do not modify or rename encrypted files. You will lose them.

 - Do not report to authorities. The negotiation process will be terminated immediately and the key will be erased.

 - Do not reject to purchase. Your sensitive data will be publicly disclosed at xxxx://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/

Перевод записки на русский язык:

Ваша сеть взломана и все данные зашифрованы.

Чтобы расшифровать все данные, вам надо приобрести нашу программу для расшифровки.

Пожалуйста, свяжитесь с нашим отделом продаж по адресу:

   xxxx://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/

      Логин: EQA9oyd*****

      Пароль: vNtgAgb3kM**********

Следуйте приведенным ниже инструкциям, чтобы не потерять свои данные:

 - Не выключайте и не перезагружайте компьютеры, не отключайте внешние хранилища.

 - Не пытайтесь расшифровать данные с помощью сторонних программ. Это может причинить необратимый ущерб.

 - Не обманывай себя. Шифрование имеет полную секретность и его невозможно расшифровать, не зная ключа.

 - Не изменяйте, не переименовывайте и не удаляйте файлы *.key.hive. Ваши данные невозможно будет расшифровать.

 - Не изменяйте и не переименовывайте зашифрованные файлы. Вы их потеряете.

 - Не сообщайте властям. Процесс переговоров будет немедленно прекращен, а ключ будет удален.

 - Не отказывайтесь от покупки. Ваши конфиденциальные данные будут публично раскрыты по адресу xxxx://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/

Скриншоты сайтов вымогателей:

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Вероятно используют свой собственный потоковый шифр. 

➤ После шифрования файлов Hive Ransomware уничтожает случайно сгенерированный главный ключ, размером 10 Мбайт, использованный для шифрования файлов. 

➤ Удаляет теневые копии файлов. 

➤ После заражения Hive создает и удаляет бессмысленные данные в C:\\ или C:\Users\<User_name>\AppData\Local\VirtualStore до тех пор, пока жесткий диск не заполнится. Это делает невозможным восстановление зашифрованных файлов, используя остаточные данные.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список каталогов, которые обязательно шифруются: 

Program files

Program files (x86)

ProgramData

Пропускаемые типы файлов:

.lnk, исполняемые файлы и файлы в каталоге C:\Users\Windows

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT.txt - название файла с требованием выкупа; 
encryptor_win32.exe - название вредоносного файла; 

*.key.hive - важный файл, который нельзя изменять и удалять; 

hive.bat - файл с командой на удаление исполняемого файла Hive и для самоудаления; 

shadow.bat - файл с командой на удаление теневых копий файлов и для самоудаления. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

/c hive.bat

/c shadow.bat

C:\Users\Admin\AppData\Local\Temp\shadow.bat

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_TO_DECRYPT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Tor-URL: hxxx://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/

HiveLeaks: hxxx://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC-1: VT, HA, IA, TG, AR, VMR, JSB

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

SHA-1: cd8e4372620930876c71ba0a24e2b0e17dcd87c9

SHA-256: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

Vhash: 07503e0f7d1bz4!z

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

---

IOC-2: VT, IA, AR,

MD5: 2f9fc82898d718f2abe99c4a6fa79e69

SHA-1: 9d336b8911c8ffd7cc809e31d5b53796bb0cc7bb

SHA-256: 88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b09399717f85ea9afd1

Vhash: 07503e0f7d1bz4!z

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

Некоторые другие образцы можно найти на сайте BA:

https://bazaar.abuse.ch/browse/tag/Hive/

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== АРЕСТЫ === ARRESTS ===

Октябрь 2021 года:

Ссылка на статью >>

Ноябрь 2023:

Ссылка на статью >>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 18 июля 2021: 

Расширение: .<random>.hive

Пример зашифрованного файла: file.txt.gUhFdf6JVSFJKKlPDWJaXaQSdrXJ_KE9Xw7UK8BEyRo.hive

Записка: HOW_TO_DECRYPT.txt

Файл: lock.exe

Результаты анализов: IOC: VT, IA

MD5: 7202c948aa5af1134efdfe978ec6ef60

Вариант от 22 июля 2021: 

Сообщение >>

Расширение: .<random>.hive

Записка: HOW_TO_DECRYPT.txt

Результаты анализов:  IOC: VT, IA

MD5: 504bd1695de326bc533fde29b8a69319

Вариант от 3 августа: 

Сообщение >>

Расширение: .w2tnk 

Пример зашифрованного файла: file.txt.gUhFdf6JVSFJKKlPDWJaXaQSdrXJ_KE9Xw7UK8BEyRo.w2tnk 

Записка: fwdM_HOW_TO_DECRYPT.txt

Файл: a2112.exe

Результаты анализов: IOC: VT, IA

MD5: 4cd42e7aac7f89edf5764b699b2800d0

Сообщение от 16 августа 2021: 

Группа вымогателей Hive атакует даже некоммерческие больницы. 

Статья на сайте BleepingComputer >>

Вариант от 2 сентября 2021:

Сообщение >>

Расширение: .uj1ps

Результаты анализов: IOC: VT, AR

MD5: da13022097518d123a91a3958be326da

Вариант от 14 октября 2021:

Сообщение >>

Расширение: .qxycv

Записка: ueEe_HOW_TO_DECRYPT.txt

Результаты анализов: IOC: VT, IA

MD5: 829a7f19cb43051f04dc6ae9d73d47c5

Новость от 29 октября 2021:

Новые варианты Hive вскоре могут начать шифровать файлы в системах Linux и FreeBSD, чтобы атаковать серверы корпоративного сектора и получать больше выкупа. 

Статья на сайте BleepingComputer >>

Вариант от 26 октября 2021:

Сообщение >>

Расширение: .hive

Записка: HOW_TO_DECRYPT.txt

Файл: encryptor_win32.exe

Результаты анализов: IOC: VT, TG

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

Вариант от 22 ноября 2021:

Сообщение >>

Сообщение >>

Расширение: .accuj

Шаблон расширения: .<random{5}>

Пример зашифрованного файла: file.txt.gUhFdf6JVSFJKKlPDWJaXaQSdrXJ_KE9Xw7UK8BEyRo.accuj

Результаты анализов: IOC: VT, IA

MD5: 80174956b0d1849ee802490817a2748f

=== 2022 ===

Вариант от 4 февраля 2022:

Расширение: .aumcc

Шаблон расширения: .<random{5}>

К именам файлов также добавляется случайная строка.

Записка: 3LUo_HOW_TO_DECRYPT.txt

Результаты анализов: VT

Вариант от 7 февраля 2022:

Расширение: .sncip

Шаблон расширения: .<random{5}>

К именам файлов также добавляется случайная строка.

Записка: eauk_HOW_TO_DECRYPT.txt

Вариант от 24 марта 2022:

Сообщение >>

Результаты анализов: IOC: VT, IA

MD5: b578f712997625c0c97ff55b70152bb0

По обнаружениям Hive Ransomware стал похож на BlackCat Ransomware.

Объясняется это тем, что вымогатели, использующие Hive Ransomware, обновили свой шифровальщик с помощью функций, впервые представленных в атаках BlackCat (ALPHV) Ransomware. Новая версия Hive Ransomware, написанная языке программирования Rust, переключается на VMware ESXi Linux. Поскольку предприятия все больше зависят от виртуальных машин для экономии компьютерных ресурсов, консолидации серверов и упрощения резервного копирования, банды вымогателей создают специальные шифровальщики, ориентированные на эти службы. 

Подробнее в статье на сайте BleepingComputer >>

Новость апреля 2022:

Серверы Microsoft Exchange взломаны! Hive Ransomware установлен! 

Microsoft разучилась работать и не может устранить уязвимости даже у себя под носом! 

Подробнее в статье на сайте BleepingComputer >>

Вариант от 6 июня 2022:

Сообщение >> 

Расширение: .z61yt

Записка: 1uZ5_HOW_TO_DECRYPT.txt

Файл: xp.exe

Результаты анализа: VT + IA

=== 2023 ===

Новость от 26 января 2023:

Министерство юстиции США, ФБР и Европол сообщают, что сумели проникнуть в инфраструктуру хакерской группы Hive еще в июле 2022 года и в итоге предотвратили выплату выкупов на общую сумму около 130 млн долларов. Однако они не называют принадлежность членов группы к какой-либо стране, они даже не обвиняют Россию в участии в этой группе, что само по себе уже удивительно. Почему они не стали этого делать? Да потому что эта группа действовала на территории тех стран, чья полиция участвовала в этой акции. А то, что выделенные сервера хакеров-вымогателей находились под носом у вышеназванных организаций в США и Нидерландах, говорит о том, что в целом и в частности им винить нужно только самих себя. 

Новость от 30 октября 2023:

Исходные коды Hive были проданы, включая веб-сайт и старые версии Golang и C. Покупатель — Hunters International, которые утверждают, что исправили ошибки в Hive Ransomware, которые в некоторых случаях приводили к невозможности расшифровки файлов. По утверждению самих Hunters International шифрование не является основной целью их деятельности, они специализируются на краже данных, как метод давления на жертву при вымогательстве. По данным исследователей совпадения и сходства в коде Hunters International соответствуют более чем 60% кода Hive Ransomware. 

Статья на сайте BC >>

=== 2024 ===

Новость от 28-29 февраля 2024:

В ID-Ransomware добавлена отдельная идентификация для Hunters International.

Расширение: .locked

Записка: Contact Us.txt

Data Leak сайт:

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

Внимание! 
Файлы, зашифрованные ранней версией, можно восстановить. 
Но это не так просто. Читайте PDF-документ и статью 
"A Method for Decrypting Data Infected with Hive Ransomware"
hxxxs://arxiv.org/pdf/2202.08477.pdf
hxxxs://arxiv.org/abs/2202.08477

 Thanks: 
 dnwls0719, Michael Gillespie, MalwareDev
 Andrew Ivanov (article author)
 Fabian Wosar
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Spyro

Spyro Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На одном файле написано: Windows Session Manager.exe, а на другом - SvHost-3.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34086 / Trojan.DownLoader39.50328
ALYac -> Trojan.Ransom.Ouroboros
Avira (no cloud) -> HEUR/AGEN.1139736
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.100233CC / Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.G
Kaspersky -> HEUR:Trojan.Win32.Stosek.gen
Malwarebytes -> Ransom.VoidCrypt / Ransom.Ouroboros
Microsoft -> Trojan:Win32/Ymacco.AA12 / Program:Win32/Ymacco.AAC6
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11c2ae93
TrendMicro -> Ransom.Win32.VOIDCRYPT.SM
---

© Генеалогия: Ouroboros, VoidCrypt >> Spyro

Сайт "ID Ransomware" это отдельно не идентифицирует. Но возможна  идентификация по родству, т.е. как VoidCrypt. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине июня 2021 г., точнее 21 июня. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .Spyro

Фактически используется составное расширение по шаблону: .[<email>][XXXXXXXX].Spyro

Пример такого расширения: .[BlackSpyro@tutanota.com][34D4567F].Spyro

Записка с требованием выкупа называется: Decrypt-info.txt

Содержание записки о выкупе:

All your files are encrypted due to security problem with your computer.

You should pay money to recover your files.

The price depends on how fast do you message us.

You should contact us via this email address: BlackSpyro@tutanota.com

if you didn't receive any reply, message our second email address: BlackSpyro@mailfence.com

We guarantee that if you make payment, all your files will be recovered.

You can send few example files. We recover them for you to prove that we can recover your files.

Attention:

Do not rename encrypted files.

Do not try to decrypt your data using third-party software, it may cause permanent data loss.

The decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

Все ваши файлы зашифрованы из-за проблем безопасности вашего компьютера.

Вы должны заплатить деньги, чтобы восстановить свои файлы.

Цена зависит от того, как быстро вы нам напишите.

Вы должны написать нам по этому email-адресу: BlackSpyro@tutanota.com

если вы не получили ответа, напишите на наш второй email-адрес: BlackSpyro@mailfence.com

Мы гарантируем, что в случае оплаты все ваши файлы будут восстановлены.

Вы можете прислать несколько файлов с примерами. Мы восстановим их для вас, чтобы доказать, что мы можем восстановить ваши файлы.

Внимание:

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к удорожанию (они добавят свою цену к нашей) или вы можете стать жертвой мошенничества.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt-info.txt - название файла с требованием выкупа;
Windows Session Manager.exe - название вредоносного файла; 

SvHost-3.exe - название другого вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: BlackSpyro@tutanota.com, BlackSpyro@mailfence.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG + TG, AR, VMR, JSB

MD5: 000e2743bf3cb96cefc4be357765cec3

SHA-1: 62b9b6afc91e349c56ce967985eec229f7db82aa

SHA-256: 126f06426beeaaeea65331c5896590eb558405e5b924254e1aa17c3adc5c2fb3

Vhash: 016056655d555560c2z13z9euz1e7z

Imphash: 1679a5c6f05d9b5195b66ccfe1b877de

---

IOC: VT, HA, IA, TG + TG, AR, VMR, JSB

MD5: 6d0cefa5b7f1744aa5dbc041c50b1709

SHA-1: 023fe5cafe7f0b32bfaf1b3549785e4d36a13b63

SHA-256: c6da46d2abe90035674272a826d1203dde07338e27e3ebefc6335cbedb389019

Vhash: 01603e0f7d1013z13z4hz13z11z11z17z

Imphash: 24ed90eebd28321b68c87b9384928072

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение от 16 марта 2022:

Исследователи из BlackBerry связывают Spyro Ransomware с LokiLocker, но тот появился на 2 месяца позже. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author) 
 Michael Gillespie, 
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EncodeBat

EncodeBat Ransomware

Encode.bat Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, испльзуя BAT-файл, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Encode.bat.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34055
ALYac -> Heur.BZC.ONG.Cross.7.59378A37
BitDefender -> Trojan.GenericKD.46537758
ESET-NOD32 -> BAT/Filecoder.EA
Kaspersky -> Trojan-Ransom.Win32.Encoder.mya
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Woreflint.A!cl
Symantec -> ML.Attribute.HighConfidence
---

© Генеалогия: CruelCrypt и подобные >> EncodeBat

Сайт "ID Ransomware" это пока не идентифицирует. ~VoidCrypt.

Информация для идентификации

Образец этого крипто-вымогателя был найден в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .encrypted

Содержимое зашифрованного файла заменяется каким-то сертификатом. 

Скриншоты процесса шифрования. В первом окне видно, что он сначала ждёт нажания любой клавиши, только потом выполняет шифрование. 

Записка называется: ALL-YOUR-FILES-ARE-ENCRYPTED.txt

Содержание записки о выкупе:
all your files have been encrypted 

Перевод записки на русский язык:
все твои файлы зашифрованы 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Вероятно распространяется среди фанатов какой-то игры, чтобы напугать или нейтрализовать противников. Это только предположение. 

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов. 

➤ Используется утилита CertUtil, в которой есть команда для шифрования файлов. Ключ не требуется, вероятно файлы можно будет расшифровать обратной командой.

Список типов файлов, подвергающихся шифрованию:
Пока шифруются только файлы тектовых форматов: .docx, .rtf, .txt

После доработки список может быть шире: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

ALL-YOUR-FILES-ARE-ENCRYPTED.txt - название файла с требованием выкупа;

ALL-YOUR-FILES-ARE-ENCRYPTED.txt.encrypted - зашифрованный файл собственной записки; 

WEXTRACT.EXE.MUI - оригинальное название вредоносного файла; 

Encode.bat (Encode.exe) - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

Key created \REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce Encode.exe

Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0 = "rundll32.exe C:\\Windows\\system32\\advpack.dll,DelNodeRunDLL32 \"C:\\Users\\Admin\\AppData\\Local\\Temp\\IXP000.TMP\\\"" Encode.exe

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR 

MD5: 5163f03f6789656605108bec4650b66f

SHA-1: c32e012da9257780d2031f683457da1840615c9c

SHA-256: fb3b67d7f94630f41e722de49c211d8f5c69cdec8fc9ba25996717a77f67b89b

Vhash: 0150566d55556560e013z1005114kz1e03dz

Imphash: 646167cce332c1c252cdcb1839e0cf48 

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 *

Внимание! 
Если для шифрования используется утилита CertUtil, то файлы 
можно расшифровать обратной командой.

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Apis

Apis Ransomware

(фейк-шифровальщик, вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп $10500 в 0.303 BTC, чтобы вернуть файлы. Оригинальное название: Apis. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.ClipBankerNET.7
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/ATRAPS.Gen
BitDefender -> Generic.Ransom.Hiddentear.A.AC0E8AB3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Trojan.MalPack
Microsoft -> Ransom:Win32/Filecoder!ml
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Dyzw
TrendMicro -> Ransom_RAMSIL.SM
---

© Генеалогия:  ✂ HiddenTear >> Apis 

Несмотря на то, что некоторые движки определяют в нём код шифровальщика HiddenTear, этот функционал не используется. Фактически Apis Ransomware повреждает файлы. Уплата выкупа бесполезна! Подробнее в разделе "Технические детали". 

Этимология названия:

Для названия свой программы вымогатели, вероятно, использовали название священного быка из древнеегипетской мифологии Аписа. Для логотипа этой статьи было выбрано нетральное векторное изображение, представляющее собой верхнюю часть изображения Аписа: месяц между рогов. Ниже представлено полное изображение Аписа. 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К фейк-зашифрованным файлам добавляется расширение: .apis

Записка с требованием выкупа называется: read_apis.txt

Содержание записки о выкупе:

----> All of your files have been encrypted <----

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.

The price for the software is $10,500. Payment can be made in Bitcoin only.

How do I pay, where do I get Bitcoin?

Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Bitcoin. 

Payment Amount: 0.303 BTC

Bitcoin Address: bc1qlnzcep222ac0ttasd7awxev9ehu665f2vpt9x0

Перевод записки на русский язык:

----> Все ваши файлы зашифрованы <----

Ваш компьютер был заражен вирусом-вымогателем. Ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи.

Что мне сделать, чтобы вернуть мои файлы?

Вы можете купить нашу специальную программу для дешифрования, эта программа позволит вам восстановить все ваши данные и удалить вымогатель из вашего компьютера.

Стоимость программы $10500. Оплата может быть сделана только в биткойнах.

Как мне заплатить, где мне взять биткойны?

Покупка биткойнов варьируется от страны к стране, лучше всего выполнить быстрый поиск в Google как купить биткойны. 

Сумма платежа: 0.303 BTC 

Биткойн-адрес: bc1qlnzcep222ac0ttasd7awxev9ehu665f2vpt9x0

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Несмотря на то, что некоторые движки определяют в нём код шифровальщика HiddenTear, этот функционал не используется. Фактически Apis Ransomware генерирует случайные байты, кодирует в base64, перезаписывает файл этим кодом и фальшивой XML-структурой. Таким образом он действует как деструктор, повреждая файлы. Уплата выкупа бесполезна! 

*

➤ Удаляет теневые копии файлов командой:

vssadmin delete shadows /all /quiet & wmic shadowcopy delete

Список типов файлов, подвергающихся шифрованию:
.accdb, .apk, .arj, .asp, .aspx, .avi, .backup, .bak, .bay, .blob, .bmp, .cab, .cer, .config, .cpp, .crt, .css, .csv, .dat, .dbf, .doc, .docm, .docx, .dot, .dotx, .dwg, .flv, .gif, .gzip, .htm, .html, .ibank, .ico, .inc, .ini, .iso, .jar, .java, .jpe, .jpeg, .jpg, .jsp, .lnk, .log, .lzh, .m4a, .m4v, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ods, .odt, .p7c, .pas, .pdb, .pdf, .php, .png, .pot, .pps, .ppsm, .ppt, .pptm, .pptx, .psd, .pst, .rar, .rtf, .sie, .sln, .sql, .sum, .svg, .swf, .tar, .torrent, .txt, .url, .vdi, .vmdk, .wallet, .wav, .webm, .wma, .wmv, .wpd, .wps, .xla, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlw, .xml, .xsd, .xsl, .zip 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Целевые директории: 

\Desktop

\Links

\Contacts

\Documents

\Downloads

\Pictures

\Music

\OneDrive

\Saved Games

\Favorites

\Searches

\Videos

Файлы, связанные с этим Ransomware:
read_apis.txt - название файла с требованием выкупа;
Stub.exe (svchost.exe)  - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qlnzcep222ac0ttasd7awxev9ehu665f2vpt9x0

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8458ca4c230169e4ef4d3fca9a709690

SHA-1: 70510fd8a4488e65f83c25318d3235393cda8334

SHA-256: fc7307dc19e676177603dee95b388b8a1159c822b3cfe0dc24f96288749d64cc

Vhash: 21403655151a0071290034

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.