Если вы не видите здесь изображений, то используйте VPN.

среда, 7 июля 2021 г.

Recon

Recon Ransomware

(шифровальщик-не-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует файлы в рамках какой-то тренировки по работе с ransomware. Никаких официальных подтверждений от разработчика не последовало. Оригинальное название: в записке не указано. На файле написано: RsEncP и RsEncP.exe. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.24
BitDefender -> Gen:Variant.Razy.789642
ESET-NOD32 -> A Variant Of MSIL/Spy.Agent.CCB
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Malware.AI.1366478974
Microsoft -> Ransom:Win32/Genasom
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Razy.Ebhs
TrendMicro -> Ransom_Encoder.R03FC0WGA21
---

© Генеалогия: ??? >> Recon


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Образец этого крипто-вымогателя был найден в начале июля 2021 г. Скорее всего был сделан раньше. Ориентирован на корейскоязычных и англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .Recon

Записка называется: Recon.txt

Другим информатором является экран блокировки с сообщением. 


Содержание текста с экрана:
리콘훈련
랜섬 웨어 훈련에 참가 하셨습니다.
복구는 관리자에게 문의 바랍니다.

Перевод текста на английский язык:
recon training
You have participated in ransomware training.
For recovery, please contact the administrator.

Перевод текста на русский язык:
разведподготовка
Вы прошли обучение работе с ransomware.
Для восстановления обращайтесь к администратору.

---
С помощью серсиса Triage я получил ещё один экран программы с другим текстом.


Текст с экрана:
리콘훈련
랜성 웨어 춘련에 참가
하셨습니다.

Перевод на английский язык:
recon training
Participate in Lansheng Wear Spring Festival
You did.

Перевод на русский язык:
разведподготовка
Участвуй в весеннем фестивале Lansheng Wear
Ты сделал.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Вместо шифрования используется Base64 кодирование файлов, находящихся на Рабочем столе. 


Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
Recon.txt - название файла с требованием выкупа; 
Recon.Recon - какой-то специальный файл; 
RsEncP.exe - название вредоносного файла; 
RsEncP.pdb - название файла проекта. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\Recon.txt
C:\Users\Admin\AppData\Local\Temp\RsEncP.exe
C:\GURU(site2)\Recon_Webroot\App_Data\RsEncP\RsEncP\obj\Release\RsEncP.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG + TG + TG, AR, VMR, JSB
MD5: 1e8c10aca8b1af079d130d59585bbe87
SHA-1: fffad47c0363a714ad2b1804ec98fd86e1577e88
SHA-256: 22240b86f52405d2d69523a3c74e5aa576e5251d72cccbf07e91273e4391a324
Vhash: 215036751511b0a713241020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 4 июля 2021 г.

AvosLocker

AvosLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


AvosLocker Ransomware

Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: AvosLocker. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34160, Trojan.Encoder.34232, Trojan.Encoder.34361
ALYac -> Trojan.Ransom.Avaddon, Trojan.Ransom.AvosLocker
Avira (no cloud) -> TR/Cryptor.gxzkf, TR/Cryptor.aviyo
BitDefender -> DeepScan:Generic.Ransom.BTCWare.AB3FFEB6, Trojan.GenericKD.46739893
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHU
Kaspersky -> HEUR:Trojan-Ransom.Win32.Cryptor.gen
Malwarebytes -> Ransom.Avaddon, Ransom.AvosLocker
Microsoft -> Ransom:Win32/Avaddon.P!MSR, Ransom:Win32/Avaddon
Rising -> Trojan.Generic@ML.82 (RDML:4Ey*
Symantec -> Ransom.AvosLocker, Ransom.AvosLocker!gm1
TrendMicro -> Ransom_Avaddon.R002C0DGJ21, Ransom_Cryptor.R002C0PH721

---

© Генеалогия: ✂ Avaddon >> AvosLocker


Сайт "ID Ransomware" это идентифицирует как AvosLocker


Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2021 г.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .avos

Записка с требованием выкупа называется: GET_YOUR_FILES_BACK.txt

AvosLocker Ransomware, note

Содержание записки о выкупе:

Attention!
Your files have been encrypted using AES-256.
We highly suggest not shutting down your computer in case encryption process is not finished, as your files may get corrupted.
In order to decrypt your files, you must pay for the decryption key & application.
You may do so by visiting us at hxxx://avos2fuj6olp6x36.onion.
This is an onion address that you may access using Tor Browser which you may download at hxxxs://www.torproject.org/download/
Details such as pricing, how long before the price increases and such will be available to you once you enter your ID presented to you below in this note in our website.
Hurry up, as the price may increase in the following days.
Message from agent: If you fail to respond in 4 days, the cost of decryption will double up and we will leak some of your data. In 10 days, we will leak all the data we have.
Your ID: 35b1fc*** [totally 64 characters]

Перевод записки на русский язык:
Внимание!
Ваши файлы были зашифрованы с использованием AES-256.
Мы рекомендуем не выключать компьютер, если процесс шифрования не завершен, т.к. ваши файлы могут быть повреждены.
Чтобы расшифровать ваши файлы, вы должны заплатить за ключ дешифрования и приложение.
Вы можете сделать это, посетив нас по адресу hxxx://avos2fuj6olp6x36.onion.
Это onion-адрес, к которому вы можете получить доступ через браузер Tor, который можно скачать на hxxxs: //www.torproject.org/download/
Информация, такая как цена, время до её повышения и т.д., будет вам доступна, когда вы введете свой ID, показанный ниже в этом примечании, на нашем сайте.
Спешите, в ближайшие дни цена может вырасти.
Сообщение от агента: Если вы не ответите за 4 дней, цена расшифровки удвоится, и мы выложим некоторые ваши данные. После 10 дней мы выложим все данные, которые у нас есть.
Ваш ID: 35b1fc *** [всего 64 символа]

---
Ошибки в записке говорят о том, что английский неродной язык для автора текста. Или кто-то умышленно имитирует незнание английского языка. 
---


Содержание текст на сайте:
AvosLocker
Your network and hard drives were encrypted using AES-256 military grade encryption.
AvosLocker will aid you in the recovery and restoration of the files affected.
Please enter your ID (presented to you in the note) in order to continue.
Failure to contact us in due time might incur additional charges and damages.
Your ID ***

Перевод текста на сайте:
AvosLocker
Ваша сеть и жесткие диски зашифрованы шифрованием военного уровня AES-256.
AvosLocker поможет вам вернуть пострдавшие файлы.
Введите ваш ID (показанный вам в записке), чтобы продолжить.
Отсутсвие контакта с нами может повлечь за собой дополнительные расходы и ущерб.
Ваш ID ***



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
---

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GET_YOUR_FILES_BACK.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Сообщение на сайте Cafedreed: hxxxs://cafedread.com/post/avoslocker-ransomware-accepting-affiliates-ef5f80c705df9a407db3


Tor-URL: hxxx://avos2fuj6olp6x36.onion
XMPP: avos@thesecure.biz
Email: avos@mail2tor.com 
XMR (Monero): *** 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: d285f1366d0d4fdae0b558db690497ea
SHA-1: f6f94e2f49cd64a9590963ef3852e135e2b8deba
SHA-256: 43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856
Vhash: 045056655d15556093z52z57nz1fz
Imphash: a24c2b5bf84a5465eb75f1e6aa8c1eec


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

Некоторые другие образцы можно найти на сайте BA:
https://bazaar.abuse.ch/browse/tag/AvosLocker/



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 4 августа 2021:
Расширение: .avos
Записка: GET_YOUR_FILES_BACK.txt


Tor-URL:  hxxx://avosjon4pfh3y7ew3jdwz6ofw7lljcxlbk7hcxxmnxlh5kvf2akcqjad.onion
hxxx://avosqxh72b5ia23dl5fgwcpndkctuzqvh2iefk5imp3pi5gfhel5klad.onion
Файл: potter.exe
Результаты анализов: IOC: VT, AR
MD5: fe977e2028bbb774952df319042e3cab


Вариант от 26 сентября 2021: 
Расширение: .avos2
Записка: GET_YOUR_FILES_BACK.txt



Результаты анализов: IOC: VT, TG
MD5: b76d1d3d2d40366569da67620cf78a87
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34361
BitDefender -> Gen:Variant.Doina.23104
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHU
Malwarebytes -> Ransom.AvosLocker
Microsoft -> Ransom:Win32/AvosLocker.PAC!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Possible_SMAVOSLOCKERTHA


Вариант от 31 октября 2021:
Расширение: .avos2
Записка: GET_YOUR_FILES_BACK.txt
Результаты анализов: : VT, TG
MD5: 937232f73c1db87b7dd29e098d4395f6


➤ Содержание записки: 
AvosLocker
Attention!
Your systems have been encrypted, and your confidential documents were downloaded.
In order to restore your data, you must pay for the decryption key & application.
You may do so by visiting us at hxxx://avosjon4pfh3y7ew3jdwz6ofw7lljcxlbk7hcxxmnxlh5kvf2akcqjad.onion.
This is an onion address that you may access using Tor Browser which you may download at https://www.torproject.org/download/
Details such as pricing, how long before the price increases and such will be available to you once you enter your ID presented to you below in this note in our website.
Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
The corporations whom don't pay or fail to respond in a swift manner have their data leaked in our blog, accessible at hxxx://avosqxh72b5ia23dl5fgwcpndkctuzqvh2iefk5imp3pi5gfhel5klad.onion
Additional notes from attackers responsible: Hello, All your data in the company is encrypted and your important company data is backed up. I do not need money, I receive payments from many companies every day and I deal with the encryption of many companies every day. More important than money is time for me. For this reason, I have time to inflate the number and bargain like other friends who do this business. The offer I have made for your company is very reasonable and not a big deal for you. If you do not pay, the data of the company that we have backed up after 7 days will be shared publicly on the internet and you will not be able to recover any of your encrypted data.
Your ID: f693e9975cce46c932683e090474fdd0f0bf9024e38737a58490a69af*******


Вариант от 29 октября 2021:
Версии: Avos2 и AvosLinux



Новость декабря 2021:
Операторы AvosLocker используют PDQ Deploy, легитимный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, что помогает им подготовить почву для атаки.
Эти сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности конечных точек, включая Windows Defender и продукты от Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance.


=== 2022 ===

Вариант от 10 января 2022:
Названия: AvosLocker, AvosLinux
Расширение: .avoslinux
Записка: README_FOR_RESTORE



Алгоритм шифрования: Salsa20 
Класс файла: ELF64
Результаты анализов: IOC: VT + AR
 Обнаружения: 
DrWeb -> Linux.Encoder.126
Avast -> ELF:Filecoder-DC [Trj]
Avira (no cloud) -> LINUX/FileCoder.olrti
BitDefender -> Trojan.Linux.Generic.237462
ESET-NOD32 -> A Variant Of Linux/Filecoder.AvosLocker.A
Kaspersky -> HEUR:Trojan-Ransom.Linux.Agent.p
Microsoft -> Ransom:Linux/AvosLocker.A!MTB
Rising -> Ransom.FileCryptor!8.1A7 (CLOUD)
Symantec -> Trojan.Gen.NPE
TrendMicro -> Trojan.Linux.ZYX.USELVAB22



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 1 июля 2021 г.

Diavol

Diavol Ransomware

LockMainDIB Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Diavol Ransomware


Этот крипто-вымогатель шифрует данные бизнес-пользователей и серверов с помощью RSA, а затем требует посетить сайт вымогателей, чтобы узнать, как заплатить выкуп, чтобы вернуть файлы. Оригинальное название: Diavol. На файле написано: locker.exe.

---
Обнаружения:
DrWeb -> Trojan.MulDrop18.43992, Trojan.MulDrop18.43415, Trojan.MulDrop18.43998, Trojan.Encoder.34432
ALYac -> Trojan.Ransom.CryptoLocker, Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.RansomHeur.tugmn, TR/Redcap.xyzla, TR/ATRAPS.Gen
BitDefender -> Trojan.GenericKD.47184519, Trojan.GenericKD.37798110, Trojan.GenericKD.47164045
ESET-NOD32 -> A Variant Of Win64/Filecoder.Diavol.A
Kaspersky -> Trojan-Ransom.Win32.Encoder.ocs, HEUR:Trojan-PSW.Win32.Stealer.gen, Trojan-Ransom.Win32.Encoder.oct
Malwarebytes -> Ransom.Diavol, Ransom.Agent.ED 
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml, Trojan:Win32/Sabsik.FL.B!ml
Symantec -> Trojan Horse, Trojan.Gen.MBT
TrendMicro -> TROJ_FRS.0NA103JF21, TROJ_GEN.R002H0DJD21, TROJ_GEN.R002H0CJC21

---

© Генеалогия: ✂ Conti-2, 3 >> Diavol


Сайт "ID Ransomware" это идентифицирует как Diavol


Информация для идентификации

Активность этого крипто-вымогателя была в конце июне 2021 г. Точной даты не сообщалось, образец вредоносного файла не опубликован. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lock64

Записка с требованием выкупа называется: README_FOR_DECRYPT.txt

Diavol Ransomware, note

Содержание записки о выкупе:

# What happened? #
Your network was ATTACKED, your computers and servers were LOCKED.
You need to buy decryption tool for restore the network.
Take into consideration that we have also downloaded data from your network that in case of not making paynent will be published on our news website.
# How to get my files back? #
1. Download Tor Browser and install it.
2. Open the Tor Browser and visit our website - hxxxs://r2gttyb5vqu6swf5.onion/***/***
Tor Browser may be block in your country or corporate network. Try to use Tor over VPN!

Перевод записки на русский язык:
# Что случилось? #
Ваша сеть АТАКОВАНА, ваши компьютеры и серверы БЛОКИРОВАНЫ.
Вам надо купить средство дешифрования, чтобы восстановить сеть.
Учтите, что мы также загрузили данные из вашей сети, которые в случае неуплаты будут опубликованы на нашем новостном сайте.
# Как вернуть мои файлы? #
1. Загрузите Tor браузер и установите его.
2. Откройте Tor браузер и посетите наш веб-сайт - hxxxs://r2gttyb5vqu6swf5.onion/***/***
Tor браузер может быть заблокирован в вашей стране или в корпоративной сети. Попробуйте использовать Tor через VPN!


Другим информатором является изображение, заменяющее обои Рабочего стола. 



Скриншоты сайта вымогателей: 






Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Исследователи из FortiGuard Labs предположили связь Diavol Ransomware с киберпреступной группой Wizard Spider считают её российской), стоящей за ботнетом Trickbot, и распространением Conti Ransomware, но не смогли найти прямой связи и не предоставили неопровержимых доказательств. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Diavol включает 14 различных подпрограмм, хранящихся в виде растровых изображений. Они вызываются в порядке, указанном на схеме. 


GENBOTID создает уникальный идентификатор для каждого зараженного компьютера. Он состоит из следующих компонентов:
<NetBIOS_computer_name> + <username> + "_W" + <OS major version in hex> + <OS minor version in hex> + <OS build number in hex> + "." + <random_GUID_bytes in hex>

Возможно этот ID должен выглядить примерно так: CNServerAdmin_WXXXXXXXXXXXX.XXXX
Но я не уверен, а реальный пример исследователями не предоставлен. 

➤ Diavol завершает запущенные процессы, которые могут заблокировать доступ к ценным файлам, таким как базы данных, офисные приложения, финансовое и бухгалтерское программное обеспечение, веб-серверы и виртуальные машины.

Так подпрограмма SERVPROC завершает работу служб с помощью API диспетчера служб (SCM). Для этого нужны права администратора, поэтому злоумышленники заранее предприняли соответствующие действия. Среди них попытка остановить следующие службы:
sqlservr.exe, sqlmangr.exe, RAgui.exe, QBCFMonitorService.exe, supervise.exe, fdhost.exe, Culture.exe, RTVscan.exe, Defwatch.exe, wxServerView.exe, sqlbrowser.exe, winword.exe, GDscan.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe,axlbridge.exe, 360se.exe, 360doctor.exe, QBIDPService.exe, wxServer.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, wdswfsafe.exe.

Подпрограмма KILLPR пытается завершить процессы из следующего списка: 
DefWatch, ccEvtMgr, ccSetMgr, SavRoam, dbsrv12, sqlservr, sqlagent, Intuit.QuickBooks.FCS, dbeng8, sqladhlp, QBIDPService, Culserver, RTVscan, vmware-usbarbitator64, vmware-converter, VMAuthdService, VMnetDHCP, VMUSBArbService, VMwareHostd, sqlbrowser, SQLADHLP, sqlwriter, msmdsrv, tomcat6, QBCFMonitorServicechrome.exe, outlook.exe, chrome.exe

➤ Diavol использует асинхронные вызовы процедур (APC) пользовательского режима без симметричного алгоритма шифрования, несмотря на то, что алгоритмы асимметричного шифрования работают значительно медленнее, чем симметричные алгоритмы.

➤ Хотя Diavol не упакован и не имеет каких-либо приемов анти-дизассемблирования, он использует интересную технику антианализа для обфускации своего кода. Его основные процедуры хранятся в растровых BMP-изображениях, которые хранятся в разделе ресурсов PE. Перед вызовом каждой подпрограммы копируются байты из растрового изображения в глобальный буфер, имеющий разрешения на выполнение.


Импорты, используемые каждой подпрограммой, также хранятся в разделе ресурсов под "OFFSET" с теми же именами, что и BMP-изображения.


Более подробно это описано в оригинальной статье Fortinet (ссылка). 

Список типов файлов, подвергающихся шифрованию:
Шифруются файлы многих типов, это наверняка будут 
документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключаемых расширений файлов, названий файлов и путей:
.exe, .sys, .dll, .lock64, readme_for_decrypt.txt, locker.txt, unlocker.txt, %WINDIR%\, %PROGRAMFILES%\, %PROGRAMW6432%\, %TEMP%\

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT.txt - название файла с требованием выкупа;
README_FOR_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.txt - другой вариант файла с требованием выкупа; 
locker.exe - случайное название вредоносного файла; 
locker64.dll - еще один вредоносный файл; 
LockMainDIB.pdb - название файла проекта;
Diavol Unlocker - инструмент разблокировки и расшифровки файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\Development\Master\onion\locker.divided\LockMainDIB\Release\LockMainDIB.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL
: hxxxs://r2gttyb5vqu6swf5.onion
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA256: 85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 15 октября 2021:
Сообщение >>
Расширение: .lock64
Записка: README_FOR_DECRYPT.txt + замена обоев


Файлы: CryptoLocker.exe, CryptoLocker32.exe, CryptoLocker64.dll, Locker.dll
IOC: VT MD5: f4928b5365a0bd6db2e9d654a77308d7
IOC: VT MD5: 3145c7e833b0372c3cab4d9f4949a718
IOC: VT MD5: 27b64857ffa56f676e45871a0d2cd164
IOC: VT MD5: 905870b51900d437aa7ac548b54efe36

Сайт вымогателей


Вариант ноября 2021:
Записка: WARNING.TXT





=== 2022 ===

Новость от 22 января 2022:
ФБР связало Diavol Ransomware с кибергруппой TrickBot (Wizard Spider). 


Вариант от 20 июня 2022:
Расширение: .lock64
Записка: WARNING.TXT
Tor-URL: hxxxs://7ypnbv3snejqmgce4kbewwvym4cm5j6lkzf2hra2hyhtsvwjaxwipkyd.onion/






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***
Added later: 
Analysis of Diavol Ransomware (on August 17, 2021)
Reverse Engineering: Diavol Ransomware (on December 17, 2021)
Внимание!  
Файлы можно расшифровать. 
Скачайте Emsisoft Decryptor для расшифровки файлов >>
 Thanks: 
 Fortinet, Michael Gillespie, 
 Andrew Ivanov (article author)
 Emsisoft
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *