ChiChi Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34535
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> UDS:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Symantec -> ML.Attribute.HighConfidenc
Tencent -> Win32.Trojan.Filecoder.Hqvr
TrendMicro -> Ransom_Babuk.R002C0DKG21
---
© Генеалогия: VHD modifies + Babuk modified >> ChiChi
Сайт "ID Ransomware" идентифицирует это как ChiChi.
Информация для идентификации
К зашифрованным файлам добавляется расширение: .chichi
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Активность этого крипто-вымогателя была в середине ноября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. По некоторым данным связан с корейскими хакерами.
Записка с требованием выкупа называется: Guide To Recover Your Files.txt
What happend?
----------------------------------------------
Your computers and servers are encrypted, backups are deleted from your network and copied. We use strong encryption algorithms, so you cannot decrypt your data.
What guarantees?
----------------------------------------------
We guarantee that you can recover all your files safely and easily.
You can decrypt a single file for warranty - we can do it.
Find a *.chichi file on your computer and upload and get the original. (maximum file size - 512Kb)
Chat with support
But if you want to decrypt all your files, you need to pay.
Write to support if you want to buy decryptor.
How to contact us?
----------------------------------------------
Write to email :
semenov.akkim@protonmail.com, chichihao@protonmail.com, velbms@rediffmail.com, sonuamit555@rediffmail.com, smenov@bitmessage.de
How to Pay?
----------------------------------------------
You need pay $300,000
Payment has to be deposited in Bitcoin based on the Bitcoin/USD exchange rate at the moment of payment.
The address you have to make payment is:
bc1q0lasrt2qjgantwy0ylzrdttlmmz6ap09l8964g
Attention!
----------------------------------------------
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
You have to deposit payment within 72 hours (3 days) after receiving this message, otherwise, you will lose your files forever and we will start posting your data to the dark web.
Перевод записки на русский язык:
!!! ВАША СЕТЬ ЗАШИФРОВАНА !!!
Что случилось?
----------------------------------------------
Ваши компьютеры и серверы зашифрованы, резервные копии удаляются из вашей сети и копируются. Мы используем надежные алгоритмы шифрования, поэтому вы не можете расшифровать свои данные.
Какие гарантии?
----------------------------------------------
Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы.
На гарантии можно расшифровать отдельный файл - мы сделаем это.
Найдите на своем компьютере файл * .chichi, загрузите его и получите оригинал. (максимальный размер файла - 512Кб)
Общайтесь со службой поддержки
Но если вы хотите расшифровать все свои файлы, вам нужно будет заплатить.
Напишите в поддержку, если хотите купить дешифратор.
Как с нами связаться?
----------------------------------------------
Напишите на email:
semenov.akkim@protonmail.com, chichihao@protonmail.com, velbms@rediffmail.com, sonuamit555@rediffmail.com, smenov@bitmessage.de
Как платить?
----------------------------------------------
Вам нужно заплатить 300000 долларов
Платеж должен быть внесен в биткойнах по обменному курсу биткойн / доллар США на момент платежа.
Адрес, по которому вы должны произвести платеж:
bc1q0lasrt2qjgantwy0ylzrdttlmmz6ap09l8964g
Внимание!
----------------------------------------------
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.
Вы должны внести платеж в течение 72 часов (3 дней) после получения этого сообщения, иначе вы потеряете свои файлы навсегда, и мы начнем публиковать ваши данные в темной сети.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов с помощью команды:
vssadmin.exe delete shadows /all /quiet
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Guide To Recover Your Files.txt - название файла с требованием выкупа;
e_win.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Файловый маркер в конце:
ChiChiL0ckerSign
Файловый маркер:
Файловый маркер:
chichigotmanagedyou
Сетевые подключения и связи:
Email: semenov.akkim@protonmail.com, chichihao@protonmail.com, velbms@rediffmail.com, sonuamit555@rediffmail.com, smenov@bitmessage.de
BTC: bc1q0lasrt2qjgantwy0ylzrdttlmmz6ap09l8964g
Сетевые подключения и связи:
Email: semenov.akkim@protonmail.com, chichihao@protonmail.com, velbms@rediffmail.com, sonuamit555@rediffmail.com, smenov@bitmessage.de
BTC: bc1q0lasrt2qjgantwy0ylzrdttlmmz6ap09l8964g
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 2c1bacb056654515171bedadaecfe67e
SHA-1: d45f9fccbb7c4c1221e3eb4d7801fa0a5910012e
SHA-256: d81f751a2b47e3195fb035c804fc7a54d1c51426f759c53048bd9837663a101a
Vhash: 0650766d55551d15156098z87hz33zffz
Imphash: ed16be167ae2e3d113863cd24a37317b
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
PXJ Ransomware - февраль 2020
VHD Ransomware - март - июль 2020Beaf Ransomware - апрель 2021
ChiChi Ransomware - ноябрь 2021
ZZZZ Ransomware - декабрь 2021
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 11 декабря 2021:
Расширение: .chichi
Записка: Guide To Recover Your Files.txt
Файл: e_win.exe
MD5: 9830f350bfe14307afe43cece54cce43
SHA-1: 4dcdfb0cc4a5de60a570392aafad244eb16390ea
SHA-256: 98482d217a0817af06217d4f02fc8bc48b31b4636ab8ef870dd2ad5056e43aea
Vhash: 0650766d55551d15156098z871z2dz33zffz
Authentihash: 612b15bb76fd3476d0038ed62e42675b8d9c8ee05a699d70190a1d96024aeda0
Imphash: 99863fd45ab25d34dfc8b7470a1658a5
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34721
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Malwarebytes -> Ransom.ChiChi
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Hsrw
TrendMicro -> Ransom_Babuk.R002C0DLB21
Вариант от 2 декабря 2021:
Расширение: .zzzz
Записка: ***
Email: semenov.akkim@protonmail.com, crastard@rediffmail.com, smenov@bitmessage.de, smenov@mail2tor.com
Обновление от 3 мая 2022:
Некоторые исследователи подтверждают наше предположение о связи с корейскими хакерами. Только он связывают это с хакерами из Северной Кореи.
Статья на сайте BleepingComputer >>
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: Michael Gillespie, dnwls0719 Andrew Ivanov (article author) Daniel Gordon to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.