Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 12 декабря 2021 г.

ZZZ Locker

ZZZ Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель блокирует файлы пользователей с помощью технологии архивирования WinRar, а затем требует выкуп в $200, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: windowsupdaates.exe или zzz.exe. 
---
Обнаружения:
DrWeb -> Trojan.Siggen16.5096
BitDefender -> Trojan.GenericKD.38478086
ESET-NOD32 -> BAT/RenameFiles.AE
Kaspersky -> Trojan.Win32.Agent.xaljpp
Malwarebytes -> Malware.AI.3238774107
Microsoft -> ***
Rising -> ***
Tencent -> Win32.Trojan.Agent.Lohu
TrendMicro -> TROJ_GEN.R002C0PFE22
---
DrWeb -> ***
BitDefender -> Trojan.GenericKD.38730780
ESET-NOD32 -> BAT/RenameFiles.AE
Kaspersky -> ***
Malwarebytes -> ***
Microsoft -> ***
Rising -> ***
Tencent -> ***
TrendMicro -> ***

© Генеалогия: ✂ блокировщики из 2016-2018 г. >> ZZZ Locker > BlockZ
7-language Locker


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине декабря 2021 и в январе 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется не расширение, а приставка "Lock.",  но файлы не шифруются, как это было у шифровальщиков на основе MicroCop Ransomware, а архивируются, а потом переименовываются. 
Фактически используется технология WinRar, а приставка Lock только показывает, что файл блокирован. 

Записка с требованием выкупа называется: readmee.txt


Содержание записки о выкупе:

Good day! 
If you are reading this letter, then most likely you are simply out of luck and you have my virus on your computer.
Your computer was infected with my virus. All your files on your PC were copied to my server. I have a complete copy of all your data including: passwords from sites, correspondence in social networks. photos taken with your webcam and video recording from your webcam
Your files have turned into lock.file and only I can decrypt them
I also have full access to your computer, and I can see everything you do on the Internet.
My virus has deleted and encrypted your files on your PC,
I can return all these files to you.
I am asking for a modest $ 200 dollars ransom to my bitcoin wallet
BTC Adress  13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
You can buy bitcoin on a cryptocurrency exchange, on exchange sites, or through a request in a google search engine
As soon as I receive the translation from you. I will return all your files to you and leave you alone forever. The virus will be removed from your PC automatically after you pay 200 $
Attention!!! If you refuse to pay me. I will sell all your data on the shady forums. Your photos, videos, webcam recordings and everything else. The choice is yours :-)

Перевод записки на русский язык:
Добрый день!
Если вы читаете это письмо, то скорее всего вам просто не повезло и у вас на компьютере мой вирус.
Ваш компьютер был заражен моим вирусом. Все ваши файлы на вашем компьютере были скопированы на мой сервер. У меня есть полная копия всех ваших данных в том числе: пароли от сайтов, переписки в социальных сетях. фотографии, сделанные вашей веб-камерой, и записи видео с вашей веб-камеры
Ваши файлы превратились в lock.file и только я могу их расшифровать
У меня также есть полный доступ к вашему компьютеру, и я могу видеть все, что вы делаете в Интернете.
Мой вирус удалил и зашифровал ваши файлы на вашем ПК,
Я могу вернуть вам все эти файлы.
Прошу скромный выкуп в размере $200 долларов на мой биткойн-кошелек
Адрес BTC 13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL
Купить биткойн можно на бирже криптовалют, на сайтах обмена или через запрос в поисковике google.
Как только я получу от вас перевод. Я верну тебе все твои файлы и оставлю тебя в покое навсегда. Вирус будет удален с вашего ПК автоматически после оплаты 200 $
Внимание!!! Если вы откажетесь платить мне. Продам все ваши данные на теневых форумах. Ваши фото, видео, записи с веб-камеры и все остальное. Выбор за вами :-)


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Используются системные файлы: WScript и cmd.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readmee.txt - название файла с требованием выкупа;
windowsupdaates.exe
 - название вредоносного файла;
zzz.exe - название вредоносного файла;
avtzap.bat
sait.bat
sait.VBS


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\TEMP\sait.bat
C:\TEMP\sait.VBS
C:\Users\Admin\AppData\Local\Temp\avtzap.bat
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb
*\Users\Admin\AppData\Local\Temp\zzz.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\zzz.exe

Записи реестра, связанные с этим Ransomware:
В Автозагрузку системы добавляется копия файла zzz.exe C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zzz.exe
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://openff.sytes.net
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
---
IOC: VT, HA, IA, TG, AR, VMR, JSB


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
Внимание!
Предполагаю, что файлы можно разблокировать и вернуть. 
Специалистам антивирусных компаний, которые много 
лет занимаются расшифровкой файлов, не составит труда 
восстановить файлы после этого и предыдущих вариантов 
шифровальщика. 
 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Admin Locker

Admin Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Admin Locker Ransomware logo

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. В качестве гарантии предлагается расшифровать 5 небольших файлов. Для связи предлагается аккаунт в Telegram. Оригинальное название: Admin Locker (указано на сайте, в заголовке страницы). На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Admin Locker



Сайт "ID Ransomware" идентифицирует это как Admin Locker


Информация для идентификации

Активность этого крипто-вымогателя была в первой половине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам может добавляться одно из следующих расширений: 

.admin1
.admin2
.admin3
.1admin
.2admin
.3admin

Исходное имя файла и его длина хранятся в конце зашифрованного файла. См. пример на скриншоте ниже. 




Записка с требованием выкупа называется: !!!Recovery File.txt

Admin Locker Ransomware note

Содержание записки о выкупе:
All of your important files have been encrypted on this PC.
All files are encrypted.
To decrypt your files, you need to get a private key + decryption software.
To get the private key and decrypt software, you need to contact us and send us [YOUR KEY] .
To do this you need to go to the site in darkweb you can only enter through the TOR BROWSER
 you can download it here https://www.torproject.org/download/ 
after you have installed a tor browser open this site
hxxx://adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion
It shows you your current contacts. 
Do not use chrome or firefox to access this site. 
The site will not open with a tor browser only.
Our Guarantee. 
We can decrypt several files as a demonstration - you can send us up to 5 files 
up to 5 MB in total weight
and we will send them back to you in their original form for FREE.
How long do I have to wait for the decryption key for the whole PC?
After payment, we will send you the key within minutes.
Your personal ID:
[YOUR KEY] U48pXLpBh***
Attention! Don't lose your money.
write to us personally. if you ask someone else to help you decrypt, they will just write to us instead of you. and this will increase our costs for their services (mediation). in the worst case you will be cheated. so write personally, this is safer for you. only we can decrypt files. 
Do not try to change the files and remove the extension, you may lose it forever. if you try to decrypt it yourself, experiment on the copies, do not experiment on the originals.

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы на этом компьютере.
Все файлы зашифрованы.
Чтобы расшифровать ваши файлы, вам нужен приватный ключ + программа для расшифровки.
Чтобы получить закрытый ключ и расшифровать программу, вам надо связаться с нами и отправить нам [ВАШ КЛЮЧ].
Для этого нужно зайти на сайт в дарквебе, зайти можно только через TOR BROWSER
 вы можете скачать его здесь https://www.torproject.org/download/
после того, как вы установили браузер tor, откройте этот сайт
hxxx: //adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion
Он показывает вам ваши текущие контакты.
Не используйте Chrome или Firefox для доступа к этому сайту.
Сайт может не открыться только в браузере Tor.
Наша гарантия.
В качестве демонстрации мы можем расшифровать несколько файлов - вы можете прислать нам до 5 файлов.
до 5 МБ общим весом
и мы БЕСПЛАТНО отправим их вам в исходном виде.
Как долго мне нужно ждать ключа дешифрования для всего ПК?
После оплаты мы отправим вам ключ в течении нескольких минут.
Ваш личный ID:
[YOUR KEY] U48pXLpBh***
Внимание! Не теряйте свои деньги.
напишите нам лично. если вы попросите кого-нибудь помочь вам в расшифровке, он просто напишет нам вместо вас. и это увеличит наши расходы на их услуги (посредничество). в худшем случае вас обманут. так что пишите лично, так для вас безопаснее. только мы можем расшифровать файлы.
Не пытайтесь изменить файлы и удалить расширение, вы можете потерять его навсегда. если вы пытаетесь расшифровать его самостоятельно, экспериментируйте с копиями, не экспериментируйте с оригиналами.



Другим информатором жертвы является сайт вымогателей. 

Admin Locker Ransomware site
Admin Locker Ransomware site

Содержание текста на сайте:
If you are reading this text, your files are encrypted!
Actual contact information
Our Guarantee.
We can decrypt several files as a demonstration - you can send us up to 5 files up to 5 MB in total weight and we will send them back to you in their original form for FREE.
Our extensions .admin1 .admin2 .admin3 .1admin .2admin .3admin
How long do I have to wait for the decryption key for the whole PC?
After payment, we will send you the key within minutes.
Attention! Don't lose your money.
write to us personally. if you ask someone else to help you decrypt, they will just write to us instead of you. and this will increase our costs for their services (mediation). in the worst case you will be cheated. so write personally, this is safer for you. only we can decrypt files.
Do not try to change the files and remove the extension, you may lose it forever. if you try to decrypt it yourself, experiment on the copies, do not experiment on the originals.
Our contacts
If you did not receive an answer in six hours. Check if your contacts have been updated; They could be blocked. We will replace blocked contacts within 6 hours.
CONTACT TELEGRAM MESSAGER
http://t.me/dotADMINbot
DOWNLOAD APP TELEGRAM MESSAGER
https://telegram.org/Apps
Important information.
1.1.2019 Payment is accepted in Bitcoin.
1.1.2021 If you defer payment for a long period of time. The price can double. Do not waste time, write to us to negotiate. We don't bite. We know how to come to a compromise.




Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!Recovery File.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;
userkey.dat - специальный файл; 
!DECRYPT_FILES.txt - название файла с требованием выкупа в других вариантах. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx: //adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion
Email: - 
BTC: - 
Telegram: @dotADMINbot


См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 декабря 2022:
Расширение: .1admin
Записка: !DECRYPT_FILES.txt





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WinCrypto

WinCrypto Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: WinCrypto Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.PWS.Siggen3.8291
BitDefender -> Gen:Variant.Razy.976809
ESET-NOD32 -> A Variant Of MSIL/Kryptik.ZIR
Kaspersky -> HEUR:Backdoor.MSIL.Bladabindi.gen
Malwarebytes -> Ransom.HiddenTear
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Kryptik.Hrfk
TrendMicro -> TROJ_GEN.R002C0PLC21
---

© Генеалогия: HiddenTear >> WinCrypto


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wincrypto 


Записка с требованием выкупа называется: README WINCRYPTO.txt

WinCrypto Ransomware note

Содержание записки о выкупе:
WINCRYPTO RANSOMWARE
YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAS BEEN ENCRYPTED!
THE ONLY WAY TO DECRYPT YOUR FILES IS TO RECEIVE THE PRIVATE KEY AND DECRYPTION SOFTWARE.
TO RECEIVE THE PRIVATE KEY AND DECRYPTION SOFTWARE GO TO ANY DECRYPTED FOLDER - INSIDE
THERE IS THE SPECIAL FILE 'README WINCRYPTO.TXT' WITH COMPLETE INSTRUCTIONS HOW TO DECRYPT YOUR FILES.
IF YOU CANNOT FIND ANY 'README WINCRYPTO.TXT' FILE AT YOUR PC.
FOLLOW THE INSTRUCTIONS BELOW.
1. DOWNLOAD 'TOR BROWSER' FROM 'HTTPS://TORPROJECT.ORG' AND INSTALL IT.
2. IN THE 'TOR BROWSER' OPEN YOUR PERSONAL PAGE HERE.
HTTPS://WINCRYPTO23XA93KU9234XN.ONION/7U2D-23MA-0M8C-M2AS
NOTE! THIS PAGE IS AVAILABLE VIA 'TOR BROWSER' ONLY.
      FILE RECOVERY IS IMPOSSIBLE WHEN ANTI-VIRUS IS ACTIVATED AND THIS SOFTWARE IS TERMINATED!


Перевод записки на русский язык:
WINCRYPTO RANSOMWARE
ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!
ЕДИНСТВЕННЫЙ СПОСОБ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ — ЭТО ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ И ПРОГРАММУ ДЛЯ РАСШИФРОВКИ.
ЧТОБЫ ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ И ПРОГРАММУ ДЛЯ РАСШИФРОВКИ, ПЕРЕЙДИТЕ В ЛЮБУЮ ЗАШИФРОВАННУЮ ПАПКУ - ВНУТРИ
ЕСТЬ СПЕЦИАЛЬНЫЙ ФАЙЛ «README WINCRYPTO.TXT» С ПОЛНЫМИ ИНСТРУКЦИЯМИ ПО РАСШИФРОВКЕ ВАШИХ ФАЙЛОВ.
ЕСЛИ ВЫ НЕ МОЖЕТЕ НАЙТИ ФАЙЛ «README WINCRYPTO.TXT» НА СВОЕМ КОМПЬЮТЕРЕ.
СЛЕДУЙТЕ ПРИВЕДЕННЫМ НИЖЕ ИНСТРУКЦИЯМ.
1. ЗАГРУЗИТЕ «TOR BROWSER» С «HTTPS://TORPROJECT.ORG» И УСТАНОВИТЕ ЕГО.
2. В «ТОР-БРАУЗЕРЕ» ОТКРОЙТЕ СВОЮ ЛИЧНУЮ СТРАНИЦУ ЗДЕСЬ.
HTTPS://WINCRYPTO23XA93KU9234XN.ONION/7U2D-23MA-0M8C-M2AS
ПРИМЕЧАНИЕ! ЭТА СТРАНИЦА ДОСТУПНА ТОЛЬКО ЧЕРЕЗ TOR-БРАУЗЕР.
       ВОССТАНОВЛЕНИЕ ФАЙЛОВ НЕВОЗМОЖНО, КОГДА АНТИВИРУС АКТИВИРОВАН И ЭТА ПРОГРАММА ПРЕКРАЩЕНА!



Записка с требованием выкупа написана на экране блокировки. 
Текст аналогичен.  

WinCrypto Ransomware

WinCrypto Ransomware



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README WINCRYPTO.txt - название файла с требованием выкупа;
WinCrypto Ransomware.exe, RuntimeBroker.exe - названия вредоносного файла; 
sctipt.bat - командный файл; 
check2.py и другие. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: https://wincrypto23xa93ku9234xn.onion/7u2d-23ma-0m8c-m2as
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 27786f44811d4832d01246e529b94320
SHA-1: b31bd516fe0ca01cd139739867ae2c60054dc328
SHA-256: 5c396be42657aecabd75f8be6ac9b3af96fa1243a4a50214b3543617f39d6c5b
Vhash: 24603665151290751750021
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 11 декабря 2021 г.

Khonsari

Khonsari Ransomware

Khonsari Cover-Ransomware

Log4Shell Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Khonsari Ransomware. На файле написано: FecitAntiques.exe или groenhuyzen.exe. Использует уязвимость Log4Shell. Источником уязвимости является Log4j, библиотека ведения журналов, используемая широким спектром приложений, в частности версиями до 2.14.1. Злоумышленники используют эту уязвимость для установки различных вредоносных программ, включая майнеры криптовалют, ботнеты и даже маяки Cobalt Strike. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31
BitDefender -> Trojan.GenericKD.38255775
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ANF
Malwarebytes -> Ransom.Khonsari
Microsoft -> Ransom:MSIL/Khonsari.A
Rising -> Trojan.Generic/MSIL@AI.91 (RDM.MSIL:VRn24*
Symantec -> Ransom.Khonsari
Tencent -> Msil.Trojan.Encoder.Wsan
TrendMicro -> Ransom.MSIL.KHONSARI.YXBLN
---

© Генеалогия: публичные исходники низкого качества >> Khonsari

Этимология названия:
Вымогатели использовали чужую фамилию Khonsari для названия своей программы-вымогателя и чужую контактную информацию. Поэтому неясно, является ли этот Khonsari реальной жертвой атаки вымогателя или указан с какой-то целью. Упоминая семью Khonsari вымогатели могли иметь ввиду и других представителей фамилии, в том числе известного сценариста и режиссёра компьютерных игр Khonsari. Поиск в Google показывает немало людей с такой фамиией. Более того, название файла FecitAntiques.exe указывает на компанию в Луизиане (США). 



Сайт "ID Ransomware" идентифицирует это как Khonsari


Информация для идентификации

Активность этого крипто-вымогателя была в первой половине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .khonsari

Записка с требованием выкупа называется: HOW TO GET YOUR FILES BACK.TXT

Khonsari Ransomware note

Содержание записки о выкупе:

Your files have been encrypted and stolen by the Khonsari family.
If you wish to decrypt , call (225) 287-1309 or email karenkhonsari@gmail.com.
If you do not know how to buy btc, use a search engine to find exchanges.
DO NOT MODIFY OR DELETE THIS FILE OR ANY ENCRYPTED FILES. IF YOU DO, YOUR FILES MAY BE UNRECOVERABLE.
Your ID is:dmQLVm/tVhClQUxk8LP6***

Перевод записки на русский язык:
Ваши файлы зашифрованы и украдены семьей Хонсари.
Если вы хотите расшифровать, звоните (225) 287-1309 или email на  karenkhonsari@gmail.com.
Если вы не знаете, как купить биткойны, используйте поисковую систему для поиска бирж.
НЕ ИЗМЕНЯЙТЕ И НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ ИЛИ ЛЮБЫЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ. ЕСЛИ ВЫ ЭТО СДЕЛАЕТЕ, ВАШИ ФАЙЛЫ НЕВОЗМОЖНО БУДЕТ ВОССТАНОВИТЬ.
Ваш ID: dmQLVm/tVhClQUxk8LP6***

---
Кажется странным, что вымогатели не требуют ничего для себя, не дают никаких контактов для связи, чтобы пострадавшие могли заплатить выкуп и вернуть файлы. По этой причине программу-вымогатель уже назвали вайпером (wiper), который просто портит файлы. Но на самом деле злоумышленники имеют вполне определённые цели. 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Подробная информация о применении уязвимости Log4Shell и срабатывании, описана в статье Bitdefender

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ После запуска вредоносный файл перечислит все диски и зашифрует их полностью, кроме диска C:\. 

На диске C:\ будут зашифрованы только следующие пользовательские папки:
C:\Users\User\Documents
C:\Users\User\Videos
C:\Users\User\Pictures
C:\Users\User\Downloads
C:\Users\User\Desktop

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Файлы с расширениями .ini и .lnk игнорируются.

➤ Пытается установит майнер криптовалюты XMRig. По этой причине я отношу Khonsari к Cover-Ransomware (CRW, CRw). Я ввел в Дайджесте новое название "Cover-Ransomware" для программ-вымогателей, которые являются прикрытием для установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя подобным образом, уже были описаны в нашем Дайджесте, без выделения в отдельный вид. Другие Cover-Ransomware: CoronaVirus Ransomware, Sadogo Ransomware, ShadowCryptor Ransomware

Файлы, связанные с этим Ransomware:
HOW TO GET YOUR FILES BACK.TXT - название файла с требованием выкупа;
FecitAntiques.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\FecitAntiques.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Phone: (225) 287-1309
Email: karenkhonsari@gmail.com
URL: hxxx://3.145.115.94/Main.class
hxxx://3.145.115.94/zambo/groenhuyzen.exe
hxxx://3.145.115.94/zambos_caldo_de_p.txt
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 6ac57a1e090e7abdb9b7212e058c43c6
SHA-1: 0a1e239348a73b1a95ac1767c8afebe4b98cdeff
SHA-256: f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789
Vhash: 214036551511a082e60020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up, Topic of Support
 Ransomware Advisory: Log4Shell
 Thanks: 
 dnwls0719, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *