Если вы не видите здесь изображений, то используйте VPN.

понедельник, 10 января 2022 г.

Ukrainian Stage

Ukrainian Stage Ransomware

WhisperGate Ransomware

(фейк-шифровальщик, MBR-модификатор, деструктор) (первоисточник на русском)

Translation into English



Этот вымогатель атакует незащищенные компьютеры украинских организаций, а затем оставляет фальшивую записку о выкупе и изображение с сообщением на трех языках: 
украинском, русском и польском. На самом деле он перезаписывает MBR, чтобы оставить сообщение и перезаписвает некоторые файлы, чтобы навредить. Оригинальное название: в записке не указано. На файлах написано: stage1.exe, stage2.exe. 
---
Обнаружения:
DrWeb -> Trojan.KillMBR.24876
BitDefender -> Trojan.GenericKD.38544107
ESET-NOD32 -> Win32/KillMBR.NGI
Kaspersky -> HEUR:Trojan.Win32.DiskWriter.gen
Malwarebytes -> Trojan.KillMBR
Microsoft -> DoS:Win32/WhisperGate.X!dha
Rising -> Trojan.KillMBR!8.F58 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Trojan.Nmcb
TrendMicro -> Trojan.Win32.WHISPERGATE.YXCAQ
---
Обнаружения (файл Tbopbh.exe):
DrWeb -> Trojan.DownloaderNET.283
BitDefender -> Trojan.Downloader.JVGA
ESET-NOD32 -> MSIL/TrojanDownloader.Agent.KAT
Kaspersky -> HEUR:Trojan-Downloader.MSIL.PsDownload.gen
Malwarebytes -> Trojan.Downloader.MSIL.Generic
Microsoft -> DoS:Win32/WhisperGate.H!dha
Rising -> Trojan.KillMBR!8.F58 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan-downloader.Agent_agen.Dzam
TrendMicro -> Trojan.MSIL.WHISPERGATE.YXCAQ
---
Обнаружения:  
DrWeb -> Trojan.KillFiles2.611
BitDefender -> Trojan.GenericKD.38545812
ESET-NOD32 -> Win32/KillFiles.NKU
Kaspersky -> Trojan.Win32.Zapchast.baqq
Lionic -> Trojan.Win32.Zapchast.4!c
Microsoft -> DoS:Win32/WhisperGate.I!dha
Tencent -> Win32.Trojan.Zapchast.Pcsd
TrendMicro -> Trojan.MSIL.WHISPERGATE.YXCAQ
---

© Генеалогия: MBR-модификаторы >> Ukrainian Stage (
WhisperGate)


Сайт "ID Ransomware" это идентифицирует как WhisperGate


Информация для идентификации

Активность этого фейк-вымогателя была описана в начале января 2021 г. 
Выглядит плохо сделанным и политически мотивированным. Ориентирован на украинских пользователей, может распространяться по всему миру с единственной целью, чтобы рассказать (точнее: наврать) всем, как Россия атакует Украину. 

👉 Если от "этого", написанного на коленке MBR-модификатора, пострадали украинские компьютеры, то вместо антивирусной защиты у них используется, мягко говоря, влажная салфетка с антисептиком. Если говорить жестче, то каким выдающимся идиотом нужно быть, чтобы умудриться запустить "это" на компьютере, да еще и пострадать от "этого"? Даже без антивирусной защиты "это" не запускается. Нужно сначала испортить самозащиту Windows в ПК, чтобы "это" прошло все инстанции и смогло запуститься. 

Сообщение с фальшивым требованием выкупа написана на экране компьютера. Фальшивое оно потому, что после уплаты выкупа на кошелек вымогателей никакого восстановления файлов сделано не будет. Файлы невосстановимы, потому что перезаписаны фиксированным числом байтов 0xCC. 

Ukrainian Stage, WhisperGate Ransomware note



Содержание сообщения с фальшивым требованием выкупа:
Your hard drive has been corrupted.
In case you want to recover all hard drives of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
with your organization name.
We will contact you to give further instructions. 

Перевод сообщения на русский язык:
Ваш жесткий диск поврежден.
Если вы хотите вернуть все жесткие диски вашей организации,
Вы должны заплатить нам $10000 на биткойн-кошелек.
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv и отправить сообщение на tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
с именем вашей организации.
Мы напишем вам, чтобы дать еще инструкции. 


Другим информатором является изображение с текстом на трёх языках: 
украинском, русском и польском

Ukrainian Stage, WhisperGate Ransomware note

Українець! Всі ваші особисті дані були завантажені в загальну мережу. Всі дані на комп'ютері знищуються, відновити їх неможливо. Вся інформація про вас стала публічною, бійтеся і чекайте гіршого. Це Вам за ваше минуле, сьогодення і майбутнє. За Волинь, за ОУН УПА, за Галичину, за Полісся і за історичні землі.
---
Украинец! Все ваши личные данные были загружены в общую сеть. Все данные на компьютере уничтожаются, восстановить их невозможно. Вся информация о вас стала публичной, бойтесь и ждите худшего. Это Вам за ваше прошлое, настоящее и будущее. За Волынь, за ОУН УПА, за Галицию, за Полесье и за исторические земли.
---
Ukrainiec! Wszystkie Twoje dane osobowe zostały przesłane do wspólnej sieci, wszystkie dane na komputerze są niszczone, nie można ich odzyskać. Wszystkie informacje o Tobie stały się publiczne, bój się i czekaj na najgorsze. To dla Ciebie za twoją przeszłość, teraźniejszość i przyszłość. Za Wołyń, za OUN UPA, za Galicję, za Polesie i za historyczne ziemie. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Специалисты Microsoft установили, что вредоносная программ выполняет следующие операции. 

1) Первый файл stage1.exe перезаписывает MBR, чтобы отобразить фальшивую записку с требованием выкупа, т.к. не содержит никаких инструментов для восстановления файлов после уплаты выкупа. 
 
2) Второй файл stage2.exe загружает с помощью канала Discord другой вредоносный файл Tbopbh.jpg, который выполняет поиск целевых файлов по списку расширений и перезаписывает содержимое каждого целевого файла фиксированным числом байтов 0xCC (размер файла 1 МБ). 

3) После перезаписи содержимого деструктор переименовывает каждый файл с кажущимся случайным четырехбайтовым расширением. 

Список типов файлов, подвергающихся повреждению:
.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
RDhJ0CNFevzX\Desktop\nCozziuTazypAaLr.exe - случайное название вредоносного файла;
stage1.exe - название вредоносного файла;
stage2.exe - название вредоносного файла; 
Tbopbh.jpg (Tbopbh.exe) - название вредоносного файла. 
stage2.exe -> Tbopbh.jpg

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv
TOX ID: 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 5d5c99a08a7d927346ca2dafa7973fc1
SHA-1: 189166d382c73c242ba45889d57980548d4ba37e
SHA-256: a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92
Vhash: 0240876d55155c0d5d1d1az1502=z
Imphash: 3a2a2de20daa74d8f6921230416ed4e6
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 14c8482f302b5e81e3fa1b18a509289d
SHA-1: 16525cb2fd86dce842107eb1ba6174b23f188537
SHA-256: dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78
Vhash: 22503655151e083440010
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: b3370eb3c5ef6c536195b3bea0120929
SHA-1: b2d863fc444b99c479859ad7f012b840f896172e
SHA-256: 923eb77b3c9e11d6c56052318c119c1a22d11ab71675e6b95d05eeb73d1accd6

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up
 * 
 Thanks: 
 Microsoft TIC, Bleeping Computer, Dmitry Bestuzhev
 Andrew Ivanov (article author)
 Jiří Vinopal
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

***

Неожиданный или, скорее, вполне Ожидаемый поворот...

Пять лет назад Украина и США обвинили в атаке Petya Ransomware на Украину... кого вы думаете?... ну, конечно, же Россию и россиян. Список виноватых и подробности их "вины" описаны после основной статьи о Petya Ransomware

Прошли годы, теперь некие украинские организации запуганы новой атакой с использованием написанной на коленке программы, которая преподносится как страшная угроза, исходящая из России. И подтверждением тому выступают официальные украинские сайты. Текст с одного их них я привожу ниже. 

Следущий URL-адрес ведёт на сайт с громким названием "Міністерство та Комітет цифрової трансформації України" (Министерство и Комитет цифровой трансформации Украины). 
hxxxs://thedigital.gov.ua/news/rosiya-mae-namir-zniziti-doviru-do-vladi-feykami-pro-vrazlivist-kritichnoi-informatsiynoi-infrastrukturi-ta-zliv-danikh-ukraintsiv

В чьёй голове созрела "идея" использовать слово "трансформация" в названии министерства-комитета? Ну, да ладно... 

Привожу текст оттуда полностью. Скриншоты его подтверждают. 





Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив» даних українців

Держспецзв'язку разом із СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади.
Станом на зараз можна сказати, що всі докази вказують на те, що за кібератакою стоїть Росія. Москва продовжує вести гібридну війну та активно нарощує сили в інформаційному та кіберпросторах. 

Найчастіше кібервійська Росії працюють проти США та України, намагаючись за допомогою технологій похитнути політичну ситуацію. Остання кібератака — один із проявів гібридної війни Росії проти України, яка триває з 2014 року. 

Її ціль — не тільки залякати суспільство. А дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору та підірвавши довіру до влади з боку українців. Цього вони можуть досягти, вкинувши в інфопростір фейки про вразливість критичної інформаційної інфраструктури та про «злив» персональних даних українців.

Зазначимо, що Дія не зберігає персональні дані українців. Усі вони розміщені у відповідних реєстрах, які надійно захищені. Застосунок є тільки «мостом» між інформацією з держреєстрів та користувачем.

Наприклад, уся медична інформація, зокрема дані для генерування СOVID-сертифікатів, розміщена в Електронній системі охорони здоров'я. Дані про РНОКПП зберігаються в реєстрі Державної податкової служби. А демографічні дані — у Єдиному державному демографічному реєстрі. І так далі.

Тому закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити нібито персональні дані є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року.

Поле бою за безпеку та саме існування нашої держави лежить у декількох площинах — військовій, дипломатичній, історичній, а тепер ще й у цифровій. Тому українські кіберспеціалісти мають об'єднатися, щоб протистояти загрозі та нейтралізувати противника.


Гугл-переводчик так переводит украинскую мову на русский язык:

Россия намерена снизить доверие к власти фейками об уязвимости критической информационной инфраструктуры и «слив» данных украинцев

Госспецсвязи вместе с СБУ и Киберполицией продолжает расследовать кибератаку на сайты органов государственной власти.
На сегодняшний день можно сказать, что все доказательства указывают на то, что за кибератакой стоит Россия. Москва продолжает вести гибридную войну и активно наращивает силы в информационном и киберпространстве.

Чаще кибервойска России работают против США и Украины, пытаясь с помощью технологий поколебать политическую ситуацию. Последняя кибератака – одно из проявлений гибридной войны России против Украины, которая продолжается с 2014 года.

Ее цель – не только запугать общество. А дестабилизировать ситуацию в Украине, остановив работу государственного сектора и взорвав доверие к власти со стороны украинцев. Этого они могут достичь, бросив в инфопространство фейки об уязвимости критической информационной инфраструктуры и о «сливе» персональных данных украинцев.

Отметим, что действие не хранит персональные данные украинцев. Все они размещены в соответствующих реестрах, надежно защищенных. Приложение является только «мостом» между информацией из госреестров и пользователем.

К примеру, вся медицинская информация, в частности данные для генерирования СOVID-сертификатов, размещена в Электронной системе здравоохранения. Данные о РНОКПП хранятся в реестре Государственной налоговой службы. А демографические данные – в Едином государственном демографическом реестре. И так дальше.

Поэтому призываем украинцев не поддаваться панике. Все персональные данные находятся под надежной защитой в госреестрах. А объявления о возможности купить персональные данные являются аферой: мошенники продают старые данные, скомплектованные из многих источников, которые были слиты до 2019 года.

Поле боя за безопасность и само существование нашего государства лежит в нескольких плоскостях — военной, дипломатической, исторической, а теперь еще и цифровой. Поэтому украинские киберспециалисты объединятся, чтобы противостоять угрозе и нейтрализовать противника.

---
Комментарии тут, как говорится, излишни... 
Да и сама вредоносная программа выглядит как домашняя заготовка политизированных украинских вирусописателей. 


пятница, 7 января 2022 г.

WaspLocker

WaspLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: CacheTask.exe. Использует библиотеку Microsoft Visual C/C++ . 
--- 
Обнаружения:
DrWeb -> Trojan.Encoder.34870
BitDefender -> Trojan.GenericKD.38473377
ESET-NOD32 -> A Variant Of Win32/Kryptik.HNYH
Malwarebytes -> Trojan.MalPack.GS
Microsoft -> Trojan:Win32/Raccoon.DG!MTB
Rising -> Malware.Heuristic!ET#90% (RDMK:cmR*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Trojan.Skoe
TrendMicro -> Ransom_Encoder.R002C0WAA22
---

© Генеалогия: ??? >> WaspLocker


Сайт "ID Ransomware" WaspLocker пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляются расширения: 
.0.locked
.locked

Записка с требованием выкупа называется: How to restore your files.txt

WaspLocker Ransomware note

Содержание записки о выкупе: 
All of your files have been encrypted. Your computer was infected  with a ransomware virus. Your files have been encrypted and you  won't be able to decrypt them without our help. 
What can I do to get my files back? 
You can buy our special decryption software,this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is 0.5 BTC.
Payment can be made in Bitcoin only. 
How do I pay, where do I get Bitcoin? 
Purchasing Bitcoin varies from country to country,you are best advised to do a quick google search yourself to find how to buy Bitcoin? 
Many of our customers have reported these sites to be fast and reliable :
Coinmama - https://www.coinmama.com 
Bitpanda - https://www.bitpanda.com 
Contacts - addressesupcr@protonmail.com
BTC Address: bc1qnwdt2068q2asdxa9etz4epu44pf4z98m7e28l2

Перевод записки на русский язык:
Все ваши файлы зашифрованы. Ваш компьютер заражен вирусом-вымогателем. Ваши файлы зашифрованы, и вы не сможете расшифровать их без нашей помощи.
Что я могу сделать, чтобы вернуть свои файлы?
Вы можете купить нашу специальную программу для расшифровки, эта программа позволит вам восстановить все ваши данные и удалить программу-вымогатель с вашего компьютера. Цена на программу 0.5 BTC.
Оплатить можно только в биткойнах.
Как я могу заплатить, где я могу получить биткойн?
Покупка биткойнов варьируется от страны к стране, вам лучше всего выполнить быстрый поиск в Google, чтобы найти, как купить биткойн?
Многие из наших клиентов сообщают, что эти сайты работают быстро и надежно:
Coinmama - https://www.coinmama.com
Битпанда - https://www.bitpanda.com
Контакты - addressesupcr@protonmail.com
Адрес BTC: bc1qnwdt2068q2asdxa9etz4epu44pf4z98m7e28l2


Аналогичная записка с требованием выкупа написана также на экране блокировки: 

WaspLocker Ransomware locker

Содержание текста о выкупе:
Good Luck!
All of your files have been encrypted. Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.
What can I do to get my files back?
You can buy our special decryption software,this software will  allow you to recover all of your data and remove the ransomware  from your computer.The price for the software is 0.5 BTC. 
Payment can be made in Bitcoin only.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country,you are best advised to do a quick google search yourself to find how to buy Bitcoin? 
Many of our customers have reported these sites to be fast and reliable :
Coinmama - https://www.coinmama.com
Bitpanda - https://www.bitpanda.com
Contacts - addressesupcr@protonmail.com
BTC Address: bc1qnwdt2068q2asdxa9etz4epu44pf4z98m7e28l2
***

Перевод записки на русский язык:
см. выше, почти тоже самое. 


Другим информатором жертвы является изображение, заменяющее обои Рабочего стола. Текст намного короче, есть email для связи. 

WaspLocker Ransomware wallpaper




Сообщение на изображении, заменяющем обои Рабочего стола: 

Congratulations. All of your files have been encrypted. Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.
Please Contacts : addressesupcr@protonmail.com


Еще одно сообщение от вымогателей: 
Congratulations, your files have been lost forever!!!



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 





Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to restore your files.txt - название файла с требованием выкупа;
CacheTask.exe - название вредоносного файла; 
cobra.exe - название вредоносного файла; 
winpower.exe - название вредоносного файла; 
crypt.dll, leo.dll - названия вредоносных dll-файлов; 
desktop.kew - файл ключей;
pukey.kew - файл ключей. 
CacheTask.exe > cobra.exe


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\projects\Wasp\Cobra\Wasp\Release\1.pdb
C:\projects\Wasp\leo\Release\leo.pdb
C:\Users\User\AppData\Local\Temp\a2768bd2301f387a40cd9cbf.exe
C:\Users\User\AppData\Local\Temp\CacheTask.exe
C:\Users\Public\Desktop\Wasp.lnk
C:\Users\Public\Documents\cobra.exe
C:\Users\Public\Documents\crypt.dll
C:\Users\Public\Documents\winpower.exe
C:\Users\Public\Documents\desktop.kew
C:\Users\Public\Documents\pukey.kew



Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: addressesupcr@protonmail.com
BTC: 
bc1qnwdt2068q2asdxa9etz4epu44pf4z98m7e28l2
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: c004d38310f828f384f4360591b2c090
SHA-1: 65c38148bbba7114556aab0d1aeb05d419fa590f
SHA-256: a2768bd2301f387a40cd9cbfea05af2f5a68791dce758e5ba9db29ff29e74f57
Vhash: 017056655d5565611012z6400aa6z220f5zb0700e43z19z
Imphash: 8a6efc993df2dc218d77161de14dbc04

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CABP

CABP Ransomware

(тест-шифровальщик, не вымогатель) (первоисточник)
Translation into English


CABP Ransomware

Этот крипто-вымогатель шифрует данные, а затем предлагает бесплатно вернуть файлы. Оригинальное название: CABP Ransomware, указано в записке и на экране. На файле написано: CABPRansom.exe. Используется язык программирования Python. 
---
Обнаружения:
DrWeb -> Python.Encoder.51
BitDefender -> ***
ESET-NOD32 -> Python/Filecoder.JS
Kaspersky -> Trojan-Ransom.Win32.Crypren.aimw
Malwarebytes -> Ransom.FileLocker
Microsoft -> Ransom:Win32/Zudochka!MSR
Rising -> Trojan.Generic@AI.100 (RDML:psHMwmcvb
Tencent -> Win32.Trojan-Ransom.Crypren.Wmhl
TrendMicro -> Ransom_Zudochka.R002C0DI423
---

© Генеалогия: родство выясняется >> 
CABP


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2022 г. Сделана корейским программистом. Ориентирован на англоязычных пользователей, ничего неизвестно о распространении по всему миру.

К зашифрованным файлам добавляется расширение: .CABPRANSOM_ENCRYPTED

Записка с требованием выкупа написана на экране блокировки (или это диалоговое окно): 



Содержание записки о выкупе:

CABP RANSOMWARE
What happened to my computer?
-Your almost all files were encrypted.
Can I decrypt?
-Yes, but you have to get the key...
How can I get the key?
-Go to the linked website, and find the key.
-site: https://blog.naver.com/hayunjung7/222610893130
WARNING!
-If you dose this window, you can't decrypt your files!!
-If it happens, even I CANT help you.


Ransomware key_test:
TKvbePg0OUfPmb8BhOtrA7SLhNGFfKBGs_SNc3U9j_0




Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CABPRansom.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, BA
MD5: 349e15ac0a603a0198659ad8573e033f
SHA-1: 91c49904770bf51c2d9aa9b22f8edde391e5493f
SHA-256: 42c15f08acda9e26c6745c3d12418280c49a3524846a547e3125a665cb4e5d2b
Vhash: 037056656d1515604013z3005emz11fz
Imphash: 9fe8e00eeba328f6525854af87203005


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: JAMESWT Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 6 января 2022 г.

Chinese Coffee

Chinese Coffee Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Chinese Coffee

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # ZEC (криптовалюта Zcash), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения на файлы февраля 2022:
DrWeb -> Trojan.Siggen17.8190
BitDefender -> Trojan.GenericFCA.Agent.31992
ESET-NOD32 -> не обнаруживает
Kaspersky -> не обнаруживает
Malwarebytes -> не обнаруживает
Microsoft -> TrojanSpy:MSIL/Stealer!MSR
Rising -> не обнаруживает
Symantec -> не обнаруживает
Tencent -> не обнаруживает
TrendMicro -> не обнаруживает
---
DrWeb -> BackDoor.SiggenNET.37
BitDefender -> Trojan.GenericKD.48377584
ESET-NOD32 -> MSIL/Agent.VDN
Kaspersky -> HEUR:Trojan.MSIL.Agentb.gen
Malwarebytes -> Trojan.Agent
Microsoft -> Trojan:MSIL/Dllinject!MSR
Rising -> не обнаруживает
Symantec -> Downloader, Trojan.Gen.MBT
Tencent -> Win32.Trojan.Ransome.Eiwp
TrendMicro -> Ransom.MSIL.CHINESECOFFEE.THBBABB
---
BitDefender -> Gen:Variant.Ransom.Tedy.69
ESET-NOD32 -> MSIL/Agent.VDP, A Variant Of MSIL/Agent.VDP
Kaspersky -> HEUR:Trojan.MSIL.Crypt.gen
Microsoft -> TrojanSpy:MSIL/Stealer!MSR
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Ransome.Andy, Win32.Trojan.Ransome.Drsj
TrendMicro -> TROJ_GEN.R023H09BI22, TROJ_GEN.R002H09BH22
---

© Генеалогия: предыдущие >> Chinese Coffee


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2022 г. Ориентирован на китайскоязычных пользователей, распространяется в Китае.

К зашифрованным файлам добавляется расширение: .coffee

Фактически используется составное расширение по шаблону: filename.coffee.xxxx.extension

Пример зашифрованного файла: document2021.coffee.1cMg.pdf

Chinese Coffee Ransomware

Записка с требованием выкупа называется: 请阅读我.RSA.txt

Chinese Coffee Ransomware, note

Содержание записки о выкупе:

简单说明:你的文件被加密了,需要付费找回。
操作指南:
==================================================
基于IPFS发布,速度略慢,根据网速,自行选择下面任一网址:
hxxx://ipfs.cf-ipfs.com/ipns/help.none.sbs/help.pdf
hxxxs://ipfs.fleek.co/ipns/help.none.sbs/help.pdf
hxxx://help.none.sbs.ipns.cf-ipfs.com/help.pdf
hxxxs://gateway.pinata.cloud/ipns/help.none.sbs/help.pdf
hxxx://dweb.link/ipns/help.none.sbs/help.pdf
hxxxs://help.none.sbs.ipns.ipfs.overpi.com/help.pdf
注意:解密工具长久有效,如遇临时离线,无法使用,请改个时候再试即可。
友情提醒:
1、不要修改被加密后的文件名,否则文件将无法恢复。
2、赎金采用数字货币支付,而数字货币三大交易所将在2021年12月底前关闭对中国区的服务,从交易所购买数字货币的动作请抓紧。
3、缴费过程涉及多个环节,需要时间,现在所剩时间不多,必须马上行动,耽搁不得!
4、若错过交易所渠道购币,可参考在线帮助附件2方法购买数字货币ZEC,准备赎金。
抱歉给您带来麻烦!祝未来一切顺利!
------解密所需信息,请留存--------
待解密密码:
XxxxK06ymMtsmWqUs5vLmoDCaacbNWdGNg7NYZxP/myH3YiLtv2BXrTGfMmSLuneVONI81+b9yyxY4nPvcvCjwbcxgyAiIRfjjlSIVmgUarhaNBU47tMcMauzoS/g3KCKiZGs8ektvcWRxFLwszAYzmNWb7fuIgTwkFJE+AkPUU=

Перевод записки на русский язык:
Объяснение: ваши файлы зашифрованы и вам нужно заплатить, чтобы вернуть их.
Руководство:
==================================================
В зависимости от версии IPFS скорость немного ниже, поэтому выберите любой из следующих URL-адресов:
hxxx://ipfs.cf-ipfs.com/ipns/help.none.sbs/help.pdf
hxxxs://ipfs.fleek.co/ipns/help.none.sbs/help.pdf
hxxx://help.none.sbs.ipns.cf-ipfs.com/help.pdf
hxxxs://gateway.pinata.cloud/ipns/help.none.sbs/help.pdf
hxxx://dweb.link/ipns/help.none.sbs/help.pdf
hxxxs://help.none.sbs.ipns.ipfs.overpi.com/help.pdf

Примечание. Инструмент расшифровки действует в течение длительного времени. Если он временно недоступен и не может быть использован, попробуйте еще раз в другое время.
Дружеское напоминание:
1. Не изменяйте имя зашифрованного файла, иначе файл не будет восстановлен.
2. Выкуп выплачивается в цифровой валюте, и три основные биржи цифровых валют закроют свои услуги в Китае к концу декабря 2021 года. Пожалуйста, поторопитесь приобрести цифровую валюту на биржах.
3. Процесс оплаты проходит по множеству звеньев и требует времени, времени осталось немного, поэтому действовать нужно немедленно, не откладывая!
4. Если вы пропустите канал обмена для покупки монет, вы можете обратиться к онлайн-помощи Приложение 2, чтобы купить криптовалюту ZEC и подготовиться к выкупу.
Извините за беспокойство! Всего наилучшего в будущем!
------ Информация для расшифровки, пожалуйста, сохраните ее -------
Пароль для расшифровки:
***

Скриншоты и краткое содержание руководства:

Предлагается: 
- загрузить и установить ПО Zecwallet Lite для использования криптовалюты ZEC;
- купить нужное количество криптовалюты ZEC и заплатить выкуп этими монетами; 
- ввести в дешифровщик номер транзакции перечисленного выкупа и запустить его. 

Chinese Coffee Ransomware, guide 

 

 

 





Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Согласно обнаружениям антивирусных движков содержит криптомайнер. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
请阅读我.RSA.txt - название файла с требованием выкупа; 
Updater.exe, csrts.exe - названия вредоносных файлов; 
AppUnion.dll, Myou.dll - названия вредоносных файлов; 
AppUnion.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
ZEC: zs1rwqlxjhjaya307y2ejydheq09cvhj2p4ssgnwcv2apqvryh5e48jt29sr9uy3s3tek3s2e4u6l4
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: aa877144edcef2e8d5a8d37d7ea0d4b6
SHA-1: 865fe61d037b67841c36468a9e7af15656621abc
SHA-256: 3dca9bd1af28bbf348c0562475edd60de2b5a2424e586eaf118909b013054eee
Vhash: 25503675551360ff6e3513bd2c
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 313bc92dce801c2ec316c57ea74dd92a
SHA-1: dd13b2799a9ecea34c29aeffba8ffee5a85d10c6
SHA-256: 467e0dce7deac627f86ce46aa0ec23b0265da45dc85564a71cf10bf676f84a6f
Vhash: 33403655151120941d152060
Imphash: dae02f32a21e03ce65412f6e56942daa
---
Дополнительные IOC: VT:
MD5: 66996144cacadce3f9e98cff879055c6
MD5: 2073bcb8bc4a98abf73da271507802c4
MD5: a46b5c34adc2d45bafa9349072989979
MD5: 15be04b770315622bc49409462c93bfe


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message + myMessage + Message
 Write-up, Topic of Support
 * 
Внимание! 
Файлы может расшифровать 360 Ransomware Decryption Tools
Ссылка на загрузку:
http://www.360totalsecurity.com/en/download-free-antiransomware/decryption-tool/
 Thanks: 
 xiaopao, Jirehlov Solace, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *