Ukrainian Stage Ransomware
WhisperGate Ransomware
(фейк-шифровальщик, MBR-модификатор, деструктор) (первоисточник на русском)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.KillMBR.24876
BitDefender -> Trojan.GenericKD.38544107
ESET-NOD32 -> Win32/KillMBR.NGI
Kaspersky -> HEUR:Trojan.Win32.DiskWriter.gen
Malwarebytes -> Trojan.KillMBR
Microsoft -> DoS:Win32/WhisperGate.X!dha
Rising -> Trojan.KillMBR!8.F58 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Trojan.Nmcb
TrendMicro -> Trojan.Win32.WHISPERGATE.YXCAQ
Обнаружения:
DrWeb -> Trojan.KillMBR.24876
BitDefender -> Trojan.GenericKD.38544107
ESET-NOD32 -> Win32/KillMBR.NGI
Kaspersky -> HEUR:Trojan.Win32.DiskWriter.gen
Malwarebytes -> Trojan.KillMBR
Microsoft -> DoS:Win32/WhisperGate.X!dha
Rising -> Trojan.KillMBR!8.F58 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Trojan.Nmcb
TrendMicro -> Trojan.Win32.WHISPERGATE.YXCAQ
---
Обнаружения (файл Tbopbh.exe):
DrWeb -> Trojan.DownloaderNET.283
BitDefender -> Trojan.Downloader.JVGA
ESET-NOD32 -> MSIL/TrojanDownloader.Agent.KAT
Kaspersky -> HEUR:Trojan-Downloader.MSIL.PsDownload.gen
Malwarebytes -> Trojan.Downloader.MSIL.Generic
Microsoft -> DoS:Win32/WhisperGate.H!dha
Rising -> Trojan.KillMBR!8.F58 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan-downloader.Agent_agen.Dzam
TrendMicro -> Trojan.MSIL.WHISPERGATE.YXCAQ
---Обнаружения:
DrWeb -> Trojan.KillFiles2.611
BitDefender -> Trojan.GenericKD.38545812
ESET-NOD32 -> Win32/KillFiles.NKU
Kaspersky -> Trojan.Win32.Zapchast.baqq
Lionic -> Trojan.Win32.Zapchast.4!c
Microsoft -> DoS:Win32/WhisperGate.I!dha
Tencent -> Win32.Trojan.Zapchast.Pcsd
TrendMicro -> Trojan.MSIL.WHISPERGATE.YXCAQ
---
© Генеалогия: MBR-модификаторы >> Ukrainian Stage (WhisperGate)
© Генеалогия: MBR-модификаторы >> Ukrainian Stage (WhisperGate)
Активность этого фейк-вымогателя была описана в начале января 2021 г.
Выглядит плохо сделанным и политически мотивированным. Ориентирован на украинских пользователей, может распространяться по всему миру с единственной целью, чтобы рассказать (точнее: наврать) всем, как Россия атакует Украину.
👉 Если от "этого", написанного на коленке MBR-модификатора, пострадали украинские компьютеры, то вместо антивирусной защиты у них используется, мягко говоря, влажная салфетка с антисептиком. Если говорить жестче, то каким выдающимся идиотом нужно быть, чтобы умудриться запустить "это" на компьютере, да еще и пострадать от "этого"? Даже без антивирусной защиты "это" не запускается. Нужно сначала испортить самозащиту Windows в ПК, чтобы "это" прошло все инстанции и смогло запуститься.
Сообщение с фальшивым требованием выкупа написана на экране компьютера. Фальшивое оно потому, что после уплаты выкупа на кошелек вымогателей никакого восстановления файлов сделано не будет. Файлы невосстановимы, потому что перезаписаны фиксированным числом байтов 0xCC.
Содержание сообщения с фальшивым требованием выкупа:
Your hard drive has been corrupted.
In case you want to recover all hard drives of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
with your organization name.
We will contact you to give further instructions.
Перевод сообщения на русский язык:
Ваш жесткий диск поврежден.
Если вы хотите вернуть все жесткие диски вашей организации,
Вы должны заплатить нам $10000 на биткойн-кошелек.
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv и отправить сообщение на tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
с именем вашей организации.
Мы напишем вам, чтобы дать еще инструкции.
Українець! Всі ваші особисті дані були завантажені в загальну мережу. Всі дані на комп'ютері знищуються, відновити їх неможливо. Вся інформація про вас стала публічною, бійтеся і чекайте гіршого. Це Вам за ваше минуле, сьогодення і майбутнє. За Волинь, за ОУН УПА, за Галичину, за Полісся і за історичні землі.
---
Украинец! Все ваши личные данные были загружены в общую сеть. Все данные на компьютере уничтожаются, восстановить их невозможно. Вся информация о вас стала публичной, бойтесь и ждите худшего. Это Вам за ваше прошлое, настоящее и будущее. За Волынь, за ОУН УПА, за Галицию, за Полесье и за исторические земли.
---
Ukrainiec! Wszystkie Twoje dane osobowe zostały przesłane do wspólnej sieci, wszystkie dane na komputerze są niszczone, nie można ich odzyskać. Wszystkie informacje o Tobie stały się publiczne, bój się i czekaj na najgorsze. To dla Ciebie za twoją przeszłość, teraźniejszość i przyszłość. Za Wołyń, za OUN UPA, za Galicję, za Polesie i za historyczne ziemie.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся повреждению:
.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Специалисты Microsoft установили, что вредоносная программ выполняет следующие операции.
1) Первый файл stage1.exe перезаписывает MBR, чтобы отобразить фальшивую записку с требованием выкупа, т.к. не содержит никаких инструментов для восстановления файлов после уплаты выкупа.
2) Второй файл stage2.exe загружает с помощью канала Discord другой вредоносный файл Tbopbh.jpg, который выполняет поиск целевых файлов по списку расширений и перезаписывает содержимое каждого целевого файла фиксированным числом байтов 0xCC (размер файла 1 МБ).
3) После перезаписи содержимого деструктор переименовывает каждый файл с кажущимся случайным четырехбайтовым расширением.
Список типов файлов, подвергающихся повреждению:
.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
RDhJ0CNFevzX\Desktop\nCozziuTazypAaLr.exe - случайное название вредоносного файла;
stage1.exe - название вредоносного файла;
stage2.exe - название вредоносного файла; Tbopbh.jpg (Tbopbh.exe) - название вредоносного файла.
stage2.exe -> Tbopbh.jpg
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv
TOX ID: 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 5d5c99a08a7d927346ca2dafa7973fc1
SHA-1: 189166d382c73c242ba45889d57980548d4ba37e
SHA-256: a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92
Vhash: 0240876d55155c0d5d1d1az1502=z
Imphash: 3a2a2de20daa74d8f6921230416ed4e6
---
MD5: 14c8482f302b5e81e3fa1b18a509289d
SHA-1: 16525cb2fd86dce842107eb1ba6174b23f188537
SHA-256: dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78
Vhash: 22503655151e083440010
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Write-up *
Thanks: Microsoft TIC, Bleeping Computer, Dmitry Bestuzhev Andrew Ivanov (article author) Jiří Vinopal to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
***
Неожиданный или, скорее, вполне Ожидаемый поворот...
Пять лет назад Украина и США обвинили в атаке Petya Ransomware на Украину... кого вы думаете?... ну, конечно, же Россию и россиян. Список виноватых и подробности их "вины" описаны после основной статьи о Petya Ransomware.
Прошли годы, теперь некие украинские организации запуганы новой атакой с использованием написанной на коленке программы, которая преподносится как страшная угроза, исходящая из России. И подтверждением тому выступают официальные украинские сайты. Текст с одного их них я привожу ниже.
Следущий URL-адрес ведёт на сайт с громким названием "Міністерство та Комітет цифрової трансформації України" (Министерство и Комитет цифровой трансформации Украины).
hxxxs://thedigital.gov.ua/news/rosiya-mae-namir-zniziti-doviru-do-vladi-feykami-pro-vrazlivist-kritichnoi-informatsiynoi-infrastrukturi-ta-zliv-danikh-ukraintsiv
В чьёй голове созрела "идея" использовать слово "трансформация" в названии министерства-комитета? Ну, да ладно...
Привожу текст оттуда полностью. Скриншоты его подтверждают.
Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «злив» даних українців
Держспецзв'язку разом із СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади.
Станом на зараз можна сказати, що всі докази вказують на те, що за кібератакою стоїть Росія. Москва продовжує вести гібридну війну та активно нарощує сили в інформаційному та кіберпросторах.
Найчастіше кібервійська Росії працюють проти США та України, намагаючись за допомогою технологій похитнути політичну ситуацію. Остання кібератака — один із проявів гібридної війни Росії проти України, яка триває з 2014 року.
Її ціль — не тільки залякати суспільство. А дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору та підірвавши довіру до влади з боку українців. Цього вони можуть досягти, вкинувши в інфопростір фейки про вразливість критичної інформаційної інфраструктури та про «злив» персональних даних українців.
Зазначимо, що Дія не зберігає персональні дані українців. Усі вони розміщені у відповідних реєстрах, які надійно захищені. Застосунок є тільки «мостом» між інформацією з держреєстрів та користувачем.
Наприклад, уся медична інформація, зокрема дані для генерування СOVID-сертифікатів, розміщена в Електронній системі охорони здоров'я. Дані про РНОКПП зберігаються в реєстрі Державної податкової служби. А демографічні дані — у Єдиному державному демографічному реєстрі. І так далі.
Тому закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити нібито персональні дані є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року.
Поле бою за безпеку та саме існування нашої держави лежить у декількох площинах — військовій, дипломатичній, історичній, а тепер ще й у цифровій. Тому українські кіберспеціалісти мають об'єднатися, щоб протистояти загрозі та нейтралізувати противника.
Гугл-переводчик так переводит украинскую мову на русский язык:
Россия намерена снизить доверие к власти фейками об уязвимости критической информационной инфраструктуры и «слив» данных украинцев
Госспецсвязи вместе с СБУ и Киберполицией продолжает расследовать кибератаку на сайты органов государственной власти.
На сегодняшний день можно сказать, что все доказательства указывают на то, что за кибератакой стоит Россия. Москва продолжает вести гибридную войну и активно наращивает силы в информационном и киберпространстве.
Чаще кибервойска России работают против США и Украины, пытаясь с помощью технологий поколебать политическую ситуацию. Последняя кибератака – одно из проявлений гибридной войны России против Украины, которая продолжается с 2014 года.
Ее цель – не только запугать общество. А дестабилизировать ситуацию в Украине, остановив работу государственного сектора и взорвав доверие к власти со стороны украинцев. Этого они могут достичь, бросив в инфопространство фейки об уязвимости критической информационной инфраструктуры и о «сливе» персональных данных украинцев.
Отметим, что действие не хранит персональные данные украинцев. Все они размещены в соответствующих реестрах, надежно защищенных. Приложение является только «мостом» между информацией из госреестров и пользователем.
К примеру, вся медицинская информация, в частности данные для генерирования СOVID-сертификатов, размещена в Электронной системе здравоохранения. Данные о РНОКПП хранятся в реестре Государственной налоговой службы. А демографические данные – в Едином государственном демографическом реестре. И так дальше.
Поэтому призываем украинцев не поддаваться панике. Все персональные данные находятся под надежной защитой в госреестрах. А объявления о возможности купить персональные данные являются аферой: мошенники продают старые данные, скомплектованные из многих источников, которые были слиты до 2019 года.
Поле боя за безопасность и само существование нашего государства лежит в нескольких плоскостях — военной, дипломатической, исторической, а теперь еще и цифровой. Поэтому украинские киберспециалисты объединятся, чтобы противостоять угрозе и нейтрализовать противника.
---
Комментарии тут, как говорится, излишни...
Да и сама вредоносная программа выглядит как домашняя заготовка политизированных украинских вирусописателей.