FarAttack

FarAttack Ransomware

MedusaLocker3 Ransomware

Aliases: Bomani, BomCrypt, NewBomani, IThelp02, IThelp01, IThelp07, Marlock, Chipslock, Chuklock, Allock, Olsavelock, Itlock, Busavelock, Doctorhelp et al.

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателей, войти в чат на их сайте, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: FarAttack. На файле написано: bomani.exe. Это еще одна группа вымогателей с открытой антироссийской  направленностью и, по всей видимости, из Украины. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34892, Trojan.Encoder.34618
BitDefender -> Trojan.GenericKD.38755353
ESET-NOD32 -> A Variant Of Win32/Filecoder.OFO
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.AI.3271840011
Microsoft -> Ransom:Win32/BomCrypt.MK!MTB
Rising -> Ransom.HelpYou!1.D28C (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Dxmw
TrendMicro -> Ransom_BomCrypt.R067C0DAM22
---

© Генеалогия: Balaclava > FarAttack

© Генеалогия:  ✂ GlobeImposter, MedusaLocker > FarAttack (MedusaLocker3)

Важное замечание от Demonslay335 >>>

Сайт "ID Ransomware" это отдельно пока отдельно не идентифицирует.

Но некоторые варианты с ID в формате Base64 с конца 2022 и с начала 2023 идентифицируются как MedusaLocker3, в подгруппе MedusaLocker. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2022 г. и продолжилась в последующие месяцы. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Вымогатели используют различные обманные способы, например, берут элементы из других вымогательских программ, тасуют фрагменты и артефакты, как карты в колоде. В частности используют payload от MedusaLocker. То есть делают всё возможное, чтобы затруднить анализ и антивирусное обнаружение, сделать его ложным и/или бесполезным. 

Более того, известно, что в шифровании закрытого ключа используется фраза, направленная против президента России Путина В.В., а значит, распространяется этот ransomware враждебно настроенными злоумышленниками.  

К зашифрованным файлам добавляется расширение: .farattack

Записка с требованием выкупа называется: How_to_recovery.txt

Содержание записки о выкупе:

68F56EA7B89D377BC3CFC8B3E865*** (всего 1618 знаков)

Contact us for price and get decryption software. 

Note that this server is available via Tor browser only Follow the instructions to open the link:

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion 

1. Type the addres "https://www.torproject.org" in your Internet browser. It opens the Tor site.  

2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it. 

3. Now you have Tor browser. In the Tor Browser open qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

4. Start a chat and follow the further instructions. 

If you can not use the above link, use the email: 

ithelp02@decorous.cyou

ithelp02@wholeness.business

* To contact us, create a new free email account on the site: protonmail.com 

IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

 

Перевод записки на русский язык:

68F56EA7B89D377BC3CFC8B3E865*** (всего 1618 знаков)

Напишите нам, чтобы узнать цену и получить программу для расшифровки.

Заметьте, что этот сервер доступен только через браузер Tor. Следуйте инструкциям, чтобы открыть ссылку:

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

1. Введите адрес "https://www.torproject.org" в своем интернет-браузере. Он открывает сайт Tor.

2. Нажмите "Скачать Tor", затем нажмите "Скачать Tor Browser Bundle", установите и запустите его.

3. Теперь у вас есть браузер Tor. В браузере Tor откройте qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

4. Начните чат и следуйте инструкциям.

Если вы не можете использовать ссылку выше, используйте email:

ithelp02@decorous.cyou

ithelp02@wholeness.business

* Для связи с нам создайте новый бесплатный аккаунт email на сайте: protonmail.com

ЕСЛИ ВЫ НЕ НАПИШИТЕ НАМ ЗА 72 ЧАСА, ЦЕНА БУДЕТ ВЫШЕ.

Скриншот начальной страницы сайта вымогателей

Здесь от пострадавшего требуется ввести свой email и полученный ID. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов. Добавляется в Автозагрузку системы. Очищает системные журналы. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_to_recovery.txt - название файла с требованием выкупа;
d9b7n19y8.dll, bomani.exe - примеры названий вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion 

Email: ithelp02@decorous.cyou, ithelp02@wholeness.business

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1c021f42e3a138060e1d298726d1579f

SHA-1: 54e3384fb68fde6fc711491e8072781e3910156a

SHA-256: 9c73dc281f90a01ff3c8013c297a76319b77f24360de3ee1623a4356126d796c

Vhash: 07401e5az3f!z

Imphash: df7bbfc4ee909c0b4332a2345abe896a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 января 2022: 

Расширение: .[Bomani@Email.Com]

Записки: Read Me!.hTa

Email: lord_bomani@keemail.me, jbomani@protonmail.com, Bomani@Email.Com

Файл: bomani2.exe

Результаты анализов: VT + IA + TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34618

BitDefender -> Generic.Ransom.GlobeImposter.CFA11F96

ESET-NOD32 -> A Variant Of Win32/Filecoder.FV

Malwarebytes -> Ransom.GlobeImposter

Microsoft -> Ransom:Win32/Filecoder.RB!MSR

Rising -> Ransom.GlobeImposter!1.A538 (CLOUD)

Tencent -> Win32.Trojan.Globeimposter.Tccl

TrendMicro -> Ransom_FAKEGLOBE.SMB

Вариант от 9-10 февраля 2022:

Сообщение >>

Расширение: .marlock011

Записка: how_to_back_files.html

Примечательно, что по результатам анализа на сайтах VT и Intezer это определяется как GlobeImposter, но используется записка как у MedusaLocker. 

Несмотря на это, если посмотреть внимательно, то они используют тот же URL, что и в основной статье FarAttack Ransomware. Да и email-адреса отличается лишь одной цифрой. Значит это те же вымогатели, только они используют разные элементы для вымогательства. 

Email: ithelp01@decorous.cyou, ithelp01@wholeness.business

Tor-URL: qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Результаты анализов: VT + AR + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34618

BitDefender -> Generic.Ransom.GlobeImposter.006256B0

ESET-NOD32 -> A Variant Of Win32/Filecoder.FV

Malwarebytes -> Ransom.GlobeImposter

Microsoft -> Ransom:Win32/Filecoder.RB!MSR

Symantec -> Ransom.Cryptolocker

Tencent -> Malware.Win32.Gencirc.10cf278b

TrendMicro -> Ransom_FAKEGLOBE.SMB

Вариант от 18 марта 2022:

Сообщение >>

Расширение: .chipslock

Записка: How_to_recovery.txt

Email: uncrypt2022@outlook.com 

Вариант от 29 марта 2022: 

Сообщение >>

Расширение: .[Bomani@Email.Com]

Записки: Read Me!.hTa

Email: lord_bomani@keemail.me, jbomani@protonmail.com, Bomani@Email.Com

Файл: new bomani.exe

Результаты анализов: VT + IA + TG 

➤ Обнаружения: 

DrWeb -> Trojan.MulDrop19.64596

BitDefender -> Gen:Heur.Kelios.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OFO

Malwarebytes -> Malware.AI.251885294

Microsoft -> Trojan:Win32/Wacatac.B!ml

Tencent -> Win32.Trojan.Filecoder.Dzkf

TrendMicro -> TROJ_GEN.R002C0WCT22

Вариант от 30 марта 2022:

Сообщение >>

Сообщение >>

Расширение: .Chuklock

Записка: How_to_recovery.txt

Email: internationalassistance@tutanota.com  

reasonablehelp@outlook.com

Вариант от 8 декабря 2022: 

Сообщение >>

Расширение: .allock8

Записка: how_to_back_files.html

Email: ithelp02@decorous.cyou, ithelp02@wholeness.business

Файл: AL8.exe, svhost.exe

Результаты анализа: VT + TG

=== 2023 ===

Вариант от 1 февраля 2023:

Сообщение на форуме >>

Расширение: .itlock2 

Записка: HOW_TO_RECOVER_DATA.html

Email: ithelp07@decorous.cyou, ithelp07@wholeness.business

Вариант от 5 мая 2023:

Сообщение на форуме >>

Расширение: .olsavelock22

Email: ithelp10@decorous.cyou, ithelp10@wholeness.business

Вариант от 22 мая 2023:

Сообщение: twitter.com/pcrisk/status/1660873857606066176

Расширение: .itlock20

Записка: How_to_back_files.html

Файл: itlock20.exe

Результаты анализа: VT, IA 

Вариант от 10 апреля 2023: 

Сообщение от PCrisk >>

Расширение: .busavelock

Расширение других вариантов: .busavelock53

Записка: How_to_back_files.html

Email: ithelp11@securitymy.name, ithelp11@yousheltered.com

Файл: busavelock53.exe

Результаты анализа: VT

Обнаружения: 

DrWeb -> Trojan.Encoder.37632

ESET-NOD32 -> A Variant Of Win32/Filecoder.OMJ

Вариант от 20 августа или раньше: 

Сообщение на форуме >>

Расширение: .busavelock166

Записка: How_to_back_files.htm

Email: ithelp11@securitymy.name, ithelp11@yousheltered.com

Вариант от 30 ноября 2023 или раньше: 

Сообщение >>

Расширение: .doctorhelp

Записка: How_to_back_files.html

Файл: doctrohelp.exe

Результаты анализа: VT + IA

В коде также есть строки, направленные против президента Российской Федерации Путина В.В.

Вариант от 11 декабря 2023: 

Расширение: .bulock16

Записка: HOW_TO_BACK_FILES.html

Email: ithelp11@securitymy.name, ithelp11@yousheltered.com

Файл: Файл: svhost.exe

IOC: VT, IA

MD5: 06f6b11a2fc114d5e5a20c2450421229 

SHA-1: 396604d14a28eddb54da5968d4c48fcfddbf1dad 

SHA-256: f61cd0692bae4f59ff79f911a642feb2da7240edf11d0e8a127e51c488ed7c34 

Vhash: 055056651d55556163z12z7a1z23z8065z1bz17z 

Imphash: 6bcdc9755b683f9fb4a1faa80850a917

---

➤ Обнаружения: 

BitDefender -> Generic.Ransom.MedusaLocker.77EDA7FD

DrWeb -> Trojan.Encoder.38448

ESET-NOD32  -> A Variant Of Win32/Filecoder.MedusaLocker.C

Malwarebytes -> Ransom.Medusa

Microsoft -> Ransom:Win32/MedusaLocker.A!MTB

Rising -> Ransom.MedusaLocker!1.C21A (CLASSIC)

TrendMicro -> Ransom.Win32.MEDUSALOCKER.SMTH

Вариант от 20 декабря 2023: 

Доп. название: BabyLockerKZ

Расширение: .lock3

Записка: How_to_back_files.html

IOC: VT, IA, TG

MD5: 17073229079e31a3190e7a8509302b22 

SHA-1: 6ed12dade62a8e420c5b5b295ddd6c4ce83b9549 

SHA-256: f38949dac0ebf8040648e8a95b1f06ad90cfe1242cc5c227707ac47f250fa56c 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: 3cfa4a7ded0a717cdb5fc277051c87e1

---

Обнаружения: 

DrWeb -> Trojan.Encoder.38406

ESET-NOD32 -> A Variant Of Win64/Filecoder.KJ

Malwarebytes -> Ransom.BabyLocker

Microsoft -> Ransom:Win64/MedusaLocker.PF!MTB

Symantec -> Ransom.MedusaLocker

TrendMicro -> Ransom.Win64.MEDUSALOCKER.SMYXDJS

Вариант от 28 декабря 2023: 

Сообщение >>

Расширение: .rapid3

Записка: How_to_back_files.html

Email: ithelp07@securitymy.name, ithelp07@yousheltered.com

IOC: VT, IA

MD5: 2858267b460596651f25d2395543ae60 

SHA-1: fc28f6d4a0e46200b5faca103723c3eade1aeac2 

SHA-256: 2c00a13c4a7e9ead5677f42120fee79ae4c93a7d13f1829ca411415407d6fa4e 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: 3cfa4a7ded0a717cdb5fc277051c87e1

---

Обнаружения: 

DrWeb -> Trojan.Encoder.38566

ESET-NOD32 -> A Variant Of Win64/Filecoder.MedusaLocker.A

Malwarebytes -> Ransom.BabyLocker

Microsoft -> Ransom:Win64/MedusaLocker.PF!MTB

Symantec -> Ransom.MedusaLocker

TrendMicro -> Ransom.Win64.MEDUSALOCKER.SMYXDJS

=== 2024 ===

Вариант от 5 марта 2024: относится к предыдущей версии MedusaLocker >>

Расширение: .duralock05 

Записка: HOW_TO_BACK_FILES.html

Email: assistant01@backup.capital, assistant01@decodezone.net

IOC: VT: MD5: 8648ba384a53b8509b642381a743f255

Вариант от 5 марта 2024: относится к предыдущей версии MedusaLocker >>

Расширение: .genesis15

Записка: HOW_TO_BACK_FILES.html

assistant01@backup.capital, assistant01@decodezone.net

IOC: VT: MD5: 94ccc29e051d0099f99c5d3f2bee4ec7

*** пропущенные варианты ***

Вариант от 17 мая 2024: 

Доп. название: BabyLockerKZ

Расширение: .crypto165

Записка: How_to_back_files.html

IOC: VT, IA

MD5: 833f044a80da4ea42d2e5b04962cd9be 

SHA-1: 86488c114e1b4b8ad17bb05f66546a7f622e8366 

SHA-256: ffc87a96073713d486d5e44e93aa86156122b174a619d41a4080a1de61f919a3 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

---

Обнаружения: 

BitDefender -> Gen:Variant.Ransom.MedusaLocker.65

DrWeb -> Trojan.Encoder.38884

ESET-NOD32 -> A Variant Of Win64/Filecoder.MedusaLocker.A

Malwarebytes -> Ransom.Medusa

Microsoft -> Trojan:Win64/Filecoder.ARA!MTB

Rising -> Ransom.MedusaLocker!8.11389 (TFE:5:OZL1xCpECNH)

Symantec -> Ransom.MedusaLocker

TrendMicro -> Ransom.Win64.MEDUSALOCKER.SMYXDJS

Вариант от 8 июня 2024: 

Доп. название: BabyLockerKZ

Расширение: .run10 

Записка: How_to_back_files.html

IOC: VT

MD5:  83371c800dde36a5ff9fb404d43ee777 

SHA-1: 931601f016ccb022a1fa658a073819b22db03a5c 

SHA-256: cdc509cd5807b2fadafc1628a9cd4cfc93f0120d60c1b0446327bf65de68b9d9 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 10 июня 2024: 

Доп. название: BabyLockerKZ

Расширение: .readtext28 

Записка: How_to_back_files.html

IOC: VT

MD5: c3109b92c2577184c314a31510acba09 

SHA-1: efccdcc6d019f723fdf28c761b37070fbbffaf06 

SHA-256: 8dc8d0b80a787fe1e3f1fe9988fdad89d035c5cc8ab2f108440cb0b712c1e908 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 10 июня 2024: 

Доп. название: BabyLockerKZ

Расширение: .run12

Записка: How_to_back_files.html

IOC: VT

MD5: 111fbcf3713f9bbb58b3de73fe02b9af 

SHA-1: e41af4f17d73d53008fd25fbc50278336ced0d2e 

SHA-256: 76d45ea90472445fef757a385d7d6dde0982385519bc1012f0d3ce8b8c5eef27 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 13 июня 2024: 

Доп. название: BabyLockerKZ

Расширение: .rapid10

Записка: How_to_back_files.html

IOC: VT

MD5: 31e64b3d13c6d3888e48251bf0ebbab8 

SHA-1: 1aebe90537001661f4bec288e8a507b20fe6ff75 

SHA-256: 356aecd326e586b44fbd2c6c13b858f5028ae9e65a4fb2ce6fd03682d119f6f0 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: 3cfa4a7ded0a717cdb5fc277051c87e1

Вариант от 14 июня 2024: 

Доп. название: BabyLockerKZ

Расширение: .lock1

Записка: How_to_back_files.html

IOC: VT

MD5: 0c70d36e2c73e3f2a02f5ab47da8e96a 

SHA-1: 13bf6a2a0bb018c600f9fc7b207a84fcba5c7303 

SHA-256: 60809f83a871a1d3bfd2373bafb76c030efc066a8f96ea1a32ba888519d4fe14 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 20 июня 2024: 

Доп. название: BabyLockerKZ

Расширение: .run40

Записка: How_to_back_files.html

IOC: VT 

MD5: b7ccc2ae21f00c5a732284e4d735d4a5 

SHA-1: 8070c043fa79ac01960c0abad5d703399f50faae 

SHA-256: cd4ff8e557c3e7c0182e825b3f63ecf39d99fb80110634f7aaa3c9d9fc717680 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 10 июля 2024: 

Доп. название: BabyLockerKZ

Расширение: .encrypted1

Записка: How_to_back_files.html

IOC: VT 

MD5: c3ba619c3ae8b70f8bca835f438d85a6 

SHA-1: 2ec7c81b026a15312a8fc07de38846057c94802d 

SHA-256: 82fdae3624fc45f963e0a1f59d0523884e6a1f91a14c00767be30c866dd64862 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 18 июля 2024: 

Доп. название: BabyLockerKZ

Расширение: .readtext24

Записка: How_to_back_files.html

IOC: VT 

MD5: c22d9e6d04b8396793c41e96388e92ab 

SHA-1: 4c90556604df03ac74466da6cd15fd1c239418c1 

SHA-256: 270c3354b3ee2940b499e365eaba143fba9d458f434dc38e663dc0f08e96121e 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 22 июля 2024: 

Доп. название: BabyLockerKZ

Расширение: .infected

Записка: How_to_back_files.html

IOC: VT 

MD5: 022a903fe51bf05830c679503233d7b6 

SHA-1: ca42b7fa4f292fb2fbe29f30bb1c84fb8d357a3c 

SHA-256: 63eb3d2886d9cb880c9b0d54b94f3e149b3b5b6215a33a0ef63588a09dcd4499 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 24 июля 2024: 

Доп. название: BabyLockerKZ

Расширение: .lock6

Записка: How_to_back_files.html

IOC: VT 

MD5: 27e341c1f696245b81537fd9e3b93a94 

SHA-1: d18351335232ae4fdd0b693945acd00a79c2e81b 

SHA-256: b8c994e3ed7dcc9080916119ddc315533c129479f508676d7544b82b2e24745f 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 24 июля 2024: 

Расширение: .pomochit01

Записка: How_to_back_files.html

IOC: VT 

MD5: 56b6d9b9fbcb471d5447fdfd362f0a71 

SHA-1: 28c1fefc10b890cef70a3f0fc40ba121ee44c475 

SHA-256: 33a8024395c56fab4564b9baef1645e505e00b0b36bff6fad3aedb666022599a 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 31 июля 2024: 

Расширение: .lockfile4

Записка: How_to_back_files.html

IOC: VT 

MD5: 5efffdc9c1096d96fd2a1963779e9096 

SHA-1: a46c868da0c359773839d16d43adce184b4f5143 

SHA-256: b74e8e5c86c3ceccaf33e73a23b98632cec341bee9531620cde40b9b0ac1c101 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

*** пропущенные варианты ***

Вариант от 6 августа 2024: 

Сообщение >>

Расширение: .pomoch45

Записка: How_to_back_files.html

IOC: VT 

MD5: f736ee661d70a5d7aa322f017e04b1d2 

SHA-1: eee99e6b7c58ecc95c75cd52eb7ac02d812c1a54 

SHA-256: ce746a36f0e85da2b5a1c4ab72c78d048612a9e68968e734d962a071e0c65679 

Vhash: 045076655d15551565514z22z85hz2031z7fz 

Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

---

Обнаружения: 

DrWeb -> Trojan.Encoder.38884

BitDefender -> Gen:Variant.Ransom.MedusaLocker.65

ESET-NOD32 -> A Variant Of Win64/Filecoder.MedusaLocker.A

Malwarebytes -> Ransom.Medusa

Microsoft -> Trojan:Win64/Filecoder.ARA!MTB

Rising -> Ransom.MedusaLocker!8.11389 (TFE:5:OZL1xCpECNH)

Symantec -> Ransom.MedusaLocker

TrendMicro -> Ransom.Win64.MEDUSALOCKER.SMYXDJS

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, quietman7, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DeadBolt

DeadBolt Ransomware

(шифровальщик-вымогатель, 7zip-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей на сетевых устройствах QNAP NAS, Asustor NAS с помощью алгоритма AES-128, а затем требует выкуп в 0.03 BTC (~$1100), чтобы вернуть файлы. При этом оригинальная html-страница NAS-устройств заменяется на подготовленую вымогателями. Оригинальное название: Deadbolt (DEADBOLT). Исполняемый файл: ELF файл. Распространители-вымогатели: DEADBOLT team. Написан на языке Go. Вымогательская кампания нацелена на NAS-устройства QNAP, работающие под управлением QTS 4.x. 

---

Исследователи из DrWeb сообщили о том, что файлы помещены в 7zip-архив со сложным паролем. Ранее этот факт никто не сообщал. Это может быть последующее изменение, например, в ответ на расшифровку от Emsisoft. 

---

Рекомендация для пострадавших от Deadbolt Ransomware от производителя ASUSTOR NAS >>
---
Обнаружения:
DrWeb -> Linux.Mirai.2565 / Linux.Encoder.129
BitDefender -> Trojan.Linux.Mirai.1 / Trojan.GenericKD.48157776
ESET-NOD32 -> A Variant Of Linux/Mirai.BC / Linux/Filecoder.DeadBolt.A
Kaspersky -> HEUR:Backdoor.Linux.Mirai.ba / HEUR:Trojan-Ransom.Linux.Agent.r
Microsoft -> Trojan:Win32/Mirai!ml / Ransom:Linux/Vigorf.A
Rising -> Backdoor.Mirai!8.E05B (CLOUD) / Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan.Gen.NPE / Linux.RansomDeadBolt
Tencent -> Backdoor.Linux.Mirai.wan / ***
TrendMicro -> Backdoor.Linux.MIRAI.USELVAS22 / Trojan.Linux.VIGORF.USELVAS22
---

© Генеалогия: другие вымогатели для QNAP устройств >> DeadBolt

Сайт "ID Ransomware" идентифицирует это как DeadBolt. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .deadbolt



Записка с требованием выкупа называется: ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT.html

На скриншотах видно, что сообщения могут немного отличаться. 

Содержание основного текста записки о выкупе:

⚠️

WARNING: YOUR FILES HAVE BEEN LOCKED BY DEADBOLT

❓ What happened?

All your files have been encrypted. This includes (but is not limited to) Photos, Documents and Spreadsheets.

❓ Why Me?

This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor (QNAP).

❓ What now?

You can make a payment of (exactly) 0.030000 bitcoin to the following address:

bc1qd3hk7g8dnsyw7sxledlje2twz9vk3fex95prlr

Once the payment has been made we'll follow up with a transaction to the same address, this transaction will include the decryption key as part of the transaction details. [more information]

You can enter the decryption key below to start the decryption process and get access to all your files again.

important message for QNAP

🔑 Enter your decryption key here..

Перевод записки на русский язык:

ВНИМАНИЕ: ВАШИ ФАЙЛЫ БЫЛИ БЛОКИРОВАНЫ DEADBOLT

Что случилось?

Все ваши файлы зашифрованы. Это включает (но не ограничивает) фотографии, документы и электронные таблицы.

Почему я?

Это не личная атака. Вы стали мишенью из-за неадекватной безопасности, обеспечиваемой вашим поставщиком (QNAP).

Что теперь?

Вы можете сделать платеж в размере (ровно) 0.030000 биткойнов на  следующий адрес:

bc1qd3hk7g8dnsyw7sxledlje2twz9vk3fex95prlr

Как только платеж будет сделан, мы отправим транзакцию на тот же адрес, эта транзакция будет включать ключ дешифрования как часть сведений о транзакции. [информация]

Вы можете ввести ключ дешифрования ниже, чтобы начать процесс дешифрования и получить все ваши файлы.

важное сообщение для QNAP

🔑 Введите ваш ключ дешифрования сюда..

---

При нажатии на ссылку "[more information]" отобразится сообщение с примером ключа.  

Содержание сообщения по этой ссылке: 

🔑 Obtaining Decryption Key 🔓

Our decryption key delivery process is 100% transparent and honest.

The decryption key will be delivered to the bitcoin blockchain inside the OP_RETURN field. You can retrieve it by monitoring the address you made your payment to for new transactions containing the OP_RETURN field. An easy way to do this is using a public blockchain explorer like blockchain.com.

***

The decryption key always has an exact length of 32 characters.

Entering the wrong decryption key will not harm your files. This page will tell you if the entered key is invalid.

After the decryption has finished successfully, this page will disappear and you can access the management interface again. However, it is strongly advised to migrate all your data to a more secure platform.

ℹ️ If you struggle with this process, please contact an IT professional to help you.

Перевод сообщения на русский язык:

🔑 Получение ключа дешифрования 🔓

Наш процесс доставки ключа дешифрования на 100% прозрачен и честен.

Ключ дешифрования будет доставлен в блокчейн биткойна в поле OP_RETURN. Вы можете получить его, отслеживая адрес, на который вы заплатили, для новых транзакций, содержащих поле OP_RETURN. Самый простой способ сделать это — использовать общедоступный обозреватель блокчейна, такой как blockchain.com.

***

Ключ дешифрования всегда имеет точную длину 32 символа.

Ввод неправильного ключа дешифрования не повредит вашим файлам. Эта страница сообщит вам, если введенный ключ недействителен.

После успешного завершения расшифровки эта страница исчезнет, и вы снова сможете получить доступ к интерфейсу управления. Однако рекомендуется перенести все ваши данные на более безопасную платформу.

ℹ️ Если вы боретесь с этим процессом, обратитесь за помощью к ИТ-специалисту.

---

При нажатии на ссылку "important message for QNAP" отобразится сообщение от DeadBolt вымогателей, которые предлагают полную информацию о предполагаемой уязвимости нулевого дня, если QNAP заплатит им 5 биткойнов на сумму $184000. Они также готовы продать QNAP главный ключ дешифрования, который может расшифровать файлы для всех затронутых жертв, и информацию нулевого дня за 50 биткойнов (~$1,85 млн).

Содержание сообщения по ссылке: 

⚠️ Important Message for QNAP ⚠️

All your affected customers have been targeted using a zero-day vulnerability in your product. We offer you two options to mitigate this (and future) damage:

1) Make a bitcoin payment of 5 BTC to bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:

You will receive all details about this zero-day vulnerability so it can be patched. A detailed report will be sent to security@qnap.com.

2) Make a bitcoin payment of 50 BTC to bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:

You will receive a universal decryption master key (and instructions) that can be used to unlock all your clients their files. Additionally, we will also send you all details about the zero-day vulnerability to security@qnap.com.

Upon receipt of payment for either option, all information will be sent to you in a timely fashion.

There is no way to contact us.

These are our only offers.

Thanks for your consideration.

Greetings,

DEADBOLT team.

Перевод сообщения на русский язык:

⚠️ Важное сообщение для QNAP ⚠️

Все ваши затронутые клиенты атакованы с помощью уязвимости нулевого дня в вашем продукте. Мы предлагаем вам два варианта уменьшения этого (и будущего) ущерба:

1) Сделайте биткойн-платеж в размере 5 BTC на bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:

Вы получите все подробности об этой уязвимости нулевого дня, чтобы ее можно было исправить. Подробный отчет будет отправлен на адрес security@qnap.com.

2) Сделайте платеж в биткойнах в размере 50 BTC на адрес bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:

Вы получите универсальный мастер-ключ дешифрования (и инструкции), который можно использовать для разблокировки файлов всех ваших клиентов. Кроме того, мы отправим вам все подробности об уязвимости нулевого дня на адрес security@qnap.com.

После получения оплаты за любой вариант вся информация будет отправлена вам своевременно.

Связаться с нами невозможно.

Это наши единственные предложения.

Спасибо за внимание.

Привет,

Команда DEADBOLT.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

DeadBolt использует следующую уязвимость удаленного выполнения кода для шифрования NAS-устройств. Компания QNAP принудительно обновила клиентские сетевые устройства хранения данных (NAS), установив прошивку с последними обновлениями безопасности для защиты от DeadBolt Ransomware. Группа реагирования на инциденты, связанные с безопасностью продуктов QNAP, исследует верторы атак и предлагает свои варианты решения проблемы. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .ab4, .accdb, .accdc, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ait, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avhd, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkf, .bkp, .blend, .bpw, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfp, .cgm, .cib, .class, .cls, .cmt, .conf, .cpi, .cpp, .cr2, .craw, .crl, .crt, .crw, .csh, .csl, .csr, .csv, .dac, .dat, .db3, .db4, .db_journal, .dbc, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dev, .dgc, .disk, .djvu, .dng, .doc, .docm, .docx, .dot, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flv, .fpx, .fxg, .gdb, .git, .gray, .grey, .gry, .hbk, .hdd, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iso, .jar, .java, .jpe, .jpeg, .jpg, .jrs, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m4v, .mail, .max, .mdb, .mdbx, .mdc, .mdf, .mef, .mfw, .mkv, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msi, .myd, .ndd, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nsn, .nwb, .nx2, .nxl, .nyf, .obj, .oda, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .p7r, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pio, .piz, .plc, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps1, .psafe3, .psd, .pspimage, .pst, .ptx, .pvi, .pvk, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdb, .sdf, .sl3, .sldm, .sldx, .spc, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .thm, .tiff, .tlg, .txt, .vbk, .vbm, .vbox, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmem, .vmfx, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wallet, .wav, .wb2, .wdb, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xvd, .ycbcra, .yuv, .zip

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр.

Файлы, связанные с этим Ransomware:
ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT.html - название файла с требованием выкупа;
elf-файл - вредоносный файл для QNAP NAS устройств; 

index.html - копия файла записки, заменяющая оригинальный файл QNAP.  

index.html_deadlock.txt

deadbolt.pid

sshd_pty

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

/home/httpd/index.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qd3hk7g8dnsyw7sxledlje2twz9vk3fex95prlr

bc1qcdve3qn83g44gmzrmqsces3rh2r6qm93j9jcul

bc1qwhz97zmtjhf44c336sx5gfk810rdkaa4ax3skd

bc1qj4hglg9vceql2qj3kad67vh8sgq83535mwvhhk

bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8

и другие для каждой жертвы. 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a76ecd6356f7a71e524c74abf2adec09

SHA-1: 22e616aa3c3a512499968ffecd7d123fec6f5e96

SHA-256: 3e30a65e6504969c05b1bed32db2a2a592da110a7d2dbda9f064f13be5390d6c

Vhash: 9662668bfe8235a44603cac0b335f1aa

---

IOC: VT, HA, IA, TG, AR, VMR, JSB, MS, ED

MD5: 718ae69788dc752a8db46b0e43e42f13

SHA-1: 338c16a49899ee08b5284b9bb3b2b14d6e5bdfe3

SHA-256: 444e537f86cbeeea5a4fcf94c485cc9d286de0ccd91718362cecf415bf362bcf

Vhash: 9044b784e45b171094c39cd3b726f4e0

Степень распространённости: высокая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 февраля:

Копия сообщения от DrWeb >>

Файлы на самом деле не зашифрованы, а упакованы в 7zip-архив со сложным паролем. Мы не можем помочь восстановить/сгенерировать пароль для открытия этих архивов.

Обновление информации от 2 марта 2022:

Инструкция на сайте разработчика устройств Asustor >>

Пример записки от вымогателей на устройствах Asustor. 

---

В итоге: 

Компания-производитель QNAP настоятельно рекомендует всем пользователям немедленно обновить операционные системы QTS или QuTS hero на своих устройствах NAS до последней версии. Обновление прошивки на скомпрометированном устройстве позволит встроенному приложению Malware Remover автоматически помещать в карантин примечание о выкупе DeadBolt, которое захватывает страницу входа.


Вариант от 13 июля 2022:

Сообщение >>

BTC: bc1q2we5ku2mpxwdtgqxztu7erg47r6vl4rgx38lxv

Новость от 14 ноября 2022:

Полиция Нидерландов смогла получить 150 ключей дешифрирования.

Проверьте возможность расшифровки файлов по Bitcoin-адресу вымогателей по ссылке >>

Пример полученного ключа дешифрования для одного из BTC-адресов. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 QNAP Product Security News 

Внимание! 
Расшифровка возможна, если получен ключ дешифрования. 
Этот безопасный инструмент упростит расшифровку. 
Скачать Emsisoft Decryptor по ссылке >>
---
Бизнес-пользователи могут получить помощь в Emsisoft. 
Ссылка для связи >>

Deadbolt - FULL GUIDE how to get your Data back >>

DeadBolt ransomware: nothing but NASty (by GROUP-IB) >>

 Thanks: 
 Lawrence Abrams, Michael Gillespie, Emsisoft
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.