Если вы не видите здесь изображений, то используйте VPN.

среда, 9 февраля 2022 г.

D3adCrypt

D3adCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Уплата выкупа не гарантирует расшифровку всех файлов. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35133 
BitDefender -> Gen:NN.ZemsilF*, Trojan.GenericKD.39109030
ESET-NOD32 -> A Variant Of MSIL/Filecoder.D3adCrypt.A
Kaspersky -> HEUR:Trojan.MSIL.Agent.gen
Malwarebytes -> Malware.AI.4108527338
Microsoft -> Trojan:Win32/Kryptik!MSR
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:x*
Tencent -> Msil.Trojan.Agent.Dygw
TrendMicro -> TROJ_GEN.R002C0DC722
---

© Генеалогия: предыдущие вымогатели на той же основе >> D3adCrypt


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .d3ad

Записки с требованием выкупа называются: 
d3ad_Help.txt
d3ad_Help.hta


Содержание записки d3ad_Help.txt:
All your files have been encrypted!
If you want to restore them, write us to the e-mail =>  d3add@tutanota.com
Write this ID in the title of your message =>  D2oku7Bg
In case of no answer in 24 hours write us to this e-mail =>  propersolot@gmail.com
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Если вы хотите их вернуть, пишите нам на email => d3add@tutanota.com
Напишите этот ID в заголовке вашего сообщения => D2oku7Bg
При отсутствии ответа за 24 часа напишите нам на этот email => propsolot@gmail.com
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может навсегда повредить данные.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей) или вы можете стать жертвой мошенников.



Содержание записки d3ad_Help.hta:
***** All your files have been encrypted! *****
If you want to restore them, write us to the e-mail => d3add@tutanota.com
Write this ID in the title of your message => D2oku7Bg
In case of no answer in 24 hours write us to this e-mail => propersolot@gmail.com
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Перевод записки на русский язык:
*** аналогичен предыдущему ***


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
d3ad_Help.txt - название файла с требованием выкупа;
d3ad_Help.hta - название файла с требованием выкупа;

test.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: d3add@tutanota.com, propersolot@gmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 1c2af6c5e1b8b87189b5da7bd3cefe30
SHA-1: 6881acb4f1401f0db02bbebe82e2381a0b7c447d
SHA-256: cf0705a3e4f3690e28184eb019a4940e7291ce5b3d52747ff80b72e90922a89b
Vhash: 21503665151110782d91030
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Важное дополнение от 
Geordi Trapman
Hi Andrew,
Just took a look and noticed there was an assembly missing from the submission(Leaf.xNet) which the .NET executable required to run correctly. Usually these .dll files are shipped alongside an executable, so it might be worth checking whether all files relevant to this sample were submitted.
I've manually downloaded the Leaf.XNet.dll file and placed it next to the .exe in this new submission https://tria.ge/220301-j4ypeaafcr.
Kind regards,
Geordi Trapman
Software Engineer
---
Geordi, Thanks for the additional information!
---
Результаты анализов: 
IOC: VTTG, HA, TG, AR, VMR, JSB



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 *** 
 Thanks: 
 Andrew Ivanov (article author)
 Boanbird, Geordi Trapman
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sojusz

Sojusz Ransomware

Aliases: Alliance, Bec, Nigra, Likeoldboobs, Gachimuchi, Cryptcat (Crxxx)

Sojusz Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 + RSA-2048 + ChaCha, а затем требует прислать на email вымогателей MachineID и LaunchID из записки, чтобы узнать как заплатить выкуп (от 0.1 BTC) и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: что попало. Использует библиотеку Crypto++.
---
Обнаружения (на файл от 16 мая 2022):
DrWeb -> Trojan.Encoder.35400
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.1812541523
Microsoft -> Ransom:Win32/MedusaLocker.A!MTB
Rising -> Ransom.Agent!1.C2C9 (CLASSIC)
Tencent -> Win32.Trojan.Filecoder.Afrh
TrendMicro -> Ransom_MedusaLocker.R002C0DEI22
---

© Генеалогия: ✂ Makop
✂ Phobos✂ BigLock >> Sojusz


Сайт "ID Ransomware" Sojusz пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2022 г. Использует разные способы запутывания и элементы других программ-вымогателей. Может использоваться атакующими в ручном и автоматическом режимах. По всей видимости субъективно, программно и технически связан с программами-вымогателями Phobos, Makop, а это доказывает, что опять след ведёт в Украину. 
Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть отдельные сообщения от пострадавших из Польши, Италии, Индонезии, Бахрейна и других стран. 

К зашифрованным файлам добавляется расширение: .sojusz

Слово "sojusz" польского происхождения и означает "альянс" (the alliance). 

Фактически используется составное расширение по шаблону: 
.[<ID{10}>].[<email>].sojusz

Пример такого расширения: .[9347652d51].[ustedesfil@safeswiss.com].sojusz

В конец каждого зашифрованного файла добавляются одни и те же символы — всего 512 знаков. 
Первые 10 знаков соответствуют ID в расширении. 



Записка с требованием выкупа называется: 
-----README_WARNING-----.txt
#_README-WARNING_#.TXT
и другие варианты названий с разными символами

Почти все содержание записки взято у Makop Ransomware
Отличие только в том, что вымогатели требуют прислать им MachineID и LaunchID, указанные в записке. 


Содержание записки о выкупе:
::: Greetings :::
 Little FAQ:
 .1.
 Q: Whats Happen?
 A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.
 .2.
 Q: How to recover files?
 A: If you wish to decrypt your files you will need to pay us
 .3.
 Q: What about guarantees?
 A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
 To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.
 .4.
 Q: How to contact with you?
 A: You can write us to our mailboxes: ustedesfil@safeswiss.com or ustedesfil@cock.li or votredatei@ctemplar.com
    (in subject line please write your MachineID: 1834189*** and LaunchID: 70396c9***)
 .5.
 Q: How will the decryption process proceed after payment?
 A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.
 .6.
 Q: If I don’t want to pay bad people like you?
 A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.
 :::BEWARE:::
 DON'T try to change encrypted files by yourself!
 If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
 Any changes in encrypted files may entail damage of the private key and, as result, the loss of all data.

Перевод записки на русский язык:
::: Привет :::
 Небольшой FAQ:
 .1.
 В: Что происходит?
 О: Ваши файлы зашифрованы. Файловая структура не пострадала, мы сделали все возможное, чтобы этого не произошло.
 .2.
 В: Как восстановить файлы?
 A: Если вы хотите расшифровать свои файлы, вам нужно заплатить нам
 .3.
 В: А гарантии?
 О: Это просто бизнес. Нам абсолютно наплевать на вас и ваши сделки, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - с нами никто сотрудничать не будет. Это не в наших интересах.
 Для проверки возможности возврата файлов вы можете отправить нам любые 2 файла с ПРОСТЫМИ расширениями(jpg,xls,doc и т.д... не базы данных!) и небольшими размерами(макс 1 мб), мы их расшифруем и отправим обратно вам. Это наша гарантия.
 .4.
 В: Как связаться с вами?
 О: Вы можете написать нам на наши почтовые ящики: ustedesfil@safeswiss.com или ustedesfil@cock.li или votredatei@ctemplar.com
    (в теме письма укажите свой MachineID: 1834189*** и LaunchID: 70396c9***)
 .5.
 В: Как будет происходить процесс расшифровки после оплаты?
 О: После оплаты мы вышлем вам нашу программу сканер-декодер и подробную инструкцию по использованию. С этой программой вы сможете расшифровать все ваши зашифрованные файлы.
 .6.
 В: Если я не хочу платить таким плохим людям, как вы?
 О: Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
 :::ОСТОРОЖНО:::
 НЕ пытайтесь изменить зашифрованные файлы сами!
 Если вы попытаетесь использовать сторонние программы для восстановления ваших данных или антивирусные решения - сделайте резервную копию всех зашифрованных файлов!
 Любые изменения в зашифрованных файлах могут повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.

---

Судя по некоторым данным, о которых пока умолчим, вымогатели, стоящие за этим "Альянсом" решили заимствовать у разных программ-вымогателей некоторый текст, элементы вымогательства и копировать некоторые другие моменты. Поэтому, вполне вероятно, что в каждом новом варианте мы будет наблюдать визуальные различия с предыдущим. Не исключено, что некоторые из деятелей этого "Альянса" участвовали в других вымогательских проектах и просто принесли с собой свой "багаж" и добавили к нему что-то новое. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Удаляет теневые копии файлов, манипулирует размером теневого хранилища. Используемые для этого команды (в одном из вариантов):
vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=unbounded
vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=unbounded
vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=unbounded
sc config VSS start= Demand & net start VSS
vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=401MB
vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=401MB
icacls.exe "{A-Z}:" /grant {Username}:F /T /C /Q
vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=unbounded
vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=401MB
vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=401MB
vssadmin delete shadows /all /quiet
vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=401MB
vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=401MB
net stop VSS & sc config VSS start= disabled
%windir%\system32\net1 stop VSS & sc config VSS start= disabled
"pwsh.exe" -command Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}
wmic.exe SHADOWCOPY delete /nointeractive
vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=unbounded
vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=unbounded

➤ Используются инструменты: Process Hacker, PE Viewer,  NetworkScanner, утилиты быстрого поиска (Everything или другие). В таком случае в системе могут появиться папки и ссылки на них. Примеры:
C:\Program Files\Process Hacker
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PE Viewer.lnk

В зависимости от ситуации, они сканируют сеть, ищут нужные файлы, скачивают, а затем запускают автоматический или ручной шифровальщик. Ранее также действовали с Makop, Oled, Phobos Ransomware и другими, которые я описывал отдельно или не описывал, складируя в одну из куч с общим названием. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
-----README_WARNING-----.txt - название файла с требованием выкупа;
#_README-WARNING_#.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ustedesfil@safeswiss.com, ustedesfil@cock.li, votredatei@ctemplar.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов (на файл от 16 мая 2022): 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 753585e5e099b192cf8d7593dd5ef4bf
SHA-1: 68c5d6b38c9dd9e9e1e888386025352811147028
SHA-256: e26b2ffb2ee711fc7b04d62911580560794ee4fa9b7fcfade65ee6ff2eed0274
Vhash: 065046655d156138z8chz403jz
Imphash: 1dc7d42e09ac34e7008ae3b481db70d4


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 21 февраля 2022: 
Шаблон расширения: .[<ID{10}>].[<email>].bec
Пример расширения: .[8e86e414c8].[beacon@jitjat.org].bec
Записка: !!!HOW_TO_DECRYPT!!!.txt
Используются: MachineID и LaunchID
Email: beacon@jitjat.org, beacon@msgsafe.io


В конец каждого зашифрованного файла также добавляются одни и те же символы — всего 512 знаков. Первые 10 знаков соответствуют ID в расширении. 



Вариант от 3 мая 2022:
Шаблон расширения: .[<ID{10}>].[<email>].nigra
Пример расширения: .[60cdb5931f].[recuper@smime.ninja].nigra
Записка: README_WARNING_.txt
Используются: MachineID и LaunchID
Email: recuper@smime.ninja, restaurera@rbox.co
В конец каждого зашифрованного файла также добавляются одни и те же символы — всего 512 знаков. Первые 10 знаков соответствуют ID в расширении. 





Вариант от 16-20 мая 2022: 
Самоназвание: HORSEMAGYAR DECRYPTION
Новый шаблон расширения: .[<ID{10}>].[<coined_word>].likeoldboobs
Пример зашифрованного файла: document.doc.[724e4bcb11].[spanielearslook].likeoldboobs
Записка: Horse.txt 
ICQ: HORSEMAGYAR 
Файл: z7w3x.exe
Результаты анализа: VT + IA + TG
MD5: 753585e5e099b192cf8d7593dd5ef4bf
SHA-1: 68c5d6b38c9dd9e9e1e888386025352811147028
SHA-256: e26b2ffb2ee711fc7b04d62911580560794ee4fa9b7fcfade65ee6ff2eed0274
Vhash: 065046655d156138z8chz403jz
Imphash: 1dc7d42e09ac34e7008ae3b481db70d4
---
Обнаружения: 
DrWeb -> Trojan.Encoder.35400
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.1812541523
Microsoft -> Ransom:Win32/MedusaLocker.A!MTB
Rising -> Ransom.Agent!1.C2C9 (CLASSIC)
Tencent -> Win32.Trojan.Filecoder.Afrh
TrendMicro -> Ransom_MedusaLocker.R002C0DEI22


 


Вариант от 7 июня 2022:
Расширение: .[<ID{10}>].[BillyHerrington].Gachimuchi
Пример зашифрованного файла: 1.pdf.[3a203d0050].[BillyHerrington].Gachimuchi
Записка: #HOW_TO_DECRYPT#.txt
ICQ: Gachimuchi



Вариант от 21 июня 2022:
Расширение: .[<ID{10}>].[Ricardo Milos].Washedback
Пример зашифрованного файла: 1.pdf.[a7fth62bc1].[Ricardo Milos].Washedback
Записка: #HOW_TO_DECRYPT#.txt
Skype: RICARDOMILOS DECRYPTION
ICQ: @RicardoMilosGachimuchi
Результаты анализа: VT + TG + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.34948
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF
Microsoft -> Ransom:Win32/Filecoder.DD!MTB




Вариант от 6 августа 2022:
Самоназвание варианта: Cryptcat Ransomware
Расширение (пример): .[48fe70b035].[hopeandhonest@smime.ninja].crxxx
Записка: #_README-WARNING_#.TXT
Email: hopeandhonest@smime.ninja, hopeandhonestt@gmail.com
По email видна связь с Makop Ransomware, в котором используются эти же адреса. 



Вариант от 23 сентября 2022:
Расширение: .[xxxxxxxxxx].X101
Записка: !!!HOW_TO_DECRYPT!!!.TXT
BTC: 37kbnNTyBv8hNHwVX1CJQTrnXgKkh4jbZu
Telegram: @t1000rn
Jabber: t1000rn@404.city



Вариант от 27 сентября 2022: 
Расширение: .[Hunter_or_faggot].Horsefucker
Пример полного расширения: .[152a0db345].[Hunter_or_faggot].Horsefucker
Записка: #HOW_TO_DECRYPT#.txt
ICQ: @Horsefucker
Email: horsefucker@onionmail.org



Вариант от 29 октября или раньше:
Расширение: .[3b711*****].[ICQ_HAPPYHUNGARIANSLUT].Donkeyfucker
Записка: #HOW_TO_DECRYPT#.txt
Skype: HAPPYHUNGARIANSLUT DECRYPTION
ICQ: @HAPPYHUNGARIANSLUT
ICQ: @DONKEYHOT
Email:  happyhungarianslut@onionmail.org




=== 2023 ===

Вариант от 3 января 2023:
Предположительное родство. 
Расширение: .nigra
Email: nigra.support@pm.me, nigra@cyberfear.com, restaurera@rbox.co


Кажется две разные записки, но во второй картинке в записке пострадавшим были стерты MachineID и LaunchID, указанные в записке. Отсюда в некоторых случаях могут быть ошибочные идентификации. 



➤ Содержание записки:
::: Greetings :::
Little FAQ:
.1.
Q: Whats Happen?
): Your files have been encrypted for NIGRA. The file structure was not damaged, we did everything possible so that this could not happen.
.2.
Q: How to recover files?
): If you wish to decrypt your files you will need to pay us
you can send a three small files for testing,'excel ,word,txt,jpg' something.
As a guarantee of our decryption ability. 
.3.
Q: How to contact with you?
): You can write us to our mailboxes: nigra.support@pm.me and nigra@cyberfear.com or restaurera@rbox.co
If we do not reply within 24 hours, it means that the mailbox has been blocked, please contact our backup mailbox.
(please in subject line write your ID: 07c657218a)
***
:::WARNING STATEMENT:::
DON'T try to change encrypted files by yourself!
We have never posted any decrypted videos on youtube, any SNS, please don't trust those crooks who post so-called decrypted videos
choose to trust them, unless you have a lot of money!
If you need decryption, please contact us via our email, we will only get in touch with you via email.
The private key for decryption only exists in our hands, and only we can help decrypt files in this world !!


Вариант от 3 февраля 2023:
Расширение: .[nigra@skiff.com].nigra
Перед расширением может быть еще ID жертвы. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 quietman7, Sandor
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 6 февраля 2022 г.

Nokoyawa, UserNamme

NOKOYAWA Ransomware

UserNamme Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: xxx.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34963
BitDefender -> Trojan.GenericKD.38963587
ESET-NOD32 -> A Variant Of Win64/Filecoder.EV
Kaspersky -> Trojan-Ransom.Win32.Crypren.aint
Malwarebytes -> Malware.AI.998037634
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> ansom.Win64.NOKO.YACBL
---

© Генеалогия: ✂ Hive >> NOKOYAWA



Сайт "ID Ransomware" 
это идентифицирует как NOKOYAWA


Информация для идентификации

Активность этого крипто-вымогателя была в начале и первой половине февраля 2022 г. Ориентирован на англоязычных и китайских пользователей, может распространяться по всему миру. Распространяется из одной из стран в Юго-Восточной Азии, целями являются компании из соседних стран (Китай, Япония, Южная Корея и пр.). 

К зашифрованным файлам добавляется расширение: .NOKOYAWA

Фактически в 
расширении используется название пострадавшей компании или имя пользователя компьютера этой компании: .<VICTIM_NAME>

Записка с требованием выкупа называется по шаблону VICTIM_NAME_readme.txt

В найденном примере записка называлась: NOKOYAWA_readme.txt

 

 




Содержание записки о выкупе:
Dear usernamme, your files were encrypted, some are compromised.
Be sure, you can't restore it without our help.
You need a private key that only we have.
Contact us to reach an agreement or we will leak your black shit to media:
Brookslambert@protonmail.com
Sheppardarmstrong@tutanota.com
亲爱的用户名,您的文件已加密,有些已被泄露。
请确保,如果没有我们的帮助,您将无法恢复它。
您需要一个只有我们拥有的私钥。
联系我们以达成协议,否则我们会将您的黑屎泄露给媒体:
Brookslambert@protonmail.com
Sheppardarmstrong@tutanota.com

Перевод записки на русский язык:
Дорогой usernamme, ваши файлы зашифрованы, другие под угрозой.
Будьте уверены, без нашей помощи вы их не вернете.
Вам нужен закрытый ключ, который только мы имеем.
Напишите нам для соглашения или мы сольем ваше чёрное дерьмо в СМИ:
Brookslambert@protonmail.com
Sheppardarmstrong@tutanota.com


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
NOKOYAWA_readme.txt - название файла с требованием выкупа;
xxx.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Brookslambert@protonmail.com, Sheppardarmstrong@tutanota.com
Email: charlefletcher@onionmail.org, Johnatannielson@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 2e936942613b9ef1a90b5216ef830fbf
SHA-1: 32c2ecf9703aec725034ab4a8a4c7b2944c1f0b7
SHA-256: e097cde0f76df948f039584045acfa6bd7ef863141560815d12c3c6e6452dce4
Vhash: 034046551d551az1b!z
Imphash: 6787f57bc9873a02ce38d5daed45ad43
---
Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 22a006b6d19558c3cebd708b2b0543bc
SHA-1: 2d92468b5982fbbb39776030fab6ac35c4a9b889
SHA-256: fefd1117c2f0ab88d8090bc3bdcb8213daf8065f12de1ee6a6c641e888a27eab
Vhash: 034046551d551az1b!z
Imphash: 6787f57bc9873a02ce38d5daed45ad43

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
Added later: Write-up by TrendMicro
 Thanks: 
 MalwareHunterTeam, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *