Если вы не видите здесь изображений, то используйте VPN.

среда, 20 апреля 2022 г.

ONYX

ONYX Ransomware

Chaos-ONYX Ransomware

ONYX Doxware

(шифровальщик-вымогатель, деструктор, публикатор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в ~$100000 в BTC, чтобы вернуть файлы. Оригинальное название: ONYX. Основан на Chaos Ransomware Builder v4. На файле написано: нет данных. Хакеры-распространители: ONYX team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.10598
Avast -> Win32:RansomX-gen [Ransom]
BitDefender -> IL:Trojan.MSILZilla.5554
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Malware.AI.3384415825
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec - Ransom.Sorry
Tencent -> Malware.Win32.Gencirc.11f227d8
TrendMicro -> Ransom_FileCoder.R002C0CDM22
---

© Генеалогия: Chaos Builder v4 >> ONYX


Сайт "ID Ransomware" идентифицирует это как ONYX


Информация для идентификации

Активность этого крипто-вымогателя была замечена во второй половине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. На момент подготовки статьи на сайте публикации утечек уже было 7 пострадавших компаний из США. 

Злоумышленники, использующие Onyx Ransomware перед шифрованием похищают данные из целевой сети. Затем угрожают публично раскрыть данные, если выкуп не будет уплачен. 

К зашифрованным файлам в полученном образце добавляется расширение: .ampkcz

Вероятно, в других случаях это расширение будет отражать условное название атакованной компании. 

По словам Йиржи Винопала из CERT Чехии, ONYX основан на 4-й версии Chaos Ransomware Builder, которая включает в себя ту же процедуру шифрования вместе с опцией повреждения данных. 


Независимо от того, какой вариант выбран в настройках, там есть ошибка, которая всегда уничтожает все файлы размером более 2 Мб (2117152 байт). В режиме шифрования небольшие файлы шифруются, другие перезаписываются. В режиме перезаписи мелкие файлы пропускаются, а все остальные файлы перезаписываются мусорными данными. Даже если пострадавшие заплатят и получат дешифровщик, то он сможет восстановить только зашифрованные файлы размером меньше 2 Мб. Уплата выкупа бесполезна! 

Записка с требованием выкупа называется: readme.txt

ONYX Ransomware note

Содержание записки о выкупе:
All of your files are currently encrypted by ONYX strain.
As you already know, all of your data has been encrypted by our software. 
It cannot be recovered by any means without contacting our team directly.
DON'T TRY TO RECOVER your data by yourselves. Any attempt to recover your data (including the usage of the additional recovery software) can damage your files. However,
if you want to try - we recommend choosing the data of the lowest value.
DON'T TRY TO IGNORE us. We've downloaded a pack of your internal data and are ready to publish it on our news website if you do not respond. 
So it will be better for both sides if you contact us as soon as possible.
DON'T TRY TO CONTACT feds or any recovery companies. 
We have our informants in these structures, so any of your complaints will be immediately directed to us. 
So if you will hire any recovery company for negotiations or send requests to the FBI, we will consider this as a hostile intent and initiate the publication of whole compromised data immediately.
To prove that we REALLY CAN get your data back - we offer you to decrypt two random files completely free of charge.
You can contact our team directly for further instructions through our website :
TOR VERSION :
(you should download and install TOR browser first https://torproject.org)
hxxx://ibpwmfrlbwkfd4asg57t4x2vkrczuq3uhrfxf6y35xoalwjlztil54ad.onion
Login: ampkcz
Password: ***********
YOU SHOULD BE AWARE!
We will speak only with an authorized person. It can be the CEO, top management, etc. 
In case you are not such a person - DON'T CONTACT US! Your decisions and action can result in serious harm to your company! 
Inform your supervisors and stay calm!

Перевод записки на русский язык:
Все ваши файлы сейчас зашифрованы ONYX штаммом.
Как вы уже знаете, все ваши данные зашифрованы нашей программой.
Это нельзя восстановить никаким образом, не связавшись напрямую с нашей командой.
НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ данные сами. Любая попытка восстановить ваши данные (включая использование дополнительных программ для восстановления) может повредить ваши файлы. Однако если вы хотите попробовать — рекомендуем выбирать данные наименьшего значения.
НЕ ПЫТАЙТЕСЬ ИГНОРИРОВАТЬ НАС. Мы загрузили пакет ваших внутренних данных и готовы опубликовать его на нашем новостном сайте, если вы не ответите, поэтому для обеих сторон будет лучше, если вы свяжетесь с нами как можно скорее.
НЕ ПЫТАЙТЕСЬ СВЯЗАТЬСЯ с федералами или любыми компаниями по восстановлению.
У нас есть свои информаторы в этих структурах, поэтому любая ваша жалоба будет немедленно направлена к нам.
Поэтому, если вы наймете какую-либо компанию по восстановлению для переговоров или отправите запросы в ФБР, мы посчитаем это враждебным умыслом и немедленно опубликуем все скомпрометированные данных.
Чтобы доказать, что мы ПРАВДА МОЖЕМ вернуть ваши данные - мы предлагаем вам совершенно бесплатно расшифровать два случайных файла.
Вы можете связаться с нашей командой напрямую для получения дальнейших инструкций через наш веб-сайт:
ВЕРСИЯ ТОР:
(сначала нужно скачать и установить браузер TOR https://torproject.org)
hxxx://ibpwmfrlbwkfd4asg57t4x2vkrczuq3uhrfxf6y35xoalwjlztil54ad.onion
Логин: ampkcz
Пароль: ***********
ВЫ ДОЛЖНЫ ЗНАТЬ!
Мы будем говорить только с уполномоченным лицом, это может быть генеральный директор, топ-менеджмент и т.д.
Если вы не такой человек - НЕ ПИШИТЕ НАМ! Ваши решения и действия могут нанести серьезный вред вашей компании!
Сообщите начальству и сохраняйте спокойствие!

---

Скриншоты с сайта вымогателей



Содержание текста: 
ONYX RECOVERY
If you are looking at this page right now, that means that your network was succesfully breached by ONYX team.
All of your files, databases, application files etc were encrypted with military-grade algorithms.
If you are looking for a free decryption tool right now - there's none.
Antivirus labs, researches, security solution providers, law agencies won't help you to decrypt the data.

Перевод текста: 
ONYX RECOVERY
Если вы сейчас смотрите на эту страницу, это означает, что команда ONYX успешно взломала вашу сеть.
Все ваши файлы, базы данных, файлы приложений и т.д. зашифрованы алгоритмами военного уровня.
Если вы ищете бесплатный дешифровщик прямо сейчас - его нет.
Антивирусные лабы, исследования, поставщики защитных решений, юридические агентства не помогут вам расшифровать данные.



Диалог из чата (укороченный вариант): 




Скриншоты с сайта ONYX NEWS


Содержание текста: 
If you are a client who declined the deal and did not find your data on website or did not find valuable files, this does not mean that we forgot about you, it only means that data was sold and only therefore it did not publish in free access!

Перевод текста: 
Если вы клиент, который отказался от сделки и не нашел свои данные на сайте или не нашел ценных файлов, это не значит, что мы забыли о вас, это значит только то, что данные были проданы и только поэтому они не были опубликованы в свободном доступе!


Пока никто из пострадавших не согласился платить выкуп в биткоинах. 
По ссылке "Files" под каждой карточкой компании их представители могут увидеть некоторые файлы, которые вымогатели предлагают просмотреть в качестве доказательства компрометации. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Проверяет и отключает функции восстановления и исправления Windows на этапе загрузки, удаляет найденные бэкапы с помощью команд: 
bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet

Список типов файлов, подвергающихся шифрованию и перезаписи:
 .1cd, .3ds, .3fr, .3g2, .3gp, .7zip, .accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .ace, .adp, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .amv, .apk, .arj, .arw, .ascx, .asm, .asmx, .asp, .aspx, .avi, .avs, .backup, .bak, .bat, .bay, .bin, .blob, .bmp, .bz2, .cab, .cer, .cfg, .cfm, .chm, .chw, .cnt, .config, .contact, .core, .cpp, .crt, .css, .csv, .cub, .cvs, .dae, .dat, .dbf, .dbx, .dc3, .dcm, .dcr, .dib, .dic, .dif, .divx, .djvu, .dlf, .dmg, .dmp, .doc, .docm, .docx, .dot, .dotx, .dsm, .dsn, .dwg, .dwt, .dxf, .eml, .epsp, .exif, .exr, .f4v, .flv, .geo, .gif, .gzip, .htm, .html, .ibank, .ico, .idx, .iff, .imr, .inc, .indd, .ini, .iso, .jar, .java, .jdk, .jpe, .jpeg, .json, .jsp, .key, .kmz, .kwm, .ldf, .log, .lzh, .m1v, .m4a, .m4p, .m4v, .max, .md5, .mda, .mdb, .mde, .mdf, .mdw, .mht, .mhtml, .mil, .mka, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .msg, .msi, .myi, .nef, .obi, .obj, .odc, .odm, .odp, .ods, .odt, .oft, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pas, .pdb, .pdf, .pdx, .pfx, .php, .pict, .pls, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppt, .pptm, .pptx, .psb, .psd, .pst, .pub, .qbb, .qbw, .r3d, .rar, .raw, .reg, .rgbe, .rss, .rtf, .safe, .scc, .settings, .sie, .SLDASM, .SLDDR, .SLDPRT, .slk, .sln, .spf, .spi, .spk, .sql, .stm, .sum, .svg, .svgz, .swf, .swift, .tab, .tar, .tar.gz, .tbi, .thmx, .tif, .tlg, .torrent, .tum, .txt, .vbs, .vdi, .vmdk, .vob, .vss, .wallet, .wav, .webm, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .zip (247 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, бэкапы, базы данных, фотографии, музыка, видео, файлы образов, электронных книг, цифровых сертификатов, архивы, файлы чертежей, прикладных программ и пр. 

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
a7f09cfde433f3d47fc96502bf2b623ae5e7626da85d0a0130dcd19d1679af9b.exe - случайное название вредоносного файла; 
svchost.exe - название вредоносного файла; 
HideClose.mht - извлеченный файл с кодом ключа <EncryptedKey>; 
CompleteRead.mht - извлеченный файл с кодом ключа <EncryptedKey>. 



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Roaming\svchost.exe
C:\Users\Admin\AppData\Local\Temp\a7f09cfde433f3d47fc96502bf2b623ae5e7626da85d0a0130dcd19d1679af9b.exe
C:\Users\Admin\Downloads\HideClose.mht
C:\Users\Admin\AppData\Roaming\CompleteRead.mht

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL (для входа)  hxxx://ibpwmfrlbwkfd4asg57t4x2vkrczuq3uhrfxf6y35xoalwjlztil54ad.onion
Tor-URL (ONYX NEWS)  hxxx://mrdxtxy6vqeqbmb4rvbvueh2kukb3e3mhu3wdothqn7242gztxyzycid.onion/
Email: ampkcz@onionmail.org
BTC: bc1qr084cgjjzyhw32rn9fevxg2qrwqp8rz9d4gj8x
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: cf6ff9e0403b8d89e42ae54701026c1f
SHA-1: a4f5cb11b9340f80a89022131fb525b888aa8bc6
SHA-256: a7f09cfde433f3d47fc96502bf2b623ae5e7626da85d0a0130dcd19d1679af9b
Vhash: 22403655151b00714f0034
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Jiří Vinopal, vx-underground 
 Andrew Ivanov (article author)
 Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 16 апреля 2022 г.

Phantom

Phantom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Phantom Ransomware указано в записке. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Phantom


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .phntm


В конец зашифрованных файлов добавляется маркер: encryptedusing_phntm_ranzomware!

Записка с требованием выкупа называется: How-To-Restore-Your-Files.txt


Содержание записки о выкупе:

.:: Phantom Ransomware ::.
# Whats Happen? #
Your files are encrypted and have the extension: .phntm
But don't worry, we can help you to restore all your files.
# How to recover files? #
If you wish to decrypt your files you will need to pay with bitcoin.
# What about guarantees? #
Its just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us 1 non valuable file (max 1mb)
we will decrypt them and send back to you. That is our guarantee.
# How to contact with you? #
You can write us to our mailboxes : 
phantom1@onionmail.com - phantom1@msgsafe.io - phantom1@cyberfear.com - phantom1@keemail.me
+ Your ID is 'XXXXXXXX', Don't forget to write it in the subject of your e-mail.
# How will the decryption process proceed after payment? #
After payment we will send to you a unique program and detailed instructions for use.
With this program you will be able to decrypt all your encrypted files.
# If I don't want to pay you? #
If you will not cooperate with our service - for us, its does not matter.
But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.
::: Attention :::
Modifying encrypted files or using any third party software will corrupt the encrypted data and makes them unrecoverable.
But if you decided to try third party softwares or modify the encrypted files, first make a copy of them in an isolated storage.
And also don't waste multiple days on it, because every day of delay in contacting us will cost you additional.

Перевод записки на русский язык:
.:: Phantom Ransomware ::.
# Что случилось? #
Ваши файлы зашифрованы и имеют расширение: .phntm
Но не волнуйтесь, мы можем помочь вам вернуть все ваши файлы.
# Как вернуть файлы? #
Если вы хотите расшифровать свои файлы, вам нужно будет заплатить биткойнами.
# А как насчет гарантий? #
Это просто бизнес. Нам абсолютно наплевать на вас и ваши сделки, кроме получения выгоды.
Если мы не будем выполнять свою работу и обязательства - с нами никто сотрудничать не будет. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, вы можете отправить нам 1 неценный файл (макс. 1 Мб)
мы расшифруем их и отправим вам обратно. Это наша гарантия.
# Как с вами связаться? #
Вы можете написать нам на наши почтовые ящики:
phantom1@onionmail.com - phantom1@msgsafe.io - phantom1@cyberfear.com - phantom1@keemail.me
+ Ваш ID 'XXXXXXXX', не забудьте указать его в теме письма.
# Как будет происходить процесс расшифровки после оплаты? #
После оплаты мы вышлем вам уникальную программу и подробную инструкцию по использованию.
С помощью этой программы вы сможете расшифровать все ваши зашифрованные файлы.
# Если я не хочу платить вам? #
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения.
Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
::: Внимание :::
Изменение зашифрованных файлов или использование любой сторонней программы приведет к повреждению зашифрованных данных и сделает их невосстановимыми.
Но если вы решили попробовать стороннюю программу или изменить зашифрованные файлы, сначала сделайте их копию в изолированном хранилище.
А также не тратьте на это несколько дней, ведь каждый день просрочки обращения к нам будет стоить вам дополнительно. 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How-To-Restore-Your-Files.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: phantom1@onionmail.com, phantom1@msgsafe.io,  phantom1@cyberfear.com, phantom1@keemail.me
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Sandor 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 11 апреля 2022 г.

Black Basta

BlackBasta Ransomware

SafeMode Ransomware

BlackBasta Doxware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha20 + RSA-4096 (для шифрования ключа), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Black Basta. На обнаруженном файле было написано: ADA1.exe. Самоназвание группы вымогателей: Black Basta group. Группа BBG угрожает опубликовать украденные данные, если жертвы отказывается платить или медлит с оплатой. 
---
Обнаружения:
DrWeb -> Trojan.DelShadows.20
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win32/Filecoder.OKW
Kaspersky -> HEUR:Trojan.Win32.DelShad.gen
Malwarebytes -> Malware.AI.3879235874
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Lmay
TrendMicro -> TROJ_GEN.R002H09DP22
---

© Генеалогия: Conti ⇒ Black Basta

Знак "⇒" в генеалогии означает переход на другую разработку (другую программу, другой язык программирования, ребрендинг и прочее изменение). 


Сайт "ID Ransomware" идентифицирует это как Black Basta


Информация для идентификации

Активность этого крипто-вымогателя началась в первой половине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первый известный случай Black Basta Ransomware произошел в Германии. Всего за пару недель было взломано 12 компаний. 

К зашифрованным файлам добавляется расширение: .basta

Записка с требованием выкупа называется: readme.txt


Содержание записки о выкупе:
Your data are stolen and encrypted
The data will be published on TOR website if you do not pay the ransom
You can contact us and decrypt one file for free on this TOR site
(you should download and install TOR browser first https://torproject.org)
hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion/
Your company id for log in: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Перевод записки на русский язык:
Ваши данные украдены и зашифрованы
Данные будут опубликованы на TOR сайте, если вы не заплатите выкуп
Вы можете написать нам и расшифровать один файл бесплатно на TOR сайте
(сначала нужно скачать и установить TOR браузер https://torproject.org)
hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion/
ID вашей компании для входа: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX


Другим информатором является изображение (файл 
dlaksjdoiwq.jpg), заменяющее обои Рабочего стола. См. ниже. в разделе "Технические детали". 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, поддельного  установщика Adobe Flash Player, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует Gh0st RAT для проникновения. 
➤ UAC не обходит, требуется разрешение на запуск от имени администратора, иначе шифрование файлов не произойдет. После полученного разрешения захватывается одна из системных служб Windows, например, Fax, и используется для запуска исполняемого файла шифровальщика-вымогателя. 
 Заменяет обои Рабочего стола на свое изображение с текстом, что сеть зашифрована и нужно прочитать файл readme.txt. Затем перезагружает компьютер, используя функцию Shutdown с атрибутами (shutdown -r -f -t 0). 



После перезагрузки компьютера, система загружается в безопасном режиме (Safe Mode) с поддержкой сети, в котором захваченная шифровальщиком служба Windows начнет автоматически шифровать файлы. 
Для шифрования файлов используется алгоритм ChaCha20. Затем ключ шифрования ChaCha20 шифруется открытым ключом RSA-4096, включенным в исполняемый файл. 
Зашифрованные файлы получают специальный значок. Среди файлов есть два одинаковых файла readme.txt (одно и тоже название, один и тот же текст). 




➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, загружает ПК в безопасном режиме с помощью команд:
C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet
C:\Windows\SysNative\bcdedit.exe /deletevalue safeboot
C:\Windows\SysNative\bcdedit /set safeboot network

➤ Изменяет внешний вид зашифрованных файлов с помощью собственного ico-файла. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
dlaksjdoiwq.jpg - название файла изображения, заменяющего обои Рабочего стола; 
ADA1.exe, vsdebugconsole.exe - названия вредоносного файла;  
fkdjsadasd.ico - файл, используемый для иконок зашифрованных файлов. 

Файл ADA1.exe был использован вымогателями во время атаки на The American Dental Association (сокращенно ADA). Видимо в других атаках вредоносный файл может иметь другое название. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\TEMP\dlaksjdoiwq.jpg
C:\Windows\TEMP\fkdjsadasd.ico

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2277218442-1199762539-2004043321-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\AppData\\Local\\Temp\\dlaksjdoiwq.jpg"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta\DefaultIcon
@="C:\\Windows\\TEMP\\fkdjsadasd.ico"
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion



См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB 
MD5: 3f400f30415941348af21d515a2fc6a3
SHA-1: bd0bf9c987288ca434221d7d81c54a47e913600a
SHA-256: 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa
Vhash: 055056655d15556148z76hz23z2fz
Imphash: ede5e0724f09124ab3994aacb2b361db


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 31 мая 2022: 
Записка: readme.txt
Результаты анализа: VT + IA
Обнаружения: 
ESET-NOD32 -> Win32/Filecoder.BlackBasta.B
Microsoft -> Ransom:Win32/Basta.D!ldr
TrendMicro -> Ransom.Win32.BASTACRYPT.SMYACEDT


Обновление информации от 9 августа 2022:
Сообщение >>




Вариант от 7 февраля 2023 или раньше: 
Расширение: .<random>
Записка: instructions_read_me.txt
Tor-URL: hxxxs://bastad5huzwkepdixedg2gekg7jk22ato24zyllp6lnjx7wdtyctgvyd.onion/


Результаты анализа: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.35576
BitDefender -> Generic.Ransom.Basta.A.88A395AA
ESET-NOD32 -> Win32/Filecoder.BlackBasta.B
Rising -> Ransom.BlackBasta!1.E2C3 (CLASSIC)
TrendMicro -> Ransom.Win32.BLACKBASTA.THDBGBB


Ноябрь 2023:
Страсти по Black Basta не утихают. 

=== 2024 ===

Вариант от 24 февраля 2024:
Файл: decryptor.exe
Результаты анализа: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.38922
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackBasta.F
Microsoft -> Ransom:Win64/Basta.SAB!MTB
Symantec -> Ransom.Basta
TrendMicro -> PUA.Win32.BlackBasta.A.decryptor


Вариант от 12 марта 2024:
Файл: SPORTSSOUTHBIZ.exe
Результаты анализа: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.38377
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackBasta.F
Kaspersky -> HEUR:Trojan-Ransom.Win32.BlackBasta.gen
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:Win32/Basta.PB!MTB
TrendMicro -> Ransom.Win32.BLACKBASTA.SMYACKUT


Вариант от 15 марта 2024: 
Записка: instructions_read_me.txt
Файл: sample.exe
Результаты анализа: VT + TG
Обнаружения: 
DrWeb -> Trojan.Encoder.38377
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackBasta.F
Kaspersky -> HEUR:Trojan-Ransom.Win32.BlackBasta.gen
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:Win32/Basta.PB!MTB
Symantec -> Ransom.Basta
TrendMicro -> Ransom.Win32.BLACKBASTA.SMYACKUT



Июнь 2024:
Microsoft продолжает штамповать уязвимости, которыми пользуются хакеры-вымогатели, связанные с группой Black Basta. Статья об очередном факте использования уязвимостей в системах Microsoft. Ссылка >>

Октябрь 2024: 
В октябре члены группировки Black Basta изменили свою тактику, теперь они  выдают себя за ИТ-поддержку Microsoft Teams и взламывают сети. Учетные записи создаются под именами клиентов Entra ID, которые называются так, чтобы выглядеть как служба поддержки, например:
securityadminhelper.onmicrosoft.com
supportserviceadmin.onmicrosoft.com
и др. 
Исследователи утверждают, что внешние пользователи Microsoft Teams находятся в России, а данные о часовом поясе обычно соответствуют Москве. Их цель в том, чтобы снова обманом заставить жертву установить AnyDesk или запустить Quick Assist, чтобы злоумышленники могли получить удаленный доступ к ее устройствам. 
После подключения злоумышленники устанавливают вредоносные программы под названием AntispamAccount.exe, AntispamUpdate.exe и AntispamConnectUS.exe.
Статья об этом на сайте BC >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage + Message
 Write-up, Topic of Support
 Added later: Write-up by BleepingComputer 
 Thanks: 
 0x01r3ddw4rf, PCrisk
 Andrew Ivanov (article author)
 MalwareHunterTeam, LawrenceAbrams, Vitali Kremez 
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *