Play Ransomware
Play Hand-Ransomware
Play Extortion Group
Variants: FinDom
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные на серверах компаний, организаций и частных лиц с помощью комбинации алгоритмов AES + RSA-4096, а затем оставляет текстовый файл с email-адресом, видимо для того, чтобы пострадавшие написали на него и узнали, как заплатить выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется >> Play
Информация для идентификации
Активность этого крипто-вымогателя была в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были из Германии.
К зашифрованным файлам добавляется расширение: .play
Большие файлы шифруются дважды.
Записка с требованием выкупа не использовалась, вместо нее на пострадавшем компьютере оставлялся readme-файл с email-адресом вымогателей.
Содержание текстового файла:
gyeceeidia7y@gmx.com
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Большие файлы шифруются дважды.
Записка с требованием выкупа не использовалась, вместо нее на пострадавшем компьютере оставлялся readme-файл с email-адресом вымогателей.
Содержание текстового файла:
gyeceeidia7y@gmx.com
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Play Ransomware перед шифрованием разбивает файл на 2, 3 или 5 фрагментов, в зависимости от размера файла, а затем шифрует каждый другой фрагмент.
Если пострадавшие компании или организации не платят выкуп в течении установленного срока выплаты (например, 1 неделя), то украденные персональные данные (включая личную информацию о гражданах, удостоверения личности, номера паспортов, финансовые документы и мн. др.) могут быть проданы или опубликованы на сайтах Даркнета.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы.
Также шифруются резервные файлы в синхронизированном облаке.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: gyeceeidia7y@gmx.com
BTC: -
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: gyeceeidia7y@gmx.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 19 ноября 2022:
Email: ***@gmx.de
Tor-URLs:
mbrlkbtq5jonaqkurjwmxftytyn2ethqvbxfu4rgjbkkknndqwae6byd.onion
k7kg3jqxang3wh7hnmaiokchk7qoebupfgoik6rha6mjpzwupwtj25yd.onion
Информация от 6 декабря 2022:
Хакерско-вымогательская группа атаковала и взломала серверы технологического центра Digipolis в Антверпене, отвечающего за различные городские службы и установила срок в 1 неделю для выплаты выкупа. Кажется специалисты Digipolis смогли восстановить работу центра без уплаты выкупа.
Скриншот с сайта Play Ransomware group, свидетельствует о масштабах атак этой группы. Пострадавшие предпочитают замалчивать об инцидентах.
Предполагаемое родство.
Расширение: .FinDom
Записка: OPEN.txt
Email: findomswitch@fastmail.pw
Содержание записки: только email-адрес вымогателей.
Email: findomswitch@fastmail.pw
Содержание записки: только email-адрес вымогателей.
=== 2023 ===
Информация от 9 февраля 2023:
Хакерско-вымогательская группа 23 января 2023 атаковала и взломала серверы производителя сетевого оборудования A10 Networks (штат Калифорния, США). Группа вымогателей Play добавила A10 Networks на свой сайт, угрожая утечкой файлов, которые она украла во время вторжения.
Информация от 19 апреля 2023:
Хакерско-вымогательская группа теперь использует инструменты Grixba и VSS Copying Tool для более продвинутых атак.
Инструмент Grixba, предназначенный для перечисления пользователей и компьютеров в домене, используется злоумышленниками для режима сетевого сканирования и кражи информации, в котором используются WMI, WinRM, удалённый реестр и удалённые службы, а также для определения ПО, работающего на сетевых устройствах. Grixba проверяет наличие антивирусных программ и программ безопасности, наборов EDR, инструментов резервного копирования и инструментов удаленного администрирования, а также офисных приложений и DirectX, что позволяет определить тип сканируемого компьютера. Все собранные данные сохраняет в файлах CSV, сжимает их в ZIP-архив, а затем эксфильтрирует на C2-сервер злоумышленников. Эта информация помогает им планировать следующие шаги атаки.
Инструмент VSS Copying Tool позволяет злоумышленникам взаимодействовать со службой теневого копирования томов (VSS) через вызовы API с использованием связанной библиотеки AlphaVSS.NET и похищать файлы из существующих теневых копий томов, даже если эти файлы используются приложениями.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: quietman7 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.