RedTeam Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34363
BitDefender -> Generic.Ransom.Babuk.!s!.G.2501B74B
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.3155384457
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Rising -> Ransom.Babuk!1.D7A0 (CLASSIC)
Symantec -> Ransom.Babuk
Tencent -> Win32.Trojan.Filecoder.Lhxd
TrendMicro -> Ransom.Win32.BABUK.SMRD1
---
© Генеалогия: Babuk >> RedTeam
TrendMicro -> Ransom.Win32.BABUK.SMRD1
---
© Генеалогия: Babuk >> RedTeam
Активность этого крипто-вымогателя была в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .REDTM
Кроме того, в зашифрованных файлах есть маркер: Hello from redTM
Записка с требованием выкупа называется: HowToDecryptYourFiles.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов.
Кроме того, в зашифрованных файлах есть маркер: Hello from redTM
Записка с требованием выкупа называется: HowToDecryptYourFiles.txt
===================
Hello from RED TEAM
===================
Your files has been encrypted and can only be decrypted by using our special decryptor.
Private and sensitive company's data will be published shortly, therefore we should reach an agreement to avoid this.
We recommend the authorized person to contact our support urgently to address this issue.
Support email:
alphasupport@onionmail.org
Reserve email:
alphareserve@tuta.io
4reserve@tuta.io
Don't modify encrypted files and don't try any third-party decryptors, it will damage files and decryption will be impossible!
=====
redTM
=====
Перевод записки на русский язык:
====================
Привет от RED TEAM
====================
Ваши файлы были зашифрованы и могут быть расшифрованы только нашим специальным расшифровщиком.
Частные и конфиденциальные данные компании будут опубликованы в ближайшее время, поэтому мы должны договориться, чтобы избежать этого.
Мы рекомендуем уполномоченному лицу срочно обратиться в нашу службу поддержки для решения этой проблемы.
Email поддержки:
alphasupport@onionmail.org
Резервный email адрес:
alphareserve@tuta.io
4reserve@tuta.io
Не изменяйте зашифрованные файлы и не пытайтесь использовать сторонние расшифровщики, это повредит файлы и расшифровка будет невозможна!
=====
redTM
=====
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., кроме тех, что находятся в списке пропускаемых директорий и файлов.
Пропускает следующие директории и файлы:
Файлы, связанные с этим Ransomware:
HowToDecryptYourFiles.txt - название файла с требованием выкупа;
ewin.exe - название вредоносного файла (более новый файл, чем elast.exe);
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., кроме тех, что находятся в списке пропускаемых директорий и файлов.
Пропускает следующие директории и файлы:
AppData
Boot
Windows
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
ProgramData
All Users
bootmgr
ntldr
#recycle
.REDTM
Файлы, связанные с этим Ransomware:
HowToDecryptYourFiles.txt - название файла с требованием выкупа;
ewin.exe - название вредоносного файла (более новый файл, чем elast.exe);
elast.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: alphasupport@onionmail.org, alphareserve@tuta.io, 4reserve@tuta.io
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: b1506fec2b3988ff33fb5e6c5076439d
SHA-1: 295b9010c3eb13496b3a1379e73c5d2317c2134d
SHA-256: 3a64d8f4f91013a46b8114092a5d691a93a9e559be43f9f7b4ceb3bd6a1a1876
Vhash: 0840565d1555155098z391z2dz33z1fz
Imphash: 202fa14f574c71c2f95878e40a79322d
MD5: 344d23c036cf33a82cf9a454a90ff274
SHA-1: 2a650979c1272dd52a3f4374e722f7a1acc72b06
SHA-256: d57f4a81dcbfd938b8beca24957ea0854a0fe93dcea5d0f24e94412d485de00c
Vhash: 0840565d1555155098z391z2dz33z1fz
Imphash: 202fa14f574c71c2f95878e40a79322d
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***
Thanks: quietman7 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.