Если вы не видите здесь изображений, то используйте VPN.

четверг, 14 июля 2022 г.

H0lyGh0st

HolyGhost Ransomware

H0lyGh0st Ransomware

HolyGhost Doxware

Aliases: HolyLocker, SiennaPurple, SiennaBlue

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


HolyGhost Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HolyGhost. На файлах может быть написано: BTLC_C.exe, HolyRS.exe, HolyLock.exe, BLTC.exe. 
Ранний вариант BTLC_C.exe (июнь - октябрь 2021) был написан на C++, а следующие варианты HolyRS.exe, HolyLock.exe и BLTC.exe написаны на Go. 
Для Windows x64. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35578
BitDefender -> Trojan.Generic.31301860
ESET-NOD32 -> WinGo/Filecoder.AX
Kaspersky -> Trojan-Ransom.Win32.Mauri.i
Microsoft -> Ransom:Win32/Filecoder!MSR
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Lmuo
TrendMicro -> Ransom_Filecoder.R002C0DGE22
---

© Генеалогия: H0lyGh0st 2021 > 
H0lyGh0st 2022


Сайт "ID Ransomware" идентифицирует это как H0lyGh0st


Информация для идентификации

Активность этого крипто-вымогателя была замечена в июне 2021 г. и продолжалась по июнь 2022. Ориентирован на англоязычных пользователей, может распространяться по всему миру. По настойчиво продвигаемому во все СМИ мнению Microsoft Threat Intelligence Center этот вымогатель распространяется из Северной Кореи группой DEV-0530 (название от Microsoft), в некоторой степени связанной с другой северокорейской группой PLUTONIUM. 

К зашифрованным файлам добавляется расширение: .h0lyenc

Записка с требованием выкупа называется: FOR_DECRYPT.html

H0lyGh0st, HolyGhost, Ransomware, note, записка

Содержание записки о выкупе:
Please Read this text to decrypt all files encrypted.
Don't worry, you can return all of your files.
Or install tor browser and contact us with your id or company name(If all of pcs in your company are encrypted).
Our site : H0lyGh0stWebsite
Our Service
After you pay, We will send unlocker with decryption key
Attention!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increase price.
4. Antivirus may block our unlocker, So disable antivirus first and execute unlocker with decryption key.

Перевод записки на русский язык:
Прочтите этот текст, чтобы расшифровать все зашифрованные файлы.
Не волнуйтесь, вы можете вернуть все свои файлы.
Или установите браузер Tor и свяжитесь с нами, указав свой id или название компании (если все компьютеры в вашей компании зашифрованы).
Наш сайт: H0lyGh0stWebsite
Наш сервис
После оплаты мы вышлем анлокер с ключом расшифровки
Внимание!
1. Не переименовывайте зашифрованные файлы.
2. Не пытайтесь расшифровать свои данные сторонними программами, это безвозвратно повредит данные.
3. Расшифровка ваших файлов с помощью третьих лиц увеличит стоимость.
4. Антивирус может заблокировать наш анлокер, поэтому сначала отключите антивирус и запустите анлокер с ключом расшифровки.


Записки и текст могут немного отличаться, в зависимости от того, какой компьютер зашифрован: в локальной сети компании или отдельный персональный. 

 

Вымогатели пишут на своем сайте, что они не будут продавать или публиковать данные своих жертв, если им заплатят. Но если жертва не заплатит, они опубликуют все.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FOR_DECRYPT.html - название файла с требованием выкупа;
BTLC_C.exe, HolyRS.exe, HolyLock.exe, BLTC.exe, payload.exe, <random>.exe - разные варианты вредоносного файла H0lyGh0st

 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: matmq3z3hiovia3voe2tix2x54sghc3tszj74xgdy4tqtypoycszqzqd.onion
C2: 193.56.29.123
Email: H0lyGh0st@mail2tor.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: aa4e99b717bcb7e916148a469e69788a
SHA-1: 42fc554d8442a78a48dc624d3de59ae4515eed6d
SHA-256: 541825cb652606c2ea12fd25a842a8b3456d025841c3a7f563655ef77bb67219
Vhash: 0660d6655d65557575157az28!z
Imphash: c7269d59926fa4252270f407e4dab043


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

H0lyGh0st SiennaPurple (файл BTLC_C.exe) - июнь - октябрь 2021
H0lyGh0st SiennaBlue (HolyRS.exe) - октябрь - декабрь 2021
H0lyGh0st SiennaBlue (HolyLock.exe) - март - июнь 2022
H0lyGh0st SiennaBlue (BLTC.exe) - апрель - июнь 2022



Другие варианты, открытые для публичного анализа 15 июля 2021:
IOC: VT, IA + VT



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ранний вариант от 8 октября 2021:
Расширение: .h0lyenc


Содержание записки:
We are <HolyGhost>
All your important files are stored and encrypted. 
Do not try to decrypt using third party software, it may cause permanent data lose. 
To Decrypt all device, 
Contact us: H0lyGh0st@mail2tor.com or install tor browser and visit: 
matmq3z3hiovia3voe2tix2x54sghc3tszj74xgdy4tqtypoycszqzqd.onion
---
Файл проекта: M:\ForOP\attack(utils)\attack tools\Backdoor\powershell\btlc_C\Release\btlc_C.pdb
Файл EXE: BTLC_C.exe
Результаты анализа: VT + TG + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.35593
BitDefender -> Gen:Heur.Bodegun.8
ESET-NOD32 -> Win32/Filecoder.OLY
Kaspersky -> HEUR:Trojan.Win32.Agentb.gen
Microsoft -> Trojan:Win32/SiennaPurple.A!dha
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Swva
TrendMicro -> TROJ_GEN.R002H01GE22





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***
 Thanks: 
 Microsoft Security Intelligence, BleepingComputer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 13 июля 2022 г.

Stop24/7

Stop24/7 Ransomware

Stop247 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> 
Stop24/7 (Stop247)


Сайт "ID Ransomware" Stop24/7 пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была середине июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .stop

Фактически используется составное расширение по шаблону: 
.[stop@onionmail.com].id[<random{7}>].stop

Пример такого расширения: .[stop@onionmail.com].id[KHR1xPc].stop

Записка с требованием выкупа называется: RECOVERY_INFORMATION.TXT



Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED!!!
For data recovery contact us:
stop@onionmail.com
stop24msgsafe.io
Telegram: @stop247
https://t.me/stop247
1. In the first letter, indicate your personal ID!
2. In response, we will send you instructions.
YOUR PERSONAL ID: KHR1***

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!
Для восстановления данных контакт с нами:
stop@onionmail.com
stop24msgsafe.io
Телеграмма: @stop247
https://t.me/stop247
1. В первом письме укажите свой личный ID!
2. В ответ мы вышлем вам инструкцию.
ВАШ ЛИЧНЫЙ ID: KHR1***




Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVERY_INFORMATION.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: stop@onionmail.com, stop24msgsafe.io - адрес без @
Telegram: @stop247
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*** пропущенные варианты ***

Вариант от 30 марта 2023: 
Расширение: .id[<random{7}>].stop
Пример зашифрованного файла: document.txt.id[vaMJXXX].stop
Записка: RECOVERY_INFORMATION.txt
Email: fireco@onionmail.com, firecorecoverfiles@msgsafe.io
Telegram: @firecorecoverfiles
➤ Содержание записки: 
::: Greetings :::
Little FAQ:
.1. 
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.
.2. 
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.
.3. 
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.
Please include your personal ID in the email!
.4.
Q: How to contact with you?
For data recovery contact us:
fireco@onionmail.com
firecorecoverfiles@msgsafe.io
Telegram: @firecorecoverfiles
https://t.me/firecorecoverfiles
.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.
.6.
Q: If I don’t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.
:::BEWARE:::
DON'T try to change encrypted files by yourself! 
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.
YOUR PERSONAL ID: *******



Эта группа контактов используется также в другой программе-вымогателе, которую я назвал CriptomanGizmo Ransomware.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
 Thanks: 
 quietman7, jcalor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 11 июля 2022 г.

BianLian

BianLian Ransomware

BianLian Extortion Group

BianLian Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


BianLian Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES-256 (CBC-режим, пакет Golang AES), а затем требует связаться с вымогателями через Tox или по email, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: BianLian. На файле написано: нет данных. Написан на языке Go. Используется группой BianLian Extortion Group.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35708
BitDefender -> Trojan.GenericKD.61254969
ESET-NOD32 -> WinGo/Filecoder.BT
Kaspersky -> Trojan-PSW.Win32.Stealer.aosa
Malwarebytes -> Ransom.Bianlian
Microsoft -> Ransom:Win64/Bianlian!MSR
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan-qqpass.Qqrob.Hfh
TrendMicro -> Ransom.Win64.BIANLIAN.THHABBB.go
---

© Генеалогия: родство выясняется >> 
BianLian


Сайт "ID Ransomware" начал идентифицировать BianLian только с февраля 2023 года. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди атакованных объектов на данный момент только категории: insurance, education, medicine (страхование, образование, медицина). 

К зашифрованным файлам добавляется расширение: .bianlian

Записка с требованием выкупа называется: Look at this instruction.txt или как-то ещё

BianLian Ransomware, note, записка

Содержание записки о выкупе:
To unblock your data write us to Tox(https://qtox.github.io/) A4B3B0845DA242A64BF17E0DB4278EDF85855739667D3E2AE8B89D5439015F07E81D12D767FC or SWikipedia@mail2tor.com
Don't try to recover yourself otherwise you may lose your data.
Tor website
http://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion/

Перевод записки на русский язык:
Чтобы разблокировать ваши данные, напишите нам на Tox(https://qtox.github.io/) A4B3B0845DA242A64BF17E0DB4278EDF85855739667D3E2AE8B89D5439015F07E81D12D767FC или SWikipedia@mail2tor.com
Не пытайтесь восстановить сами, иначе вы потеряете свои данные.
Tor-сайт 
http://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion/


Другой вариант записки:



Скриншоты с сайта вымогателей:  

На на сайте вымогателей опубликована информация по атакованным объектам
Mooresville Schools, 
High Power Technical Services, 
Anderson Insurance Associates, 
Mackenzie Medical





О том, что является объектом вымогательства по каждому объекту можно прочесть на следующих страницах сайта:

 

 

Со временем сайт может отказаться недоступен или удалён, поэтому эти скриншоты являются доказательством того, что это вымогательство имело место. 


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Кратко о шифровании:
Ключ AES не шифруется открытым ключом и не хранится в зашифрованных файлах. Выполняется прерывистое шифрование файлов, а эта тактика, которая помогает ускорить атаки за счет надежности блокировки данных. 

➤ Шифровальщик самоудаляется после шифрования файлов с помощью команды: cmd /c del <sample.exe> 

Список типов файлов, подвергающихся шифрованию:
Более 1013 расширений файлов. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Look at this instruction.txt - название файла с требованием выкупа;
anabolic.exe, 
Areg.exe, mativ.exe - известные названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\TEMP\mativ.exe
C:\Windows\Temp\Areg.exe
C:\Users\%username%\Pictures\windows.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion/
Email: SWikipedia@mail2tor.com
Tox: A4B3B0845DA242A64BF17E0DB4278EDF85855739667D3E2AE8B89D5439015F07E81D12D767FC
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA-256: b60be0b5c6e553e483a9ef9040a9314dd54335de7050fed691a07f299ccb8bc6
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 0c756fc8f34e409650cd910b5e2a3f00
SHA-1: 70d1d11e3b295ec6280ab33e7b129c17f40a6d2f
SHA-256: eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2
Vhash: 026066655d5d15541az27!z
Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

Другие IOC:
1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43
3a2f6e614ff030804aa18cb03fcc3bc357f6226786efb4a734cbe2a3a1984b6f
46d340eaf6b78207e24b6011422f1a5b4a566e493d72365c6a1cace11c36b28b
3be5aab4031263529fe019d4db19c0c6d3eb448e0250e0cb5a7ab2324eb2224d
a201e2d6851386b10e20fbd6464e861dea75a802451954ebe66502c2301ea0ed
ae61d655793f94da0c082ce2a60f024373adf55380f78173956c5174edb43d49

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 августа 2022:
Сообщение >>
IOC: VT, HA, IA, TG, AR, VMR, JSB

Новость от 23 января 2024:
Статья: Threat Assessment: BianLian




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
Added later: *
SecurityScoreCard report 
Decrypted: BianLian Ransomware 🔐
 Thanks: 
 Finch, BetterCyber
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 6 июля 2022 г.

TheGodFather83

TheGodFather83 Ransomware

Aliases: TorPaste

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель сообщает, что блокирует интернет-соединение и шифрует данные пользователей, а затем требует выкуп $25 в BTC, чтобы вернуть файлы. Оригинальное название: TheGodFather83, указано в заголовке. На файле написано: windowswimn32.bat.
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.50595497
ESET-NOD32 -> BAT/Agent.OKK
Kaspersky -> Trojan.BAT.Agent.bsq
Microsoft -> Trojan:Win32/BatchWiper!MSR
Rising -> Trojan.Agent/BAT!8.1161C (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.10bcc2e5
TrendMicro -> TROJ_GEN.R002C0WGE22
---

© Генеалогия: родство выясняется >> 
TheGodFather83


Сайт "ID Ransomware" TheGodFather83 пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt

Примеры:
README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(1511).txt
README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(13516).txt
README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(29497).txt



Содержание записки о выкупе:
Your Internet Connectivity Has Been Disabled and
Your Files Have Been Encrypted!
To Recover Your Files and Your Internet Connectivity, Please Follow The Instructions:
1. Send $25 USD worth in bitcoin to the following btc address:
3BkgCLuU34sG5RCAmSwZLteKLtCQVqARhg
2. Send an email with the payment proof and your personal instalation key to thegodfather83@mailfence.com
Your Personal Instalation Key: 38514-91863-68915
How To Buy Bitcoins? - https://www.blockchain.com/learning-portal/how-to-get-bitcoins

Перевод записки на русский язык:
Ваше подключение к Интернету отключено и
Ваши файлы были зашифрованы!
Чтобы восстановить файлы и подключение к Интернету, следуйте инструкциям:
1. Отправьте биткойны на сумму $25 США на следующий адрес:
3BkgCLuU34sG5RCAMSwZLteKLtCQVqARhg
2. Отправьте email с подтверждением оплаты и вашим личным ключом установки на thegodfather83@mailfence.com
Ваш персональный ключ установки: 38514-91863-68915
Как купить биткойны? - https://www.blockchain.com/learning-portal/how-to-get-bitcoins


Записка с требованием выкупа написана также на сайте вымогателей: 



Как видно на скриншотах, сайт вообще не использует HTML-разметку. 


Текст со скриншота: 
Your Internet Has Been Disabled, To Enable It Again Please Visit http://torpastezr7464pevuvdjisbvaf4yqi4n7sgz7lkwgqwxznwy5duj4ad.onion/raw/INLC7pVbQPGyfm0h/ ** YOU CAN ONLY ENTER TO THIS LINK WITH TOR BROWSER, DOWNLOAD IT AT https://torproject.org IN ANOTHER DEVICE ** > C:\Users\%USERNAME%\3D Objects\README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Выявленное, согласно VT, поведение:
Скрытно использует cmd и reg.exe для изменения данных в реестре или у файлов. Выполняет пакетные файлы. Создает файлы внутри каталога пользователя. Может заснуть (уклончивые петли), чтобы помешать динамическому анализу. И др. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt - название файла с требованием выкупа;
windowswimn32.bat - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: thegodfather83@mailfence.com
Tor-URL: torpastezr7464pevuvdjisbvaf4yqi4n7sgz7lkwgqwxznwy5duj4ad.onion/
BTC: 3BkgCLuU34sG5RCAmSwZLteKLtCQVqARhg
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 24b1647529c85490db5ad58a4f5a804a
SHA-1: 6c39e32f8edb6dadb2254b61bac396529db6d84c
SHA-256: 4758016824d430fcaab9c96056f0fd4d913826d26445824e19432560af540b26
Vhash: 06404e5f5d1d11z23z500280a5z37z12z3efz
Imphash: ebc638f1f6382a3fa539e03e3cd55aa5


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *