Если вы не видите здесь изображений, то используйте VPN.

понедельник, 1 августа 2022 г.

N3ww4v3, Mimic

N3ww4v3 Ransomware

Aliases: Mimic, Everything, HorseLovers

(шифровальщик-вымогатель) (первоисточник)
Translation into English


N3ww4v3 Ransomware

Этот крипто-вымогатель шифрует данные на персональных компьютерах, в локальных сетях компаний, организаций,учреждений и их серверах с уязвимой или взломанной 
конфигурацией RDP с помощью комбинации алгоритмов, а затем требует связаться с вымогателями с помощью email, Skype, ICQ или  мессенджера qTOX, чтобы узнать как заплатить выкуп и вернуть файлы. В новых вариантах для связи предлагаются email, qTOX, ICQ, Skype.  Оригинальное название: в записке не указано. На файле написано: encrypt.exe или что-то ещё. Некоторые варианты отличаются друг от друга, вероятно, используются разными группами. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35534, Trojan.Encoder.36055, Trojan.Encoder.36115
BitDefender -> Gen:Variant.Tedy.175217
ESET-NOD32 -> A Variant Of Win32/Filecoder.Mimic.A
Kaspersky -> HEUR:Trojan.Win32.Scar.gen
Malwarebytes -> Malware.AI.1988362341
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.86 (RDML:/DRY***
Tencent -> Malware.Win32.Gencirc.120817c3
TrendMicro -> TROJ_GEN.R002H09IO22
---

© Генеалогия: родство выясняется >> 
N3ww4v3 


Сайт "ID Ransomware" это идентифицирует как N3ww4v3/Mimic (с 31 марта 2023). 


Информация для идентификации

Активность этого крипто-вымогателя была в конце июля и продолжилась в августе-ноябре 2022 г. Ориентирован на англоязычных или русскоязычных пользователей, может распространяться по всему миру. 
Далее мы видели разные варианты, которые используют разные элементы вымогательства, разный текст и прочее. Смотрите известные нам варианты в обновлениях после основной статьи. 

К зашифрованным файлам добавляется расширение: .n3ww4v3 

Записка с требованием выкупа называется: How-to-decrypt.txt
В более новых 
вариантах содержание записок может различаться по названию и содержанию. 

N3ww4v3 Ransomware note - записка

Содержание записки о выкупе:
|!!!| Hello |!!!|
---> DON'T ignore this and check ALL INFO carefully!!!
*** About situation:
ALL your important files have been encrypted and ALL sensitive information also leaked!
This modification is reversible and data remain safe!
Encrypting your data is only proof , we only interested money, we don't want to damage your reputation , don't want to harm your work, not make a DDOS attack on your infrastructure -  we only check and uploaded your files!
*** IF WE DO NOT FIND A COMMON LANGUAGE:
---> All encrypted data be irretrievably lost.  
---> Leaked data will be published or sold on black-market (or to competitors). 
  This will be followed by serious consequences and all your customers\partners and special services will be notified about it!
!!! FOLLOW INSTRUCTIONS TO AVOID IRREVERSIBLE CONSEQUENCES !!!
!!!YOU NEED ASAP CONTACT WITH US TO DEAL THIS!!!
---> You don't have another way.
Our contacts will be provided below!
****************************************
!!! WARNING !!!
DON'T use any third party software for restoring your data or antivirus solutions!
DO NOT MODIFY ENCRYPTED FILES!
DO NOT RENAME ENCRYPTED FILES!
- it's may entail damage of the private key and, as result - you loss all data.
!!!No software and services available on internet can help you!!!
!!! Decryption of your files with the help of third parties may cause increased price (they add their fee to our and they usually fail) or you can become a victim of a scam.
__________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
REMINDING:
It's in your interests to get your files back and safe all lost files,docs,bases. 
We have your highly confidential/personal data. These data are currently stored on a private server(cloud)!
--->  After payment this cloud will be deleted and your data stay safe!
We guarantee complete anonymity and can provide you with proof and guaranties from our side and our best specialists make everything for restoring, but please should not interfere without us.
|!!!| IF YOU DON'T CONTACT US WITHIN 48 HOURS FROM LOCK YOUR DATA - PRICE WILL BE HIGHER. |!!!|
_________________________________________________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
*** HOW TO CONTACT US:
Just write us an email to this mail(s):
sendr@onionmail.org
sendr@tutanota.com
* To ANONIMOUS contact with us, create a new free email account on the site: tutanota.com (recommended) , onionmail.org , protonmail.com
* To avoid having your email blocked and get spam filters, send private information (such as your private key) with the private notes service:
privnote.com
If you do not receive a reply within 24 hours or do not receive a response to your following messages, contact us with another email or through qTox!
! add our mails to contacts so as not to lose letters from us !
!!! check your spam sometimes, our emails may get there !!!
Your decrypt ID is: ydSr4J56mcJbJ-ABSUzl31J-EtjTnZIkebzT5_2s9wk*n3ww4v3
----------------------------------------
!!! for a quick contact with us or if you will not receive our letters !!!
download qTox and ADD our TOXID.
our individual key(TOXID): 
9E7B8EE126E712BECE1D6A84DD776F25646C13B1E7CDBF00169078EE6EAC653E9B455D7*****
How to download qTOX messenger:
hxxxs://tox.chat/download.html
hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe

Перевод записки на русский язык:
|!!!| Привет |!!!|
---> НЕ ИГНОРИРУЙТЕ это и внимательно проверьте ВСЮ ИНФОРМАЦИЮ!!!
*** О ситуации:
ВСЕ ваши важные файлы зашифрованы, а также утекла ВСЯ конфиденциальная информация!
Эта модификация обратима, и данные остаются в безопасности!
Шифрование ваших данных только доказательство, нас интересуют только деньги, мы не хотим портить вашу репутацию, не хотим навредить вашей работе, не делаем DDOS атаку на вашу инфраструктуру - мы только проверяем и сливаем ваши файлы!
*** ЕСЛИ НЕ НАХОДИМ ОБЩИЙ ЯЗЫК:
---> Все зашифрованные данные будут безвозвратно утеряны.                        
---> Утечка данных будет опубликована или продана на черном рынке (или конкурентам).
  За этим последуют серьезные последствия, о чем будут оповещены все ваши клиенты\партнеры и спецслужбы!
!!! СЛЕДУЙТЕ ИНСТРУКЦИИ ВО ИЗБЕЖАНИЕ НЕОБРАТИМЫХ ПОСЛЕДСТВИЙ!!!
!!!ВАМ НУЖНО СВЯЗАТЬСЯ С НАМИ, ЧТОБЫ СДЕЛАТЬ ЭТО!!!
---> У вас нет другого пути.
Наши контакты будут указаны ниже!
****************************************
!!! ПРЕДУПРЕЖДЕНИЕ !!!
ЗАПРЕЩАЕТСЯ использовать сторонние программы для восстановления данных или антивирусные решения!
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!
- это может привести к повреждению закрытого ключа и, как следствие, потере всех данных.
!!! Никакие программы и сервисы, доступные в Интернете, вам не помогут!!!
!!! Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей и обычно не работают) или вы можете стать жертвой мошенников.
________________________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
НАПОМИНАНИЕ:
В ваших интересах вернуть свои файлы и сохранить все потерянные файлы, документы, базы.
У нас есть ваши строго конфиденциальные/личные данные. Эти данные теперь хранятся на частном сервере (облаке)!
---> После оплаты это облако будет удалено, а ваши данные останутся в безопасности!
Мы гарантируем полную анонимность и можем предоставить вам доказательства и гарантии с нашей стороны, а наши лучшие специалисты сделают все для восстановления, но, пожалуйста, не вмешивайтесь без нас.
|!!!| ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В ТЕЧЕНИЕ 48 ЧАСОВ ПОСЛЕ БЛОКИРОВКИ ДАННЫХ - ЦЕНА БУДЕТ ВЫШЕ. |!!!|
_________________________________________________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
*** КАК С НАМИ СВЯЗАТЬСЯ:
Просто напишите нам письмо на эту почту:
sendr@onionmail.org
sendr@tutanota.com
* Чтобы АНОНИМНО связаться с нами, создайте новую бесплатную учетную запись email на сайте: tutanota.com (рекомендуется) , onionmail.org , protonmail.com
***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ N3ww4v3 Ransomware использует возможности Windows (Powershell и пр.), а также библиотеку OpenSSL для проведения шифрования файлов. 
Для запуска требуется легитимный файл Everything32.dll или Everything64.dll в 64-разрядной системе. 


Список использованных файлов находится в специальной папке с характерным цифровым названием, см. на скриншоте ниже. 


Путь: C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {default} recoveryenabled no
vssadmin delete shadows /all /quiet
wbadmin.exe DELETE SYSTEMSTATEBACKUP
wbadmin.exe delete catalog -quiet

Список типов файлов, подвергающихся шифрованию:
Многие типы файлов, кроме тех, что находится в списках исключаемых.  
Это обязательно будет документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключаемые файлы: 
файлы используемой записки о выкупе
зашифрованные файлы с используемым расширением
boot.ini
bootfont.bin
desktop.ini 
iconcache.db
io.sys
ntdetect.com
ntldr 
ntuser.dat
ntuser.ini
thumbs.db
session.tmp
exe

Исключаемые директории: 
$RECYCLE.BIN, $WINDOWS.~BT, $Windows.~WS,
:\Users\Default\,:\Users\Public\,
Boot, Cache, Common Files, Config.Msi,
C:\Users\User\AppData\Local\{***},
Chrome, Firefox, Internet Explorer, MicrosoftEdge, Mozilla Firefox, Mozilla, Opera, Opera Software, Tor Browser,
Intel, Microsoft, Microsoft Shared, Microsoft.NET, MSBuild, MSOCache,
Packages, PerfLogs,
Program Files (x86), Program Files, ProgramData,
steamapps, System Volume Information,
Temp, tmp, USOShared,
Windows Defender, Windows Journal, Windows NT, Windows Photo Viewer, Windows Security,
Windows, Windows.old, WindowsApps, WindowsPowerShell, WINNT,

Вырубаемые процессы: 
agntsvc.exe,  AutodeskDesktopApp.exe, axlbridge.exe, 
bedbh.exe, benetns.exe, bengien.exe, beserver.exe, 
CoreSync.exe, Creative Cloud.exe, 
dbeng50.exe, dbsnmp.exe, 
encsvc.exe, EnterpriseClient.exe, 
fbguard.exe, fbserver.exe, fdhost.exe, fdlauncher.exe, 
httpd.exe, 
isqlplussvc.exe, java.exe, 
msaccess.exe, MsDtSrvr.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, 
mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, 
node.exe, 
ocautoupds.exe, ocomm.exe, ocssd.exe, oracle.exe, 
pvlsvr.exe, python.exe, 
QBDBMgr.exe, QBDBMgrN.exe, QBIDPService.exe, 
qbupdate.exe, QBW32.exe, QBW64.exe, 
Raccine.exe, Raccine_x86.exe, RaccineElevatedCfg.exe, RaccineSettings.exe, RAgui.exe, raw_agent_svc.exe, 
SimplyConnectionManager.exe, sqbcoreservice.exe, sql.exe, sqlagent.exe, sqlbrowser.exe, sqlmangr.exe, sqlservr.exe, sqlwriter.exe, 
Ssms.exe, Sysmon.exe, Sysmon64.exe, 
tbirdconfig.exe, TeamViewer.exe, TeamViewer_Service.exe, tomcat6.exe, tv_w32.exe, tv_x64.exe, 
VeeamDeploymentSvc.exe, vsnapvss.exe, vxmon.exe, 
wdswfsafe.exe, wpython.exe, wsa_service.exe, wxServer.exe, wxServerView.exe, 
xfssvccon.exe, 

Отключаемые службы: 
AcronisAgent, ARSM, 
backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, 
CAARCUpdateSvc, CASAD2DWebSvc, ccEvtMgr, ccSetMgr, Culserver, 
dbeng8, dbsrv12, DefWatch, 
FishbowlMySQL, 
GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, 
memtas, mepocs, 
MSExchange$, msexchange, msftesql-Exchange, msmdsrv, 
MSSQL$, MSSQL$KAV_CS_ADMIN_KIT, MSSQL$MICROSOFT##SSEE, MSSQL$MICROSOFT##WID, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQL$VEEAMSQL2012, MSSQL, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, MSSQLServerADHelper100, MVArmor, MVarmor64, MySQL57, 
PDVFSService, 
QBCFMonitorService, QBFCService, QBIDPService, QBVSS, 
RTVscan, 
SavRoam, sophos, 
SQL, SQLADHLP, SQLAgent$KAV_CS_ADMIN_KIT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, SQLAgent$VEEAMSQL2012, sqlagent, sqlbrowser, Sqlservr, SQLWriter, 
stc_raw_agent, svc$, 
tomcat6, 
veeam, VeeamDeploymentService, VeeamNFSSvc, VeeamTransportSvc, vmware-converter, vmware-usbarbitator64, VSNAPVSS, vss, 
wrapper, WSBExchange, 
YooBackup, YooIT, 

Отключает системные службы: телеметрию, поиск, дефрагментацию, удаленную поддержку, BITS, VSS, диагностику и прочее. 

Файлы, связанные с этим Ransomware:
How-to-decrypt.txt - название файла с требованием выкупа;
encrypt.exe - название вредоносного файла;
Everything32.dll, Everything64.dll и другие файлы, которые считаются невредоносными, хотя используются только злоумышленниками. 
DC.exe - утилита для контроля Windows Defender, тоже считается невредоносной, хотя используется только злоумышленниками;
sdel.exe, sdel64.exe - файлы утилиты SDelete, тоже считается невредоносной, хотя используется только злоумышленниками;
system86.exe, system64.exe - вредоносные файлы, копии или ассистенты основного файла шифровальщика; 
decr.exe - оригинальный файл для расшифровки файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\Everything32.dll
C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\Everything64.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sendr@onionmail.org, sendr@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 01ff843b385a9e4d58e4a892fda02fd5
SHA-1: 233dae8cdb91e030d792d510eaebadb4a4f5a329
SHA-256: 30f2fe10229863c57d9aab97ec8b7a157ad3ff9ab0b2110bbb4859694b56923f
Vhash: 026056656d155562f3z72zd31z23z8045z3091zb4z147z
Imphash: 03693bdee422e8a1531fe65d84da7646


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.


*

=== РЕКОМЕНДАЦИИ: КАК ДО ТАК И ПОСЛЕ АТАКИ ===

На компьютере нужно удалить все ПО, которое использует библиотеки из пакета OpenSSL и полностью деактивировать Windows Powershell и Windows Script Host как вредоносное/опасное ПО от Microsoft.
Если будете переустанавливать систему, то до установки обязательно отключите от сети и интернета каждый ПК. Потом отключите и полностью удалите Powershell и Windows Script Host без возможности восстановления из бекапов и WinSxS. После удаления зачистите остатки с помощью DISM++, например, или другими способами. 

В программе есть переключение на разные языки.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант: от 25 июля 2022:
"FromSiberiaWithLove"
Расширение: .hicrypt
Результаты анализа: VT + IA
Требуется наличие файла Everything32.dll для запуска. 



Вариант от 19 августа 2022:
Расширение: .n3ww4v3
Записка: How-to-decrypt.txt
Email: itsupport831@reddithub.com



Вариант от 12 сентября 2022:
Расширение: .3kfAp
Записка: How-to-decrypt.txt
Email: help@inboxhub.net, support007@mailfence.com



Вариант от 5 октября 2022:
Расширение: .9niOpX
Записка: How-to-decrypt.txt
Email: help@inboxhub.net




Вариант от 5 октября 2022: 
Расширение: .g0eI9
Записка на русском языке: Instructions.txt
Email: secure5555@msgsafe.io
Результаты анализа: VT + VT + AR



Вариант от 7 октября 2022 и позже: 
Расширение: .0v3yT8
Записка: How-to-decrypt.txt
Email: team@yahooweb.co, ironsupport@onionmail.org
Файл: 0v3yT8.06.10.exe
Результаты анализа: VT + TG + IA


Вариант от 30 октября 2022: 
Расширение: .HONESTBITCOIN
Записка: How-to-decrypt.txt
TOX messenger ID: 95CC6600931403C5***
ICQ: @herkonasladok
Skype: HERKONASLADOK DECRYPTION
Email: herkonasladok@onionmail.org



Вариант от 7 ноября 2022:
Расширение: .r0Qp@3M
Записка: Instruction.txt
Email: team@yahooweb.co, ironsupport@onionmail.org
---
Пострадавшие сообщают, что периодически в Блокноте открывается файл Instruction.txt. Этот Ransomware запрещает доступ к Диспетчеру задач, к Поиску, к Кортане, отключает Защитник и Брандмауэр Windows, вносит изменения в реестр, что показывать сообщение "Your virus and threat protection is managed by your organization" (Ваша защита от вирусов и угроз управляется вашей организацией). Также удаляет все параметры питания из меню "Пуск", даже выключение  не работает. Ничего не делается, если набрать команду "shutdown -s -t 0". 





Вариант от 8 ноября 2022:
Может быть расшифрован с помощью дешифровщика вымогателей.
Это подтверждают пострадавшие, уплатившие выкуп и расшифровавшие файлы. 
Расширение: .Fora
Записка: What_happened_read_me.txt 
TOX ID: 95CC6600931***
ICQ: @ONIONHUNTER
Skype: ONIONHUNTER DECRYPTION
Email: onionhunter@onionmail.org




Вариант от 22 ноября 2022:
Расширение: .t4c2ewdqca
Записка: Instruction.txt
Email: help5555@msgsafe.io




Вариант от 29 ноября 2022: 
Расширение: .PORTHUB
Записка: HOW_TO_DECRYPT.txt
TOX: C55A6B53086***
ICQ: @PORTHUB
Skype: PORTHUB DECRYPTION




Вариант от 1 декабря 2022 или раньше: 
Расширение: .1cy931cn9v 
Email: iron@techmail.info, ironsupport@onionmail.org



Вариант от 7 декабря 2022 в течение месяца:
Расширение: .QUIETPLACE
Записка: Decrypt_me.txt
Email: mcdonaldsdebtzhlob@onionmail.org
ICQ: @mcdonaldsdebtzhlob
qTOX: 95CC6600931403C55E***
Skype: MCDONALDSDEBTZHLOB DECRYPTION
Сумма выкупа: 0.1 BTC
Ключи в реестре с текстом вымогателей: 
HKLM\...\Policies\system: [legalnoticecaption]  All your files have been encrypted with Our virus. ***тут должен быть весь текст записки***
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted with Our virus. ***тут должен быть весь текст записки***




Вариант от 17 января 2023: 
Расширение: .bigspermhorseballs
Записка: Bigspermhorseballs_Decryption.txt
Email: Bigspermhorseballs@onionmail.org
ICQ: @Bigspermhorseballs
qTOX: 95CC6600931403C55E***
Skype: Bigspermhorseballs DECRYPTION
IOC: VT


=== 2023 ===

Вариант от 24 января 2023: 
Расширение: .w9lq64h4
Записка: Instruction.txt
Email: temp515@msgsafe.io



Вариант от 21 февраля 2023 или раньше:
Расширение: .h777XRgNVM777xM
Записка: How-to-decrypt.txt
Email: engines-1@tutanota.com
qTox: 6ED6E259AF8BBDBBAD4908B3F64B3E8F15D22CE25BBE24733A7C5B0312DCD346107FDC8FD969




Вариант от 24 февраля 2023 или раньше: 
Расширение: .darth
Записка: README.txt
Email: aegisbackupz@gmail.com



Вариант от 24 февраля 2023 или раньше: 
Расширение: .Indianguy
Записка: INDIANGUY_DECRYPTION.txt
Email: indianguy@onionmail.org
Tox ID: 95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65




Вариант от 27 февраля 2023 или раньше:
Расширение: .damarans
Записка: ---IMPORTANT---NOTICE---.txt
Email: damarans@mail.ru, damarans@outlookpro.net




Вариант от 19 марта 2023 или раньше: 
Расширение: .HONEYHORSELIKESMONEY
Записка: info.txt
TOX (qtox): 95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
ICQ: @Hairysquid
ICQ: @SEXYHORSES
Skype: SEXYHORSES DECRYPTION
Email sexyhorses@onionmail.org




Вариант от 22 марта 2023 или раньше: 
Расширение: .dataland
Email: newdataland@gmail.com


Вариант от 30 марта 2023:
Расширение: .05ru26hw
Записка: Instruction.txt
Email: hackerone@msgden.net, richard.rivera@onionmail.org




Вариант от 8 апреля 2023: 
Расширение: .pisunellakonososeila@onionmail.org
Записка: OMO_OMO_Decryption.txt
Email: pisunellakonososeila@onionmail.org
BTC: bc1qq3e6xklnm9wzp4jg5fal8yx3x6pvr4n9a8mx9a



Вариант от 18 апреля 2023: 
Extension: .ul8dlsj86v
Ransom note: Instruction.txt
Email: it.support@yahooweb.co, datacenter@onionmail.com



Вариант от 1 мая 2023:
Расширение: .vqu73pg24d
Записка: Instruction.txt
Email: head@yahooweb.co, order@cyberfear.com



Варианты от 16 мая и 10 июня 2023:
Расширение: .thaihorsefuckers@onionmail.org
Записка: READ_ME_MY_FRIEND.txt
Email: thaihorsefuckers@onionmail.org
TOX ID: E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
ICQ: @THAIHORSEFUCKERS
Skype: THAIHORSEFUCKERS DECRYPTION



Вариант от 19 июня или раньше:
Расширение: .anilorak@onionmail.org
Записка: Anilorak_Decryption.txt
Email: anilorak@onionmail.org, anilorakbest@onionmail.org
ICQ: @Anilorakbest
TOX: E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
Skype: Anilorakbest Decryption




Вариант от 29 июля или раньше: 
Расширение: .showrans@mail.ru.show
Записка: ---BILGILENDIRME----NOTU---.txt
Email: showrans@mail.ru

Вариант от 6 августа 2023 или раньше: 
Расширение: .an8uxv2w
Записка: Amigodainapasik_Decryption.txt
Файл: amigo.exe
Пути, расположения: 
C:\Users\Администратор\Desktop\adisable\amigo.exe
C:\Amigodainapasik_Decryption.txt
C:\Users\Администратор\Desktop\AM.zip
C:\Users\Администратор\Desktop\adisable.zip
C:\Users\Администратор\Desktop\adisable\disable_backup.bat

 




Вариант от 18 августа или ранее: 
Расширение: .PISCOSTRUI
Email: piscostrui@onionmail.org
Tox ID: E9164A***
ICQ: @PISCOSTRUI
Skype: PISCOSTRUI DECRYPTION




Вариант от 9 октября 2023:
Расширение: .PANIN
Записка: README.txt
TOX: E9164A982410EFAEBC451C1D5629A***
ICQ: @PANIN
SKYPE: Panin Decryption



Вариант от 21 октября 2023:
Расширение: .PODSTAVLIAIPOPKU
Записка: PODSTAVLIAIPOPKU_DECRYPTION.txt
TOX: E9164A982410EFAEBC451C1D5629A2***
ICQ: @PODSTAVLIAIPOPKU
SKYPE: PODSTAVLIAIPOPKU Decryption



Вариант от 6 декабря 2023:
Расширение: .0nk1udlu
Записка: Instruction.txt
Email: krypto@bingzone.net, krypto111@skiff.com



Вариант от 12 декабря 2023: 
Расширение: .GREEDYFATHER
ICQ: @GREEDYFATHER
SKYPE: GREEDYFATHER Decryption
Email: greedyfather@onionmail.org


Вариант от 24 декабря 2023: 
Расширение: .1000USD
Записка: ----Read-Me-----.txt
Email: yourdata@bk.ru

2024

Вариант от 17 февраля или раньше: 
Расширение: .4ru9b88d70
Записка: Instruction.txt


Вариант от 8 августа 2024:
Расширение: .Jami_decryptionguy
Записка: CONTACT-US.txt
Связь через Jami messenger и TOX messenger 
Выкуп: 0.04-0.05 BTC
Результаты анализа: VT + IA





=== ДЕШИФРОВЩИК = DECRYPTOR ===

Оригинальный дешифровщик выглядит следующим образом. 
Обладание дешифровщиком бесполезно без ключа дешифрования. 







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***
Added later: Write-up by TrendMicro (on January 23, 2023)
 Thanks: 
 S!Ri, quietman7, Sandor, al1963
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 20 июля 2022 г.

Luna

Luna Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации X25519 + алгоритм шифрования AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Luna Ransomware. На файле написано: luna.exe. Написан на языке программирования Rust. Предназначен для атак на системы Windows, Linux и ESXi.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> Luna


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Об активности крипто-вымогателя на момент написания статья ничего не известно. Предварительное заявление было обнаружено на форуме Даркнета в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .luna

Специалисты из Kaspersky Lab сообщили, что требование выкупа, встроенное в бинарный файл, содержит грамматические ошибки. Например, вместо "a small team" злоумышленники написали "a little team". На основании этого они сделали вывод, что разработчики "русскоязычные". 

На мой взгляд это и не ошибка вовсе. Разные онлайн-переводчики предпочитают разные слова. Google с легкостью выдают сайты с названиями "little team" в англоязычном и китайском сегменте Интернета. 


Записка с требованием выкупа называется: не предоставлена.

Содержание записки о выкупе:
***

Перевод записки на русский язык:
***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Распространяется на форумах Даркнета с заявлением, что Luna работает только с русскоязычными партнерами. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
luna.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 Kaspersky Lab
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 16 июля 2022 г.

Rever

Rever Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться через чат в мессенджере Tox, чтобы узнать как заплатить выкуп ~$1000 в BTC и расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Шифрует файлы и требует выкуп одновременно на сервере с Windows и 
Synology NAS-устройстве. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> Rever (
Unnamed 'via Tox' Ransomware) 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам на Synology NAS-устройстве добавляется расширение: .rever

К зашифрованным файлам на сервере Windows добавляется случайное расширение .<RANDOM{8}>, например, .1BC0E5C2 или .356F345C

Уточняю: к разным файлам добавляется РАЗНОЕ расширение. 


Записки с требованием выкупа 
для Windoows и NAS-устройства называются: 
@@@ To Restore Your Files.txt
README_recovery.txt



Содержание записок о выкупе:
How To Restore Your Files
* What happend
---------------------------------------------- 
Your computers and servers are encrypted, backups are deleted from your network and copied. 
We use strong encryption algorithms, so you cannot decrypt your data without us. 
But you can restore everything by purchasing a special program from us - a universal decoder. 
This program will restore your entire network. Follow our instructions below and you will recover all your data. 
If you continue to ignore this for a long time, we will start reporting the hack to mainstream media and posting your data to the dark web. 
* What guarantees? 
---------------------------------------------- 
We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests. 
All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems. 
We guarantee to decrypt one file for free. Go to the site and contact us. 
You have three days to contact us otherwise your personal decoder will be deleted and we won't be able to help you! 
And your personal data will be public. 
* How to contact us? 
---------------------------------------------- 
1) Download for TOX CHAT https://tox.chat/download.html       
2) Open chat
Add ID Chat: AB4FEBA9CABBD9E98CBF6745592B0E1C34F91492FD8D02AD802F92C893F49B201E**********
Your personal ID: XXX-XXX-XXX-XXX-XXXX
If we did not answer you, leave the chat enabled, the operator will contact you!
=================================!!!!!!!!!!!!!!!!!!!!!!!!!==================================
DO NOT TRY TO RECOVER FILES YOURSELF!
DO NOT MODIFY ENCRYPTED FILES!
OTHERWISE, YOU MAY LOSE ALL YOUR FILES FOREVER!
============================================================================================ 

Перевод записки на русский язык:
Как Восстановить Ваши Файлы
* Что случилось?
-------------------------------------------------------------
Ваши компьютеры и серверы зашифрованы, резервные копии удалены из вашей сети и скопированы.
Мы используем надежные алгоритмы шифрования, поэтому без нас вы не сможете расшифровать свои данные.
Но вы можете все восстановить, купив у нас специальную программу - универсальный декодер.
Эта программа восстановит всю вашу сеть. Следуйте нашим инструкциям ниже, и вы восстановите все свои данные.
Если вы продолжите игнорировать это долгое время, мы начнем сообщать о взломе в основных СМИ и публиковать ваши данные в даркнет.
* Какие гарантии?
-------------------------------------------------------------
Мы дорожим своей репутацией. Если мы не будем выполнять свою работу и обязательства, нам никто не заплатит. Это не в наших интересах.
Все наше программное обеспечение для расшифровки отлично протестировано и расшифрует ваши данные. Мы также окажем поддержку в случае возникновения проблем.
Мы гарантируем расшифровку одного файла бесплатно. Зайдите на сайт и свяжитесь с нами.
У вас есть три дня, чтобы связаться с нами, иначе ваш личный декодер будет удален, и мы не сможем вам помочь!
И ваши личные данные будут общедоступными.
* Как с нами связаться?
-------------------------------------------------------------
1) Скачать для TOX CHAT https://tox.chat/download.html
2) Открыть чат
Добавить ID в чат: AB4FEBA9CABBD9E98CBF6745592B0E1C34F91492FD8D02AD802F92C893F49B201E************
Ваш личный идентификатор: XXX-XXX-XXX-XXX-XXXX
Если мы вам не ответили, оставьте чат включенным, с вами свяжется оператор!
=================================!!!!!!!!!!!!!!!!!!!! !!!!!!!!===================================
НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ ФАЙЛЫ САМИ!
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!
ИНАЧЕ ВЫ ПОТЕРЯЕТЕ ВСЕ СВОИ ФАЙЛЫ НАВСЕГДА!
===========================================================================================


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы VHD, резервные копии VM и пр.

Файлы, связанные с этим Ransomware:
@@@ To Restore Your Files.txt - название файла с требованием выкупа в Windows-сервере;
README_recovery.txt - название файла с требованием выкупа в устройстве Synology NAS;

<random>.exe - случайное название вредоносного файла; 
kill_svc.exe - вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
TOX CHAT 
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***
 Thanks: 
 birojano, quietman7, blanko_mab
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 15 июля 2022 г.

GwisinLocker

GwisinLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES-256 + RSA, а затем сообщает, что оригинальные файлы были украдены и требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Gwisin
Использует шифровальщики для Windows и Linux, включая серверы и виртуальные машины VMware ESXi. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется. 

Этимология названия:
Gwisin (귀신) — по-корейски "призрак". 



Сайт "ID Ransomware" GwisinLocker пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2022 г. Ориентирован на англоязычных и корейскоязычных пользователей, может распространяться по всему миру. 
Цель: южнокорейские промышленные, медицинские и фармацевтические компании. 

К зашифрованным файлам добавляется расширение: .[company_name]
В рассмотренном примере это: .mcrgnx

Скомпрометированные конечные точки переименовываются в GWISIN Ghost

Записка с требованием выкупа называется по шаблону: 
!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT

В рассмотренном примере это будет: 
!!!_HOW_TO_UNLOCK_MCRGNX_FILES_!!!.TXT




Записка содержит контактную информацию, а также список данных и интеллектуальной собственности, украденных у компании.

Содержание записки о выкупе:
Hello ***,
You have been visited by GWISIN.
We have exfiltrated a lot of sensitive data from your networks,
including, but not limited to:
I. Production applications, source (Git/SVN), files and DBs
[1] *** (all regions) + *** and other internal platforms
By combining lab *** data and the primary big customer platform
***, it is easy to identify customer projects, credentials and data.
Despite ISO27001 and ISMS-P with a good PIMS strategy, you have failed to protect customer data across all services.
Your privacy policy assures customers their data security and privacy is top priority, reality seems very different.
We wonder what your customers will have to say about that?
[2] *** and general DTC related data
Once again failing to protect very sensitive data and communications of your customers.
[3] Infrastructure and sequencing pipeline data / scripts 
Everything from documentation to project specs to produced VCFs and PDF reports post-analysis were collected.
More importantly, a full deep dive of your network infrastructure documentation and access.
The only way to kick us out is to buy all new hardware, including network equipment (UTM / switches) and sequencing / data storage systems.
Someone could have quietly modified your *** pipeline instead of contacting you, causing you much bigger issues (legal, financial and otherwise).
Can you really trust your results, if you can't trust your input data and processing pipelines?
II. Internal Data & Communications
[1] ERP/CRM Systems (NEOE, Dynamics)
[2] Active Directory dump with credential history (NTDS + passive credential collection)
[3] DO GW with DB (your groupware contains a lot of data)
[4] Exchange email communications (PST) of targeted important employees in various roles
[5] Financial / Accounting / Research / IT / Customer / Etc. documents
- A lot of documents and other files were collected from SHARE/NEWSHARE machines among other servers
- Your DLP and monitoring was rendered effectively useless and could not stop us, neither could your security team and defensive products
We have also encrypted critical Windows and Linux servers.
We recommend that you do NOT restart servers or recovery may be slower.
The good news for you is that we can:
- Decrypt all files with extension ".mcrgnx" very quickly
- Delete all sensitive data we have exfiltrated, instead of selling it
- Help you improve your security
- Disappear and not be your problem anymore
All you have to do is follow the instructions:
1.) Download Tor Browser: https://www.torproject.org/download/
2.) Go to our website: hxxx://gwisin:fa5d9dfc@gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
3.) Login with username: mcrgnx, password: ***
4.) Change password (one time setup)
5.) Setup end-to-end message encryption password
6.) Read the full instructions on the website and contact us using the message system provided there
[WARNING - #1]
If you are having trouble reaching our website, attempt closing and re-opening the Tor browser.
If you are still unable to reach our website, create a DNS TXT record @ mcrgnx.***.com containing a hex-encoded email address and we will contact you.
However, eventually we will need to communicate using our website to preserve the privacy of all parties involved. 
[WARNING - #2]
Do NOT contact law enforcement (such as NPA, KISA or SMPA) or threat intelligence organizations as they may prevent you from recovering quickly.
They can't really help you and they don't care if your business is destroyed in the process.
Contact us within 72 working hours, so we can negotiate in good faith and resolve this quickly.

Перевод записки на русский язык (только начальный текст):

Привет ***,
Вас посетил GWISIN.
Мы украли много конфиденциальных данных из ваших сетей,
в том числе, но не ограничиваясь ими:
I. Производственные приложения, исходники (Git/SVN), файлы и БД
[1] *** (все регионы) + *** и другие внутренние платформы
Объединив лабораторные данные *** и основную платформу для крупных клиентов
*** легко идентифицировать проекты клиентов, учетные данные и данные.
Несмотря на ISO27001 и ISMS-P с хорошей стратегией PIMS, вам не удалось защитить данные клиентов во всех службах.
Ваша политика конфиденциальности гарантирует клиентам, что безопасность их данных и конфиденциальность являются главным приоритетом, реальность выглядит совсем иначе.
Интересно, что об этом скажут ваши клиенты?
[2] *** и общие данные, относящиеся к DTC
*****


Хотя записки о выкупе написаны на английском языке, они содержат ссылки, которые ясно дают понять, что намеченными целями являются южнокорейские фирмы. Там используются символы хангыль (письмо корейского языка) и предупреждения жертвам не связываться с рядом правоохранительных органов Южной Кореи или правительственными учреждениями, включая корейскую полицию, Национальную разведывательную службу и KISA (государственный орган Южной Кореи, регулирующий сферы кибербезопасности). 

Кроме того GwisinLocker изменяет обои Рабочего стола на короткую записку со своим названием. 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Распространяется в виде файла MSI-установщика. Имеет функцию шифрования файлов в безопасном режиме. 
Внутренняя DLL программы-вымогателя работает путем внедрения в обычный процесс Windows. Процесс отличается для каждой зараженной компании.

Список типов файлов в ОС Windows, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Следующие каталоги в ОС Linux исключены из шифрования, чтобы предотвратить сбои в работе этой системы:
bin, boot, dev, etc, lib, lib64, proc, run, sbin, srv, sys, tmp, usr, var, bootbank, mbr, tardisks, tardisks.noauto, vmimages

Эти службы и связанные с ними процессы в ОС Linux уничтожаются перед шифрованием (если установлена ​​опция --vm=2), чтобы обеспечить закрытие дескрипторов открытых файлов:
apache, httpd, nginx, oracle, mysql, mariadb, postgres, mongod, elasticsearch, jenkins, gitlab, docker, svnserve, yona, zabbix, graylog, java

Следующие имена файлов исключаются из шифрования (если установлена ​​опция --sf), поскольку они важны для операций VMWare ESXI. Возможно, чтобы сохранить доступ к виртуальным машинам ESXi. Записки о выкупе также исключены.
imgdb.tgz, onetime.tgz, state.tgz, useropts.gz, jumpstrt.gz, imgpayld.tgz, features.gz, !!!_HOW_TO_UNLOCK_MCRGNX_FILES_!!!.TXT

Это целевые каталоги для шифрования файлов:
/Information/Database/, /Information/korea_data/, /Information/, /Infra/, /var/www/, /var/opt/, /var/lib/mysql/, /var/lib/postgresql/, /var/log/, /usr/local/svn/, /var/lib/docker, /var/db/mongodb, /var/lib/mongodb/, /var/lib/elasticsearch/, /u01/, /ORCL/, /var/lib/graylog-server/, /usr/local/

Если указан параметр --vm=1, GwisinLocker выполняет следующие команды для выключения компьютеров VMWare ESXi перед шифрованием:
esxcli --formatter=csv --format-param=fields=="DisplayName,WorldID" vm process list
esxcli vm process kill --type=force --world-id="[ESXi] Shutting down - %s"

Подробности шифрования (из статьи ReversingLabs): 
GwisinLocker сочетает шифрование с симметричным ключом AES с хешированием SHA256, создавая уникальный ключ для каждого файла. 

Шифрование файлов выполняется по следующему сценарию.
1. Инициируется RSA контекст из встроенного открытого ключа.
2. Генерируется случайный AES ключ и IV:
Инициируется новый SHA256 контекст.
Считываются 32 байта из /dev/urandom, хэш с SHA256 контекстом. 
Используется SHA256 дайджест в качестве ключа для инициализации AES контекста и создания AES ключа.
Повторяются шаги 1-3 с 16 новыми байтами из /dev/urandom, чтобы сгенерировать вектор инициализации.
3. Переименовывается целевой файл в [targetfile].mcrgnx. 
4. Шифруется и сохраняется AES ключ в файле [targetfile].mcrgnx0 : 
Инициируется новый SHA256 контекст.
Считываются 32 байта из /dev/urandom, хэш с SHA256 контекстом.
Используется SHA256 дайджест в качестве ключа для инициализации AES контекста и создания AES ключа 2.
Шифруется AES ключ из части 1 с помощью AES ключа 2.
Шифруется полученный буфер с помощью RSA контекста.
Записывается зашифрованный ключ в [targetfile].mcrgnx0 
5. Наконец, шифруется [targetfile].mcrgnx с помощью незашифрованного AES ключа и IV, сгенерированных на шаге 1.  


Файлы, связанные с этим Ransomware:
!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT - название файла с требованием выкупа;
pox9fxkov.dll, xyfl7gns5.dll - внедряемая DLL;
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 
hxxx://gwisin:fa5d9dfc@gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
Tor-URL: hxxx://gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB - GwisinLocker Ransomware (32x ELF-файл)
MD5: 94c58621f98f796e8b0532e6753b57fe
SHA-1: ce6036db4fee35138709f14f5cc118abf53db112
SHA-256: 71947bbbce8d625b82f2575f33808a3150c21b9d695bc1c0b35c9c10c4a961a3
Vhash: 35300d04482f128b1b6df698f452b66d

IOC: VT, HA, IA, TG, AR, VMR, JSB - GwisinLocker Ransomware (64x ELF-файл)
MD5: 7869667a9713df3359301842858adcac
SHA-1: e85b47fdb409d4b3f7097b946205523930e0c4ab
SHA-256: 7594bf1d87d35b489545e283ef1785bb2e04637cc1ff1aca9b666dde70528e2b
Vhash: 95b97ca2b28295d31df26e4fed621ca7


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Write-up, Topic of Support
 ***
 Thanks: 
 BleepingComputer, AhnLab, ReversingLabs
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *