Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 28 августа 2022 г.

Meow

Meow Ransomware

MeowCorp2022 Ransomware

Anti-Russian Extortion Group

Different ContiStolen-based Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель основан на коде, украденном у Conti-2 Ransomware, является его модифицированным вариантом. Он шифрует данные на взломанных серверах с помощью алгоритма ChaCha20, а затем требует связаться с вымогателями по email или в Telegram, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в заголовке записки есть фраза " MEOW! MEOW! MEOW!", а в логинах повторяется "meowcorp2022". 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35892
BitDefender -> Gen:Variant.Lazy.228618
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.R
Kaspersky -> HEUR:Trojan-Ransom.Win32.Conti.gen
Malwarebytes -> Ransom.Conti.Generic
Microsoft -> Ransom:Win32/Conti.IPA!MTB
Rising -> Ransom.Conti!1.DE02 (CLASSIC)
Tencent -> Win32.Trojan.Filecoder.Etgl
TrendMicro -> Ransom.Win32.CONTI.SMTH.hp
---

© Генеалогия: CONTI-2 
(stolen code) >> NB65Unnamed ContiStolen-based, AmeliaMeow, Meow+NB65 (PUTIN, KREMLIN, RUSSIA) и другие варианты. 


Сайт "ID Ransomware" это идентифицирует как MeowCorp (с 23.02.2023). 


Информация для идентификации

Активность этого крипто-вымогателя была замечена в конце августа - в первой половине сентября 2022 г и продолжилась до февраля 2023 года.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .MEOW

Записка с требованием выкупа называется: readme.txt

Meow Ransomware note - записка


Meow Ransomware note - записка

На скриншотах записки, открытой в браузере и в обычном Блокноте, видно, что после ID тянется еще шлейф пропусков или невидимых символов. Если будет повторяться в последующих вариантах, то это можно считать характерным признаком. 

Содержание записки о выкупе:
MEOW! MEOW! MEOW!  
 Your files has been encrypted! 
 Need decrypt?  Write to e-mail: 
 meowcorp2022@aol.com
 meowcorp2022@proton.me 
 meowcorp@msgsafe.io 
 meowcorp@onionmail.org
 or Telegram: 
 @meowcorp2022 
 @meowcorp123 
 Uniq ID: eabc2ef6-246a-482c-8c20-c306d0ada***

Перевод записки на русский язык:
МЯУ! МЯУ! МЯУ!
Ваши файлы были зашифрованы!
Нужна расшифровка? Пишите на почту:
 meowcorp2022@aol.com
 meowcorp2022@proton.me 
 meowcorp@msgsafe.io 
 meowcorp@onionmail.org
 или Telegram: 
 @meowcorp2022 
 @meowcorp123
Uniq ID: eabc2ef6-246a-482c-8c20-c306d0ada***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых типов файлов: 
.exe и текстовые файлы записок. 

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: meowcorp2022@aol.com, meowcorp2022@proton.me, meowcorp@msgsafe.io, meowcorp@onionmail.org
Telegram: @meowcorp2022, @meowcorp123
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 033acf3b0f699a39becdc71d3e2dddcc
SHA-1: 5949c404aee552fc8ce29e3bf77bd08e54d37c59
SHA-256: 222e2b91f5becea8c7c05883e4a58796a1f68628fbb0852b533fed08d8e9b853
Vhash: 025056655d15556az4oz15z27z
Imphash: 393974af133d6ece27fff97c28840d99


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11-12 сентября 2022:
Расширение: .MEOW
Записка: readme.txt
Email: meowcorp2022@aol.com
 meowcorp2022@proton.me 
 meowcorp@msgsafe.io 
 meowcorp@onionmail.org
Telegram: @meowcorp321 
 @meowcorp123 
 @meowcorp2022




Вариант от 18 ноября 2022: 
Вариант, связанный с группой, использующей NB65 Ransomware, напрямую, или через варианты MEOW. 
Расширение: .PUTIN
Записка: readme.txt или README.txt
Telegram: @PutinRestore
Telegram channel: @PutinInformation
Файл: cryptor.exe или другой. 
IOC: VT, VT, VT, VT 
Обнаружения: 
DrWeb -> Trojan.Encoder.35209, Trojan.Encoder.36948, Trojan.Encoder.37059
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Microsoft -> Ransom:Win32/Conti.AD!MTB



Вариант от 14 января 2023:
Расширение: .KREMLIN
Записка: README.txt
Telegram: @KremlinRestore



Вариант от 29 января или раньше:
Расширение: .RUSSIA
Записка: README.txt
Telegram: @RussiaRestore




Новость от 12 февраля 2023:
Вымогатели этой группы решили прекратить свою вымогательскую деятельность и опубликовали дешифратор с ключами для всех версий,  начиная с ноября 2022 года. Для более ранних, видимо нет, ключей. 
После получения сообщения мы скачали исходные архивы и передали их специалистам Emsisoft для создания безопасного дешифровщика. Надеемся, что этот процесс не займёт много времени. 




Новость от 16-17 марта 2022:
Emsisoft из-за сложной и противоречивой обстановки в мире не сделали дешифровщик.
В итоге, вчера Лаборатория Касперского добавила ключи дешифрования для трёх вариантов Meow в свой RakhniDecryptor. 
В настоящий момент могут быть расшифрованы только файлы с расширениями: .PUTIN, .KREMLIN, .RUSSIA

Предлагаем выложить также ключи для раннего варианта, который шифровал файлы с расширением .MEOW 
Безопаснее передать ключи нам, а не публиковать их где попало. 

***

После публикации ключей для трёх вариантов, посыпались однотипные вымогатели от других желающих "наварить бабла" на вымогательстве. 
Мы не стремимся собрать все варианты, но если кто-то хочет и может суммировать информацию, присылайте и мы опубликуем. 


Вариант от 10 марта 2023:
Вариант, связанный с группой, использующей NB65 Ransomware, напрямую, или через варианты MEOW. Определяется DrWeb как Trojan.Encoder.35209.
Расширение: .RCHAT
Записка: README.txt
Telegram: @RansomChat, @RansomRussia

Вариант от 12 марта 2023: 
Расширение: .LOCK2023
Записка: README.txt
Файл: cryptor.exe

Вариант от 27 марта 2023: 
Расширение: .FUETE
Записка: README.txt



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support, Topic of Support-2
 ***
 Thanks: 
 quietman7, Sandor, thyrex, al1963, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 25 августа 2022 г.

ChileLocker

ChileLocker Ransomware

Aliases: ARCrypter 

ChileLocker Cover-Ransomware

ChileLocker Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


ChileLocker Ransomware

Этот крипто-вымогатель шифрует данные серверов Windows и Linux VMWare ESXi с помощью алгоритма NTRU (криптосистема с открытым ключом NTRUEncrypt), а затем требует выкуп в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файлах написано: 0t8I7t8q8.exe или lock.exe, locker.exe. Вымогатели угрожают продать украденные данные, если пострадавшие не свяжутся с ними в течении 72 часов для уплаты выкупа. Злоумышленники использовали ряд уязвимостей ПО Windows (x64) и серверов для установки ПО, предназначенного для кражи данных (инфостилер) и майнинга криптовалюты. Использует ПО NVIDIA Corporation для того, чтобы оставаться незамеченным. Контактирует с IP-адресами в США. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop20.46239
BitDefender -> Trojan.GenericKD.61537098
ESET-NOD32 -> A Variant Of Win64/Agent.BNQ
Kaspersky -> Trojan-Ransom.Win64.Agent.dph
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Conti!MSR
Rising -> Ransom.Agent!1.C6BF (CLASSIC)
Tencent -> Win32.Trojan.Malware.Mecd
TrendMicro -> Ransom.Win64.ELICHLOCK.THIOBBB
---

© Генеалогия: ✂ Conti
ChileLocker (ARCrypter)


Сайт "ID Ransomware" идентифицирует это как Chile Locker


Информация для идентификации

Активность этого крипто-вымогателя была замечена в первой и второй половине августа 2022 г. Атаке подверглось государственное агентство Чили. Ориентирован на англоязычных пользователей, может распространяться по всему миру. По некоторым неподтвержденным данным сначала предполагалась связь с RedAlert Ransomware, но эти данные не были подтверждены. Позже ChileLocker вышел за пределы Чили и нацелился на различные организации по всему миру, включая США, Канаду, Германию, Францию, Китай. 

К зашифрованным файлам добавляется расширение: .crypt

Записка с требованием выкупа называется: readme_for_unlock.txt



Содержание записки о выкупе:

HELLO!
----> Attention <----
DO NOT:
—Modify, rename, copy or move any files or you can DAMAGE them and decryption will be impossible.
—Use any third-party or public Decryption software, it also may DAMAGE files.
—Shutdown or Reset your system, it can damage files.
—Hire any third-party negotiators (recovery/police and etc).
---
Your security perimeter was breached.
Critically important servers and hosts were completely encrypted.
This readme-file here for you to show you our presence in your's network and avoid any silence about hacking and
leakage.
Also, we has downloaded your most sensitive Data just in case if you will not pay,
than everything will be published in Media and/or sold to any third-party.
1) what should you do:
—> You have to contact us as soon as possible (you can find contacts below)
—> You should purchase our decryption tool, so will be able to restore your files. Without our Decryption keys it's
impossible
—> You should make a Deal with us, to avoid your Data leakage
2) your options:
---> IF NO CONTACT OR DEAL MADE IN 3 DAYS:
Decryption key will be deleted permanently and recovery will be impossible.
***

Перевод записки на русский язык:
ПРИВЕТ!
----> Внимание <----
НЕ НАДО:
— Изменять, переименовывать, копировать или перемещать любые файлы, иначе вы можете их ПОВРЕДИТЬ и расшифровка будет невозможна.
—Использовать любое стороннее или общедоступное программное обеспечение для расшифровки, оно также может ПОВРЕДИТЬ файлы.
— Завершать работу или перезагружать систему, это может привести к повреждению файлов.
— Нанимать любых сторонних переговорщиков (восстановление/полиции и т.д.).
---
Ваш периметр безопасности был нарушен.
Критически важные серверы и хосты были полностью зашифрованы.
Этот readme-файл для вас, чтобы показать вам наше присутствие в вашей сети и избежать умалчивания о взломе и утечке.
Кроме того, мы скачали ваши самые конфиденциальные данные на тот случай, если вы не заплатите,
тогда все будет опубликовано в СМИ и/или продано какой-либо третьей стороне.
1) что делать:
—> Вы должны связаться с нами как можно скорее (вы можете найти контакты ниже)
—> Вам следует приобрести наш инструмент дешифрования, чтобы иметь возможность восстановить ваши файлы. Без наших ключей расшифровки это невозможно
-> Вы должны заключить с нами сделку, чтобы избежать утечки ваших данных
2) ваши варианты:
---> ЕСЛИ НЕТ КОНТАКТА ИЛИ СДЕЛКИ, СДЕЛАННОЙ В ТЕЧЕНИЕ 3 ДНЕЙ:
Ключ расшифровки будет удален навсегда, и восстановление будет невозможно.
***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ ChileLocker обладает возможностями получения доступа к исполняемым файлам, может завершать процессы и распространяться по локальной сети. Добавляет себя в Автозагрузку системы, использует в разделе Run имя SecurityUpdate для выполнения при старте системы. 

Раздел реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Типы файлов, пропускаемые при шифровании: 
.crypt, .blf, .regtrans-ms, .library-ms, .sys, .tmp, .log, .log.tmp, .exe, .bat, .msi, .dll, .ini 

Пропускаемые директории: Boot, Windows и другие критические, чтобы не сделать систему непригодной для использования.

Кроме расширения .crypt, зашифрованные файлы будут отображать сообщение «ALL YOUR FILES HAS BEEN ENCRYPTED» в менеджере файлов из-за изменений следующих ключей реестра:
HKCU\Control Panel\International\sShortDate
HKLM\SYSTEM\ControlSet001\Control\CommonGlobUserSettings\Control Panel\International\sShortDate


Файлы, связанные с этим Ransomware:
readme_for_unlock.txt - название файла с требованием выкупа;
0t8I7t8q8.exe
 - случайное название вредоносного файла - random.exe;
lock.exe, locker.exe - названия вредоносного файла;
bat-файлы со случайными названиями (6c1W1w0p9.bat, 2g3F4q1c8.bat и им подобные);
win.zip (win.exe) - архив с вредоносным исполняемым файлом-дроппером; он содержит ресурсы BIN и HTML.

Зашифрованные данные, для которых требуется пароль содержатся в BIN, а HTML содержит данные о выкупе. Если указан пароль, BIN создаст случайный каталог на скомпрометированной машине для хранения полезной нагрузки второго этапа, название которой будет состоять из случайных буквенно-цифровых символов.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: стерты из записки исследователями вредоносных программ
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 58aea2aac89947773dfae8e3859e20b0
SHA-1: be17c41c65703f9475e36dff55fd3de220e395f3
SHA-256: 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d
Vhash: 075076655d1555155550d8z85nz1fz
Imphash: 8649071454a1f3666a535bb853332eef
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA256: c42834ac1c8efc19c44024f1e4960c5a9aaab05dc9fceb0d1596ffe0c244f5f2


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление ноября 2022: 
Статья на сайте Bleeping Computer >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***
 Thanks: 
 to the authors who described it
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 19 августа 2022 г.

Moisha

Moisha Ransomware

PT_MOISHA Hacking Team

Moisha Doxware

(хакерская группа, шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


Moisha Ransomware

Эта хакерская группа использует крипто-вымогатель, чтобы шифровать данные атакованных бизнес-пользователей, а затем сообщает, что сеть взломана, а данные украдены. Вымогатели требуют выкуп в $10000, чтобы не публиковать украденные файлы и получить дешифровщик для расшифровки файлов. Оригинальное название: Moisha, а название группы PT_MOISHA team. На файле написано: lsassd.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35760
BitDefender -> Trojan.GenericKD.61278257
ESET-NOD32 -> MSIL/Filecoder.Hamster.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmod.gen
Malwarebytes -> Ransom.Filecoder.MSIL
Microsoft -> Ransom:Win32/Moisha!MSR
Rising -> Ransom.Crypmod!8.DA9 (CLOUD)
Tencent -> Msil.Trojan.Crypmod.Bplw
TrendMicro -> Ransom.MSIL.MOISHA.THHBBBB
---

© Генеалогия: родство выясняется >> 
Moisha


Сайт "ID Ransomware" Moisha пока не идентифицирует. 


Информация для идентификации

Активность этих вымогателей была в середине августа 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам никакое расширение не добавляется. 

Записка с требованием выкупа называется: !!!READ TO RECOVER YOUR DATA!!! PT_MOISHA.html





Содержание записки о выкупе:
Hi it's me PT_MOISHA  
Our team has penetrated your corporate network!
What have we done?
1.We stole documents compromising your company:
_Projects!
__Client bases!
___Postal correspondence!
____Personal data of employees and customers!
2.When we left, we encrypted your computers with all the documents and left you this note!
We are waiting for you within 72 hours for negotiations, after this time we will gradually begin to destroy YOUR Business!  
What do we plan to do with your documents?
1.We will carefully analyze everything that we have stolen from you, we are already doing it!
2.After analyzing the stolen projects, documents, personal data, we will start selling them on the black market!
3.We will organize the leak of your corporate documents, those that we do not need but are very important to you!
4.After complete sorting and analysis of the data, we will start mailing to your customers, having previously prepared the sitesleaks with your corporate data!
5.We will report your company's hack in the news and newspapers, it will be the collapse of your business!
6.After some time, we will begin to harass and terrorize your customers!
after some time, your documents, and projects that are not needed by us, will be available for everyone to view here!
http://moishddxqnpdxpababec6exozpl2yr7idfhdldiz5525ao25bmasxhid.onion
Use TorBrowser
!!!HOW TO AVOID ALL OF THIS!!!
We have good news for you, everything that happened, happened, but we can return everything! If we agree with YOU$
Cancel all actions with the sale, leakage and destruction of your reputation and the company as a whole! If we agree with YOU$
Let's get down to business!! WHAT DO WE WANT? we want MONEY) in exchange for money you get:
1.Decryptor to decrypt your files.
2. We will not sell your designs and documents.
3.We will remove all your files from our servers, this will stop your documents and projects from being leaked.
4. We will not terrorize your customers.
5. We will not report to the news and newspapers that you are not reliable and cannot be trusted.
6.We will tell your administrators how we penetrated your network, this is important for you!
THE PRICE OF OUR SILENCE: $10,000 usd!
Are you satisfied with our offer? Do you want to lose your reputation? Do you value your employees and partners? we're sure you don't want the hype! write to us:
In the first message, tell the operator your MOISHAID: AF042w38-h547-u295-1318-a081de5*****  
for quick connection use: moisha_pt@mailfence.com
To start negotiations and restore data, use the Tox messenger, you can download it here https://tox.chat/  
launch the messenger and add our operator as a friend, in the first message tell the operator MOISHAID !!
operator contact: 693E9B36480678C055A135337A72913FA16F704919BCEBDFC647ACB0BCACF160AA408304642B
We are waiting for you within 72 hours for negotiations, after this time we will gradually begin to destroy YOUR Business!
do not try to recover files yourself, this will lead to complete data loss!


Перевод записки на русский язык:
Привет, это я PT_MOISHA
Наша команда проникла в вашу корпоративную сеть!
Что мы наделали?
1. Мы украли документы, компрометирующие вашу компанию:
_Проекты!
__Клиентские базы!
___Почтовая переписка!
____Персональные данные сотрудников и клиентов!
2. Когда мы ушли, мы зашифровали ваши компьютеры всеми документами и оставили вам эту записку!
Ждем вас в течение 72 часов для переговоров, по истечении этого времени мы постепенно начнем разрушать ВАШ бизнес!  
Что мы планируем делать с вашими документами?
1. Мы тщательно проанализируем все, что у вас украли, мы это уже делаем!
2.После анализа украденных проектов, документов, личных данных мы начнем продавать их на черном рынке!
3. Организуем утечку ваших корпоративных документов, которые нам не нужны, но очень важны для вас!
4.После полной сортировки и анализа данных, мы приступим к рассылке вашим клиентам, предварительно подготовив сайты утечки с вашими корпоративными данными!
5. Мы сообщим о взломе вашей компании в новостях и газетах, это будет крахом вашего бизнеса!
6. Через какое-то время мы начнем травить и терроризировать ваших клиентов!
через какое-то время ваши документы, и не нужные нам проекты, будут доступны для просмотра всем желающим здесь!
http://moishddxqnpdxpababec6exozpl2yr7idfhdldiz5525ao25bmasxhid.onion
Используйте TorBrowser
!!!КАК ВСЕГО ЭТОГО ИЗБЕЖАТЬ!!!
У нас для вас хорошие новости, все что было, то было, но мы можем все вернуть! Если мы согласны с ВАМИ $
Отмените все действия с продажей, утечкой и уничтожением вашей репутации и компании в целом! Если мы согласны с ВАМИ $
Давайте приступим к делу!! ЧТО МЫ ХОТИМ? мы хотим ДЕНЬГИ) в обмен на деньги вы получаете:
1. Decryptor для расшифровки ваших файлов.
2. Мы не будем продавать ваши проекты и документы.
3. Мы удалим все ваши файлы с наших серверов, это предотвратит утечку ваших документов и проектов.
4. Мы не будем терроризировать ваших клиентов.
5. Мы не будем сообщать в новостях и газетах, что вы ненадежны и вам нельзя доверять.
6. Мы расскажем вашим администраторам, как мы проникли в вашу сеть, это важно для вас!
ЦЕНА НАШЕГО МОЛЧАНИЯ: 10 000 долларов США !
Вы довольны нашим предложением? Вы хотите потерять свою репутацию? Вы цените своих сотрудников и партнеров? мы уверены, что вы не хотите шумихи! напишите нам:
В первом сообщении сообщите оператору свой MOISHAID: AF042w38-h547-u295-1318-a081de52e321  
для быстрого подключения используйте: moisha_pt@mailfence.com  
Для начала переговоров и восстановления данных используйте мессенджер Tox, скачать его можно здесь https://tox.chat/  
запустить мессенджер и добавить в друзья нашего оператора, в первом сообщении указать оператора MOISHAID!!
контакт оператора: 693E9B36480678C055A135337A72913FA16F704919BCEBDFC647ACB0BCACF160AA408304642B
Ждем вас в течение 72 часов на переговоры, после этого времени мы постепенно начнем разрушать ВАШ бизнес!
не пытайтесь восстанавливать файлы сами, это приведет к полной потере данных!


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!READ TO RECOVER YOUR DATA!!! PT_MOISHA.html - название файла с требованием выкупа;
lsassd.exe  - случайное название вредоносного файла;
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://moishddxqnpdxpababec6exozpl2yr7idfhdldiz5525ao25bmasxhid.onion
Email: moisha_pt@mailfence.com
Tox мессенджер: 693E9B36480678C055A135337A72913FA16F704919BCEBDFC647ACB0BCACF160AA408304642B
BTC: -
См. ниже в обновлениях другие адреса и контакты. 


Сайт вымогателей для нас не открылся. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: d197883d8745a61fe25aebea85622a65
SHA-1: 5d22d359e7b8dc70ccf5e369fb07f2e0960ef76f
SHA-256: b3ebc327773f5f846deeb1255475644a630c4d0d3b4eda3bbf995a36599c07cf
Vhash: 254036655511608c29130080
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 Anneries, quietman7, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 10 августа 2022 г.

Filerec

Filerec Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Filerec Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: вероятно, Filerec, т.к. вымогатели позиционируют себя как "восстановители файлов". На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется. 



Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале августа 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .filerec

Фактически используется составное расширение по шаблону: .id[<ID>].[<email>].original_filename.filerec

Примеры имен зашифрованных файлов: 
.id[dWbXBaPh].[datarc89@cyberfear.com].file5.txt.filerec
.id[yVfk7QDY].[datarc89@cyberfear.com].photo001.png.filerec

Записка с требованием выкупа называется: filerec.txt

Filerec Ransomware note, записка

Содержание записки о выкупе:
All Your  Files,document,photos,databases,and Other Files Encrypted And Downloaded .your Immprtant Files Is Uploaded To Our Servers  (Data Breach).
The Only Method Of Decrypt And Preventing Data Leak Is To Email Us . Only We Can Recover Your Files And Preventing Data Leak.
What Is The Data Leak ?
When You Did Not Get Paid Back We Sell Your Data In Darkweb .
What Happend After Data Leak ?
Everyone Can Access To Your Data Such Your Personal Images , Databases ,Invoices,Credit Card Numbers, Etc .
For Your Sure You Can Request File From Us.
Cost Of Decryption And Data Leak Is Diffrent.
datarc89@cyberfear.com
If There Is No Response From Us (FileRec69@mailfence.com).
check spam folder
your id : XXXXXXXX , mention it in your mail
Free Files Decryption As Guarantee 
Before Paying You Can Decrypt One File For Free With Contacting Us.
The Size Of File Must Be Less Than 5mb (Non Immportant File) And The File Should Not Contain Valuable Information.
(Databases,backups,large Excel Sheets,etc).
/*Important*/
dont delete files at c:\filerec

Перевод записки на русский язык:
Все ваши файлы, документы, фото, базы данных и другие файлы зашифрованы и загружены. Ваши важные файлы загружаются на наши серверы (нарушение данных).
Единственный способ расшифровать и предотвратить утечку данных — написать нам на email. Только мы можем восстановить ваши файлы и предотвратить утечку данных.
Что такое утечка данных?
Когда вы не вернули деньги, мы продаем ваши данные в Darkweb.
Что произошло после утечки данных?
Каждый может получить доступ к вашим данным, таким как ваши личные изображения, базы данных, счета-фактуры, номера кредитных карт и т. д.
Вы уверены, что можете запросить у нас файл.
Стоимость расшифровки и утечки данных различна.
datarc89@cyberfear.com
Если от нас нет ответа (FileRec69@mailfence.com).
проверьте папку со спамом
ваш id: XXXXXXXX, укажите его в письме
Бесплатная расшифровка файлов в качестве гарантии
Перед оплатой вы можете бесплатно расшифровать один файл, связавшись с нами.
Размер файла должен быть менее 5 МБ (неважный файл), и файл не должен содержать ценную информацию.
(базы данных, резервные копии, большие листы Excel и т.д.).
/*Важно*/
не удалять файлы в c:\filerec


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
filerec.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\filerec

Примерное содержимое папки filerec



Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: datarc89@cyberfear.com, FileRec69@mailfence.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support-1, Topic of Support-2
 ***
 Thanks: 
 quietman7, Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *