Royal Ransomware
Aliases: Zeon, Royal Zeon
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель атакует компьютеры, работающие под управлением Windows, локальные сети компаний и виртуальные машины VMware. При этом записка о выкупе распечатывается на принтере. Сумма выкупа варьируется от несколько сотен до 1-2 миллионов долларов. Видимо предварительно вымогатели изучают своих потенциальных жертв — крупные компании и организации.
---
Обнаружения:
DrWeb -> Trojan.DelShadows.21
BitDefender -> Gen:Variant.Lazy.228707
ESET-NOD32 -> A Variant Of Generik.GWRKFWM
Kaspersky -> Trojan.Win32.DelShad.jhf
Malwarebytes -> Ransom.Agent
Microsoft -> Trojan:Win64/Henasome!MSR
Rising -> Trojan.DelShad!8.107D7 (CLOUD)
Обнаружения:
DrWeb -> Trojan.DelShadows.21
BitDefender -> Gen:Variant.Lazy.228707
ESET-NOD32 -> A Variant Of Generik.GWRKFWM
Kaspersky -> Trojan.Win32.DelShad.jhf
Malwarebytes -> Ransom.Agent
Microsoft -> Trojan:Win64/Henasome!MSR
Rising -> Trojan.DelShad!8.107D7 (CLOUD)
Symantec -> Ransom.Royal
Tencent -> Win32.Trojan.Delshad.Snkl
TrendMicro -> Ransom.Win64.ROYALRAN.THIBIBB
---
© Генеалогия: ранние варианты > Zeon > Royal => BlackSuit
TrendMicro -> Ransom.Win64.ROYALRAN.THIBIBB
---
© Генеалогия: ранние варианты > Zeon > Royal => BlackSuit
Активность этого варианта крипто-вымогателя была во второй половине сентября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
По данным Виталия Кремеза, более ранние варианты были замечены еще в феврале 2022 года, но тогда вымогатели использовали шифровальщики от LockBit и BlackCat, потому их вредоносная активность проходила под прикрытием одноименных программ-вымогателей.
Версия для Windows добавляет к зашифрованным файлам расширение .royal
После шифрования теневые копии файлов удаляются, чтобы пострадавшие не могли восстановить прежние копии файлов.
На форуме BleepingComputer пострадавшие сообщили, что расширение виртуального диска (.vmdk) в VMware не изменяется, но весь виртуальный VMDK-диск оказывается зашифрованным.
Записка с требованием выкупа называется README.TXT и оставляется в папках с зашифрованными файлами. В VMware она распечатывается на принтере.
Содержание записки о выкупе:
Hello!
If you are reading this, it means that your system were hit by Royal ransomware.
Please contact us via :
hxxx://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/
In the meantime, let us explain this case.It may seem complicated, but it is not!
Most likely what happened was that you decided to save some money on your security infrastructure.
Alas, as a result your critical data was not only encrypted but also copied from your systems on a secure server.
From there it can be published online.Then anyone on the internet from darknet criminals, ACLU journalists, Chinese government(different names for the same thing), and even your employees will be able to see your internal documentation: personal data, HR reviews, internal lawsuitsand complains, financial reports, accounting, intellectual property, and more!
Fortunately we got you covered!
Royal offers you a unique deal.For a modest royalty(got it; got it ? ) for our pentesting services we will not only provide you with an amazing risk mitigation service,
covering you from reputational, legal, financial, regulatory, and insurance risks, but will also provide you with a security review for your systems.
To put it simply, your files will be decrypted, your data restoredand kept confidential, and your systems will remain secure.
Try Royal today and enter the new era of data security!
We are looking to hearing from you soon!
Перевод записки на русский язык:
Привет!
Если вы читаете это, значит, ваша система была атакована Royal ransomware.
Свяжитесь с нами через:
hxxx://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/***
А пока давайте поясним этот случай. Он может показаться сложным, но это не так!
Скорее всего, произошло то, что вы решили немного сэкономить на своей инфраструктуре безопасности.
Увы, в результате ваши важные данные были не только зашифрованы, но и скопированы из ваших систем на защищенный сервер.
Оттуда его можно опубликовать в Интернете. Затем любой в Интернете от преступников даркнета, журналистов ACLU, правительства Китая (разные имена для одного и того же) и даже ваши сотрудники смогут увидеть вашу внутреннюю документацию: личные данные, обзоры HR, внутренние судебные иски и жалобы, финансовые отчеты, бухгалтерский учет, интеллектуальная собственность и многое другое!
К счастью, мы вас прикрыли!
Royal предлагает вам уникальную сделку. За скромный гонорар (понятно; понятно?) за наши услуги по тестированию на проникновение мы не только предоставим вам удивительную услугу по снижению рисков,
защитит вас от репутационных, юридических, финансовых, нормативных и страховых рисков, а также проведет проверку безопасности ваших систем.
Проще говоря, ваши файлы будут расшифрованы, ваши данные восстановлены и сохранены в конфиденциальности, а ваши системы останутся в безопасности.
Попробуйте Royal уже сегодня и войдите в новую эру безопасности данных!
Мы надеемся получить известие от вас в ближайшее время!
Скриншоты сайта вымогателей:
Технические детали + IOC
Версия для Windows может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов.
Версия для VMware может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью удаленной атаки и взлома.
Вымогатели, стоящие за Royal Ransomware практикуют использование взломанных аккаунтов в Твиттере для передачи информации о скомпрометированных целях журналистам, чтобы новостные агентства освещали атаку и оказывали дополнительное давление на своих жертв. Информационные твиты, содержащие ссылку на просочившиеся данные, якобы украденные из сетей жертв до развертывания шифровальщика, рассылаются журналистам и владельцам компаний.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Исследователь вредоносных программ Michael Gillespie проанализировал работу дешифровщика вымогателей и обнаружил, что при расшифровке файлов очень часты сбои. Таким образом, если пострадавшие заплатят выкуп, то могут и не получить назад свои файлы. Они могут быть попросту повреждены.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: afd5d656a42a746e95926ef07933f054
SHA-1: 04028a0a1d44f81709040c31af026785209d4343
SHA-256: 9db958bc5b4a21340ceeeb8c36873aa6bd02a460e688de56ccbba945384b1926
Vhash: 036076655d1565155550f3z72z7b1z2dz1011z44z1b7z
Imphash: 150bdf1f53f6260c91ec3fcff5867019
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Более ранние варианты - февраль 2022
вариант Zeon - июнь-август 2022
вариант Royal - сентябрь 2022
У более раннего варианта, известного как Zeon, был сайт в сети Tor:
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
У более раннего варианта, известного как Zeon, был сайт в сети Tor:
hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion
Новые атаки в конце 2022 года:
Новые атаки в конце 2022 года:
Новые атаки в мае-июне 2023 года:
Royal Ransomware атакует предприятия, используя BlackSuit Ransomware в некоторых своих атаках.
Статья об этом >>
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + myMessage + Message Write-up, Topic of Support ***
Thanks: Lestatus, quietman7, Michael Gillespie Andrew Ivanov (article author) Vitali Kremez, Lawrence Abrams to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.