Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 25 сентября 2022 г.

DataBankasi

DataBankasi Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется > 
DataBankasi


Сайт "ID Ransomware" DataBankasi пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине - второй половине сентября 2022 г. Ориентирован на турецкоязычных пользователей, может распространяться не только в Турции, но и по всему миру.

К зашифрованным файлам добавляется расширение: .databankasi

Записка с требованием выкупа называется: ---BILGILENDIRME----NOTU---.txt


Содержание записки о выкупе:

######################## Genel Olarak ########################
Sisteminizde ki Verileriniz tarafımızca şifrelenmiştir....
Bilindik Veri Kurtarma Yöntemleri ile Verilerinizi Geri Getiremeyeceğinizi Bilmenizi İsteriz...
Kurtarmaya yönelik yaptığınız çalışmalar hakkınız ancak... 
Geç dönüş yapılması halinde ve kurtarmaya ayırdığınız zaman sizin aleyhinize işleyecek olup geç dönüşlerde her zaman size artı fiyat olarak döneceği hususunuda dikkate alınız.
Veri kurtarma firmaları veya benzer yollar ile verileri geri getirmeye – kurtarmaya çalışmanız Sadece Sizin için Vakit ve Nakit Kaybı olacağı kesin olmak ile birlikte tercih sizindir. 
1-) Son Zamanlarda Piyasada Çok Fazla Ödeme Yapılıp Dataların Açılmaması Durumu Var Özellikle Bu Tip Olayları Yaşayan İnsanlar Daha Az Ücret Ödemek için Hile Hurdaya Başvuran insanlar... 
(Biz işimizi profesyonel olarak yapmaktayız  ödemeyi alır verileri teslim ederiz.Hiç Bir Zaman ödemesi alınmış bir veriyi açmamazlık yapmayız....) 
bu açıklamayı mail ile dönüş yaparken net ve dürüst olmanızı beklediğimi iletmiş için yazdım.  Unutmayın net ve dürüst yaklaşımlar işinizi kolaylaştırcaktır
Güven Konusunda ise, Daha Önce Şifrelediğim ve Verilerini Açtığım Bir Firmayı Referans Gösterebilirim Yada dilerseniz Örnek Dosya Çözümü Yapabiliriz....
2 -) Yine istediğiniz Data Kurtarma Firmasına Gitmekte Özgürsünüz Bir Çoğu Hackerlarla Çalışyor. 
Ama Ben Çalışmıyorum Data Kurtarma Firmalarına Giden Müşterilerin Verileri için Ekstra Ücret talep ettiğimi de bilmenizi isterim....
3-) Yukarıda Bahsettiğim Sorunları Yaşamamak Adına Fake Mailler Açarak Bize Mail Atmayınız Cevap Vermiyoruz Firma Mailleri Dışından Gelen Hiç bir Mail Cevaplanmamaktadır.
4- ) Sizi Tanımıyorum, Dolayısıyla Size Karşı Kötü Duygular Beslememin Size Kötülük Yapmamın peşinde değiliz
işimiz ticaret olarak görüyoruz paramızı alırız verileri teslim ederiz tamamen profesyonel olarak Bu İşten Bir Gelir Elde Etmekteyiz. 
Yaptığınız Ödeme Sonrasında En Kısa Zamanda Verilerinizi Eski Haline Getirmek İçin Decrypter ( Şifreli Dosyaları Çözme ) Programını Gönderiyorum...
Aşağıdaki Referans Kodunuzla Birlikte Verilerinizi Almak isterseniz Lütfen SAAT 11:00  a Kadar Mail Atınız
Yinede Veri Kurtarma Firmaları, data kurtarma girişimleriniz veya Programları Denemek isterseniz Lütfen Dosyaların Aslı üzerinde Değil Bir Yere Kopyalayıp Onlar Üzerinde Deneme Yapınız. 
Aksi halde bozulan dosyalardan siz sorumlu olursunuz.
######################## Benimle iletişime Geçtiğinizde Dikkat Etmeniz Gerekenler ########################
1-) Size teklif ettiğimiz tutarın Üzerine Pazarlık Yapmayınız dikkate almadığınız gibi ısrarcı olunması halinde ekstra ekleme yapmaktayız. 
Özetle bir siz değilsiniz Her Gün Onlarca iş yapmaktayız ve pazarlık için ayıracak vaktimiz de yoktur. 
2-) Yine bir Saat Öncesinin Yedeği Var bir Hafta Öncesinin Yedeği Var Gibi söylemler ile indirim vs talep etmeyiniz varsa böyle bir durum yedeğinizi kurun ve devam edin 
bu gibi durumlara fiyat konusunda indirime konu olmamakla birlikte katiyen pazarlığa konu edilemez.
3-) Çokça karşılaştığımız bizimle iletişime geçmek yerine Sağa Sola datanızı Kurtarırım Diyenler ile iletişim kurup üç beş gün sonra çözüm bulamadan en son bize gelmeniz sizin aleyhinize olacaktır, 
gecikmeler size artı maliyet olarak yansıyacağı hususunu da dikkate alınız. Sıklıkla karşılaştığımız bir konuda, 
Bir çok data kurtarmacı sizden aldığı bilgiler ile bize ulaşmaktadır ve size Vereceğimiz ücrete onlara  veriyoruz onlarda üzerine koyup tekrar size veriyor :)
Biz kesinlikle firma veya kurum yetkili dışında kimseyle pazarlık yapmıyoruz ve veri teslimi yada veri açma yapmıyoruz.. 
Yine bu gibi girişimleriniz sonunda gelirseniz Ücretiniz talep ettiğim tutarın üstünde olacağını bilmenizi isteriz.
4-) Zamanında net ve dürüst bir şekilde Gelip duygu sömürüsü gibi boş talepler ile değil de tam bir profesyonel gibi gelirseniz bizde size karşı gerekli hassasiyeti ve 
profesyonelce ticaretimizi biri birimizi üzmeden tamamlarız. Bunu dışında mazeret mali gerekçe vb istekler ile  indirim talebinde bulunmayınız, 
bu gibi gerekçeleri kesinlikle dikkate almıyoruz  işimizi duygularımızla yürütmüyoruz 10 yıllık tecrübemiz ile artık bu gibi durumlara  pirim vermemekteyiz...
5-) Bize ulaşırken Şirket Maili Dışında Mail göndermeyiniz dikkate almamaktayız.  Nedeni ise Bir Çok Data Kurtarma Firması ve Verilerini Çözdüğünü iddia Eden Dolandırıcılar sizden aldıkları bilgiler ile 
(Özellikle Youtube Üzerinden) Fake Mailler Açıp bize ulaşıyorlar ve sizden para alarak ortadan kaybolmaktadırlar.
Bu yüzden sadece şirket maillerinden gelen yada sizin olduğunuza emin olduğumuz mail adreslerinden gelen iletilere cevap vermekteyiz.
Son olarak data kurtarmacılara ulaşsanız dahi onlar da verileri bizden talep etmektedirler bir nevi aracılıktan öte bir misyonları olmadığı gibi 
son zamanlarda dolandırıcılık aracı olmuştur. Bizimle direk iletişime geçmeniz net ve profesyonelce yaklaşımınız işleminizin çok hızlı bir şekilde hatta gün içinde çözülmesini mümkün kılar.
=> REFERANS KODUNUZ <=
Jf1IjVuXiailC0QqO1hPcXAxXzrWDnxe5RhvQRFeCyA*databankasi
=> MAİL ADRESİMİZ <=
databankasi@mail.ru
databankasi@mail.ru
Yedek Email Adresimiz (Yukardakinden Cevap Alamadığınız Durumlarda)
databankasi@techmail.info
######################## Bu Kısım Data Kurtarma Firmalarına Özel Nottur ########################
Yıllarca Sırtımızdan Para Kazandınız Kurtarmadığınız Verileri Kurtarıyormuş Gibi Lanse Ettiniz Bu Saatten Sonra Hiçbirinizle Çalışmıyorum... 
Fake Mailler Açıp iletişime Geçemeyin Yakalarsam Anlarsam Firmalara İfşa Ederim


Перевод записки на русский язык:
######################## В общем ########################
Ваши данные в вашей системе зашифрованы нами.
Мы хотим, чтобы вы знали, что вы не можете вернуть свои данные с помощью известных методов восстановления данных...
Делать восстановление данных - ваше право, но...
Обратите внимание, затраты на восстановление и время на восстановление, сработают против вас, ***.
Выбор за вами, и вы можете быть уверены, что попытки восстановить данные будут пустой тратой времени и денег — восстановление данных с помощью компаний по восстановлению данных или аналогичными способами.
1-) В последнее время есть ситуация, когда на рынке слишком много платежей, и данные не открываются, особенно люди, испытавшие на себе взломанные программы, чтобы платить меньше...
(Мы делаем свою работу профессионально, мы берем оплату и возвращаем данные. Мы всегда открываем оплаченные данные....)
Я написал это заявление, чтобы показать, что я ожидаю от вас ясности и честности при ответе по email. Помните, четкие и честные подходы облегчат вашу работу.
Что касается доверия, я могу сослаться на компанию, для которой я ранее зашифровал и открыл ее данные, или, если хотите, мы можем сделать образец файлов....
2-) Опять же, вы можете обратиться в любую компанию по восстановлению данных, большинство из них работают с хакерами. Но я не работаю. Я хотел бы, чтобы вы знали, что я беру дополнительную плату за данные клиентов, обращающихся в компании по восстановлению данных....
3-) Чтобы не столкнуться с проблемами, о которых я рассказал выше, не отправляйте нам email, открывая поддельные email.
4-) Я вас не знаю, поэтому мы не хотим испытывать к вам плохие чувства и делать вам плохо.
Мы ведём наш бизнес как коммерцию, мы берем свои деньги, мы возвращаем данные, мы получаем доход от этого бизнеса полностью профессионально.
Я отправлю программу Decrypter (для расшифровки зашифрованных файлов) для восстановления ваших данных как можно быстро после оплаты...
Если вы хотите получить свои данные с приведенным ниже ссылочным кодом, отправьте email до 11:00.
Однако, если вы хотите попробовать фирмы по восстановлению данных, попытаетесь восстановления данные или программы, скопируйте куда-нибудь исходные файлы, а не пробуйте их.
В противном случае вы несете ответственность за поврежденные файлы.
######################## Что нужно учитывать при обращении ко мне #################### # ####
1-) Не торгуйтесь на предлагаемую Вам сумму, т.к. Вы её не снизите, а мы её повысим, если Вы будете настаивать.
Таким образом, вы не единственный, Мы выполняем десятки заказов каждый день, и у нас нет времени торговаться.
2-) Опять же, если есть бэкап для отката, скидки не запрашивайте с заявлениями типа Есть бэкап недельной давности, если это так, то настройте свой бэкап и продолжайте.
В таких случаях, хотя цена не подлежит скидке, она вообще не может быть предметом переговоров.
3-) Будет против вас, если вы обратитесь к тем, кто говорит, что сохранит ваши данные, вместо того, чтобы связаться с нами, с чем мы часто сталкиваемся, и вы придете к нам через 3 или 5 дней, не найдя решения.
Пожалуйста, также примите во внимание, что задержки отразятся на вас как на дополнительные расходы. Например, мы часто сталкиваемся с тем, что
многие восстановители данных обращаются к нам с информацией, которую они получают от вас, и мы отдаем их по той цене, которую мы дали бы вам, а они повышают ее и отдают вам :)
Мы, конечно же, не ведем переговоры ни с кем, кроме уполномоченной компании или учреждения, и мы не предоставляем и не открываем данные.
Мы хотели бы, чтобы вы знали, что если вы придете к нам после таких попыток, ваш выкуп будет выше суммы, которую я запросил.
4-) Если вы придете вовремя четко и честно, не с пустыми требованиями типа эмоциональной эксплуатации, а как полноправный профессионал, мы проявим к вам необходимую чуткость и заботу.
Мы делаем свое дело профессионально, не огорчая друг друга. Кроме того, не запрашивайте скидку с оправданиями, финансовыми причинами и т. д.,
мы не учитываем такие причины, мы не делаем свое дело на эмоциях, мы не даем премии таким ситуациям с нашим 10-летним опытом...
5-) При обращении к нам мы не учитываем, что вы не отправляете никакой почты, кроме Почты Компании. Причина в том, что многие фирмы по восстановлению данных и мошенники утверждают, что решают свои данные с помощью информации, которую они получают от вас.
(Особенно на Youtube) Они открывают поддельные письма, доходят до нас и исчезают, забрав у вас деньги.
По этой причине мы отвечаем только на сообщения с email компании или с email-адресов, которые, как мы уверены, принадлежат вам.
Наконец, даже если вы доберетесь до восстановителей данных, они также запросят данные у нас, т.к. у них нет никакой миссии, кроме своего рода посредника, в последнее время стало средством мошенничества. Обращаясь к нам напрямую, ваш четкий и профессиональный подход позволяет решить вашу сделку очень быстро, даже в течение дня.
=> ВАШ РЕФЕРЕНЦИОННЫЙ КОД <=
Jf1IjVuXiailC0QqO1hPcXAxXzrWDnxe5RhvQRFeCyA*databankasi
=> НАШ АДРЕС ЭЛЕКТРОННОЙ ПОЧТЫ <=
databankasi@mail.ru
databankasi@mail.ru
Наш резервный email-адрес (на случай, если вы не получите ответ сверху)
databankasi@techmail.info
######################## Это специальное примечание для фирм по восстановлению данных ################## ## #####
Вы годами зарабатывали деньги на наших спинах, вы рекламировалиcm, как будто вы восстанавливаете данные, которые вы не восстанавливали, после этого часа я не буду работать ни с кем из вас...
Не открывайте поддельные письма и обращайтесь, если я поймаю, если я узнаю, я сообщу фирмам


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
---BILGILENDIRME----NOTU---.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: databankasi@mail.ru, databankasi@techmail.info
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 22 сентября 2022 г.

Royal

Royal Ransomware

Aliases: Zeon, Royal Zeon

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель атакует компьютеры, работающие под управлением Windows, локальные сети компаний и виртуальные машины VMware. При этом записка о выкупе распечатывается на принтере. Сумма выкупа варьируется от несколько сотен до 1-2 миллионов долларов. Видимо предварительно вымогатели изучают 
своих потенциальных жертв — крупные компании и организации. 
---
Обнаружения:
DrWeb -> Trojan.DelShadows.21
BitDefender -> Gen:Variant.Lazy.228707
ESET-NOD32 -> A Variant Of Generik.GWRKFWM
Kaspersky -> Trojan.Win32.DelShad.jhf
Malwarebytes -> Ransom.Agent
Microsoft -> Trojan:Win64/Henasome!MSR
Rising -> 
Trojan.DelShad!8.107D7 (CLOUD)
Symantec  -> Ransom.Royal
Tencent -> Win32.Trojan.Delshad.Snkl
TrendMicro -> Ransom.Win64.ROYALRAN.THIBIBB
---

© Генеалогия: ранние варианты 
> Zeon > Royal => BlackSuit


Сайт "ID Ransomware" идентифицирует это как Royal


Информация для идентификации

Активность этого варианта крипто-вымогателя была во второй половине сентября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 
По данным Виталия Кремеза, более ранние варианты были замечены еще в феврале 2022 года, но тогда вымогатели использовали шифровальщики от LockBit и BlackCat, потому их вредоносная активность проходила под прикрытием одноименных программ-вымогателей. 

Версия для Windows добавляет к зашифрованным файлам расширение .royal

После шифрования теневые копии файлов удаляются, чтобы пострадавшие не могли восстановить прежние копии файлов. 

На форуме BleepingComputer пострадавшие сообщили, что расширение виртуального диска (.vmdk) в VMware не изменяется, но весь виртуальный VMDK-диск оказывается зашифрованным.

Записка с требованием выкупа называется README.TXT и оставляется в  папках с зашифрованными файлами. В VMware она распечатывается на принтере. 


Royal Ransomware note записка


Содержание записки о выкупе:
Hello!
If you are reading this, it means that your system were hit by Royal ransomware.
Please contact us via :
hxxx://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/
In the meantime, let us explain this case.It may seem complicated, but it is not!
Most likely what happened was that you decided to save some money on your security infrastructure.
Alas, as a result your critical data was not only encrypted but also copied from your systems on a secure server.
From there it can be published online.Then anyone on the internet from darknet criminals, ACLU journalists, Chinese government(different names for the same thing), and even your employees will be able to see your internal documentation: personal data, HR reviews, internal lawsuitsand complains, financial reports, accounting, intellectual property, and more!
Fortunately we got you covered!
Royal offers you a unique deal.For a modest royalty(got it; got it ? ) for our pentesting services we will not only provide you with an amazing risk mitigation service,
covering you from reputational, legal, financial, regulatory, and insurance risks, but will also provide you with a security review for your systems.
To put it simply, your files will be decrypted, your data restoredand kept confidential, and your systems will remain secure.
Try Royal today and enter the new era of data security!
We are looking to hearing from you soon!

Перевод записки на русский язык:
Привет!
Если вы читаете это, значит, ваша система была атакована Royal ransomware.
Свяжитесь с нами через:
hxxx://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/***
А пока давайте поясним этот случай. Он может показаться сложным, но это не так!
Скорее всего, произошло то, что вы решили немного сэкономить на своей инфраструктуре безопасности.
Увы, в результате ваши важные данные были не только зашифрованы, но и скопированы из ваших систем на защищенный сервер.
Оттуда его можно опубликовать в Интернете. Затем любой в Интернете от преступников даркнета, журналистов ACLU, правительства Китая (разные имена для одного и того же) и даже ваши сотрудники смогут увидеть вашу внутреннюю документацию: личные данные, обзоры HR, внутренние судебные иски и жалобы, финансовые отчеты, бухгалтерский учет, интеллектуальная собственность и многое другое!
К счастью, мы вас прикрыли!
Royal предлагает вам уникальную сделку. За скромный гонорар (понятно; понятно?) за наши услуги по тестированию на проникновение мы не только предоставим вам удивительную услугу по снижению рисков,
защитит вас от репутационных, юридических, финансовых, нормативных и страховых рисков, а также проведет проверку безопасности ваших систем.
Проще говоря, ваши файлы будут расшифрованы, ваши данные восстановлены и сохранены в конфиденциальности, а ваши системы останутся в безопасности.
Попробуйте Royal уже сегодня и войдите в новую эру безопасности данных!
Мы надеемся получить известие от вас в ближайшее время!



Скриншоты сайта вымогателей: 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC


Версия для Windows может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. 
Версия для VMware может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью удаленной атаки и взлома. 
См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Вымогатели, стоящие за Royal Ransomware практикуют использование взломанных аккаунтов в Твиттере для передачи информации о скомпрометированных целях журналистам, чтобы новостные агентства освещали атаку и оказывали дополнительное давление на своих жертв. Информационные твиты, содержащие ссылку на просочившиеся данные, якобы украденные из сетей жертв до развертывания шифровальщика, рассылаются журналистам и владельцам компаний. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Исследователь вредоносных программ Michael Gillespie проанализировал работу дешифровщика вымогателей и обнаружил, что при расшифровке файлов очень часты сбои. Таким образом, если пострадавшие заплатят выкуп, то могут и не получить назад свои файлы. Они могут быть попросту повреждены. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: afd5d656a42a746e95926ef07933f054
SHA-1: 04028a0a1d44f81709040c31af026785209d4343
SHA-256: 9db958bc5b4a21340ceeeb8c36873aa6bd02a460e688de56ccbba945384b1926
Vhash: 036076655d1565155550f3z72z7b1z2dz1011z44z1b7z
Imphash: 150bdf1f53f6260c91ec3fcff5867019


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Более ранние варианты - февраль 2022
вариант Zeon - июнь-август 2022
вариант Royal - сентябрь 2022


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

У более раннего варианта, известного как Zeon, был сайт в сети Tor:
hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion


Новые атаки в конце 2022 года:


Новые атаки в мае-июне 2023 года:
Royal Ransomware атакует предприятия, используя BlackSuit Ransomware в некоторых своих атаках.
Статья об этом >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 Lestatus, quietman7, Michael Gillespie
 Andrew Ivanov (article author)
 Vitali Kremez, Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 18 сентября 2022 г.

Donut

Donut Ransomware

Donut Bootkit-Ransomware

Donut Leaks Extortion Group

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Donut Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритма шифрования и эллиптической кривой Curve25519, а затем требует связаться с вымогателями через TOX и узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Donut (D0nut, Don#t). На файле написано: donut.exe или используется случайный набор.
---
Обнаружения:
DrWeb -> Trojan.Encoder.36831
BitDefender -> Trojan.GenericKD.62178978
ESET-NOD32 -> A Variant Of Win64/Kryptik.DPR
Kaspersky -> Trojan-Ransom.Win64.Donut.a
Malwarebytes -> Ransom.Donut
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Ransom.Donut!8.16A5D (CLOUD)
Tencent -> Win64.Trojan.Donut.Ekjl
TrendMicro -> Ransom.Win64.DONUT.THKBEBB
---

© Генеалогия: родство выясняется >> 
Donut


Сайт "ID Ransomware" Donut пока не идентифицирует. 


Информация для идентификации

Активность группы вымогателей Donut Leaks была замечена в августе 2022 года. Они специализировались на взломе корпоративных сетей для кражи данных. Украденные данные вымогатели выкладывали на своем сайте D0N#T__::LEAKS::, чтобы показывать их посетителям, которые могли просматривать часть данных и загружать полные документы за плату. Есть информация о десяти пострадавших компаниях и о том, что злоумышленники, управляющие Donut Leaks, являются пен-тестерами или аффилированным лицом Hive и Ragnar Locker и некоторых других неназванных. Таким образом, украденные данные попадают в руки нескольких групп вымогателей, у которых есть собственные методы вымогательства денег у пострадавших. Это также показывает, что уплата выкупа может не только не предотвратить утечку данных, но и  привести к новым требованиям вымогателей. 


Пример-скриншот с сайта вымогателей

Использование в их атаках крипто-вымогателя, судя по образцу, началось в сентябре 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .d0nut

Записка с требованием выкупа называется: d0nut.html

Donut Ransomware, note, записка

Содержание записки о выкупе:
SO WHAT HAPPENED?
ALL FILES ARE ENCRYPTED WITH INTEGRATED ENCRYPTION SCHEME.
THE FILE STRUCTURE WAS NOT DAMAGED. YOU HAVE BEEN ASSIGNED A UNIQUE IDENTIFIER.
AFTER INFECTION, YOU HAVE 96 HOURS TO DECLARE DECRYPTION.
AFTER THE EXPIRATION OF 96 HOURS, DECRYPTION COST WILL BE AUTOMATICALLY INCREASED.
NOW YOU SHOULD SEND US MESSAGE WITH YOUR PERSONAL ID, WHICH IS AT THE BOTTOM OF THE MESSAGE.
WE HOPE THAT YOU UNDERSTAND THE IMPORTANCE OF THE WORK WE HAVE DONE.
BEFORE PAYING YOU CAN SEND US 2 FILES FOR FREE DECRYPTION.
THE TOTAL SIZE OF FILES MUST BE LESS THAN 2MB.
FILES SHOULD NOT CONTAIN VALUABLE INFORMATION (DATABASES, BACKUPS, LARGE EXCEL SHEETS, ETC..).
ATTENTION! IF YOU WANT TO RECOVER YOUR DATA WITHOUT PROBLEMS - NEVER!!! :
REBOOT, DISCONNECT HARD DRIVES OR TAKE ANY ACTION UNLESS YOU KNOW WHAT YOU ARE DOING!!!
OTHERWISE, WE CANNOT BE 100% SURE THAT THE DECRYPTOR WILL WORK CORRECTLY.
!!!THIS IS ESPECIALLY RELATED TO ESXI!!!
IF YOU WILL TRY TO USE ANY THIRD PARTY SOFTWARE FOR RESTORING YOUR DATA OR ANTIVIRUS SOLUTIONS:
THIS CAN LEAD TO COMPLETE DAMAGE TO ALL FILES AND THEIR IRRECOVERABLE LOSS.
ANY CHANGES IN ENCRYPTED FILES MAY ENTAIL DAMAGE OF THE PRIVATE KEY AND THE LOSS OF ALL DATA.
YOUR PERSONAL ID:
USERNAME AND PASSWORD ARE IDENTICAL TO ABOVE.
SINCE WE ARE USING SSL ENCRYPTION AS WELL AS .ONION, THE CERTIFICATE IS NOT PROPERLY SIGNED.
SO IN ORDER TO GET INTO THE CHAT, YOU NEED TO CONFIRM THE INSECURE CONNECTION EXCEPTION.
OR DUST USE OUR EMBEDED APP (WINDOWS VERSION ONLY FOR NOW). THANK YOU FOR UNDERSTANDING.
YOU CAN DOWNLOAD TOX HERE:
HTTPS://TOX.CHAT/DOWNLOAD.HTML
YOU CAN ALSO WRITE TO THE CHAT LOCATED IN TOR NETWORK AT:
HTTPS://QKBBAXIUQQCQB5NOX4NP4QDCNIY2Q6M7YELUV37N5I5DN7PGPCWXWFID.ONION
YOU CAN DOWNLOAD TOR BROWSER HERE:
HTTPS://WWW.TORPRODECT.ORG/DOWNLOAD/
OUR TOX BELOW:
D3404141459BC7286CC4AFEC16A3463F262CO937A732C12644E7CA97F0615201A519F7EAB2E2
WE HOPE YOU CAREFULLY READ THIS MESSAGE AND ALREADY KNOW WHAT TO DO.

Перевод записки на русский язык:
ЧТО ЖЕ СЛУЧИЛОСЬ?
ВСЕ ФАЙЛЫ ЗАШИФРОВАНЫ С ПОМОЩЬЮ ВСТРОЕННОЙ СХЕМЫ ШИФРОВАНИЯ.
СТРУКТУРА ФАЙЛА НЕ ПОВРЕЖДЕНА. ВАМ ПРИСВОЕН УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР.
ПОСЛЕ ЗАРАЖЕНИЯ У ВАС ЕСТЬ 96 ЧАСОВ, ЧТОБЫ ЗАЯВИТЬ О РАСШИФРОВКЕ.
ПО ИСТЕЧЕНИИ 96 ЧАСОВ СТОИМОСТЬ РАСШИФРОВКИ БУДЕТ АВТОМАТИЧЕСКИ УВЕЛИЧЕНА.
ТЕПЕРЬ ВЫ ДОЛЖНЫ ОТПРАВИТЬ НАМ СООБЩЕНИЕ С ВАШИМ ЛИЧНЫМ ID, КОТОРЫЙ НАХОДИТСЯ ВНИЗУ СООБЩЕНИЯ.
НАДЕЕМСЯ, ЧТО ВЫ ПОНИМАЕТЕ ВАЖНОСТЬ ПРОДЕЛАННОЙ НАМИ РАБОТЫ.
ПЕРЕД ОПЛАТОЙ ВЫ МОЖЕТЕ ОТПРАВИТЬ НАМ 2 ФАЙЛА ДЛЯ БЕСПЛАТНОЙ РАСШИФРОВКИ.
ОБЩИЙ РАЗМЕР ФАЙЛОВ ДОЛЖЕН БЫТЬ МЕНЕЕ 2 МБ.
ФАЙЛЫ НЕ ДОЛЖНЫ СОДЕРЖАТЬ ЦЕННУЮ ИНФОРМАЦИЮ (БАЗЫ ДАННЫХ, РЕЗЕРВНЫЕ КОПИИ, БОЛЬШИЕ ТАБЛИЦЫ EXCEL И Т.Д.).
ВНИМАНИЕ! ЕСЛИ ХОЧЕШЬ ВОССТАНОВИТЬ СВОИ ДАННЫЕ БЕЗ ПРОБЛЕМ - НИКОГДА!!! :
НЕ ПЕРЕЗАГРУЖАЙТЕСЬ, НЕ ОТКЛЮЧАЙТЕ ЖЕСТКИЕ ДИСКИ ИЛИ НЕ ВЫПОЛНЯЙТЕ ЛЮБЫЕ ДЕЙСТВИЯ, ЕСЛИ ВЫ НЕ ПОНИМАЕТЕ, ЧТО ДЕЛАЕТЕ!!!
ИНАЧЕ МЫ НЕ МОЖЕМ БЫТЬ НА 100% УВЕРЕНЫ, ЧТО ДЕКРИПТОР БУДЕТ РАБОТАТЬ ПРАВИЛЬНО.
!!!ЭТО ОСОБЕННО ОТНОСИТСЯ К ESXI!!!
ЕСЛИ ВЫ ПОПЫТАЕТЕСЬ ИСПОЛЬЗОВАТЬ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ТРЕТЬИХ ЛИЦ ДЛЯ ВОССТАНОВЛЕНИЯ ВАШИХ ДАННЫХ ИЛИ АНТИВИРУСНЫХ РЕШЕНИЙ:
ЭТО МОЖЕТ ПРИВЕСТИ К ПОЛНОМУ ПОВРЕЖДЕНИЮ ВСЕХ ФАЙЛОВ И ИХ БЕЗВОЗВРАТНОЙ ПОТЕРИ.
ЛЮБЫЕ ИЗМЕНЕНИЯ В ЗАШИФРОВАННЫХ ФАЙЛАХ МОГУТ ПРИВЕСТИ К ПОВРЕЖДЕНИЮ ЗАКРЫТОГО КЛЮЧА И ПОТЕРИ ВСЕХ ДАННЫХ.
ВАШ ЛИЧНЫЙ ID:
ИМЯ ПОЛЬЗОВАТЕЛЯ И ПАРОЛЬ ИДЕНТИЧНЫ УКАЗАННЫМ ВЫШЕ.
ПОСКОЛЬКУ МЫ ИСПОЛЬЗУЕМ SSL-ШИФРОВАНИЕ, А ТАКЖЕ .ONION, СЕРТИФИКАТ НЕ ПОДПИСАН ДОЛЖНЫМ ОБРАЗОМ.
ПОЭТОМУ, ЧТОБЫ ПОПАДАТЬ В ЧАТ, ВАМ НУЖНО ПОДТВЕРДИТЬ ИСКЛЮЧЕНИЕ НЕЗАЩИЩЕННОГО СОЕДИНЕНИЯ.
ИЛИ ИСПОЛЬЗУЙТЕ НАШЕ ВСТРОЕННОЕ ПРИЛОЖЕНИЕ (ПОКА ТОЛЬКО ВЕРСИЯ ДЛЯ WINDOWS). СПАСИБО ЗА ПОНИМАНИЕ.
ВЫ МОЖЕТЕ СКАЧАТЬ TOX ЗДЕСЬ:
HTTPS://TOX.CHAT/DOWNLOAD.HTMLВЫ ТАКЖЕ МОЖЕТЕ НАПИСАТЬ В ЧАТ, РАСПОЛОЖЕННЫЙ В СЕТИ TOR ПО АДРЕСУ:
HTTPS://QKBBAXIUQQCQB5NOX4NP4QDCNIY2Q6M7YELUV37N5I5DN7PGPCWXWFID.ONION
ВЫ МОЖЕТЕ СКАЧАТЬ TOR БРАУЗЕР ЗДЕСЬ:
HTTPS://WWW.TORPRODECT.ORG/DOWNLOAD/
НАШ TOX НИЖЕ:
D3404141459BC7286CC4AFEC16A3463F262CO937A732C12644E7CA97F0615201A519F7EAB2E2
НАДЕЕМСЯ, ВЫ ВНИМАТЕЛЬНО ПРОЧИТАЛИ ЭТО СООБЩЕНИЕ И УЖЕ ЗНАЕТЕ, ЧТО ДЕЛАТЬ.


Записка с требованием выкупа также будет написана на экране после включения компьютера. 



Содержание записки о выкупе:
Not so long ago, we discovered a serious problem with your network and decided to help you. So whet happened?
All files are encrypted with Integrated Encryption Scheme.
The file structure was not damaged. You have been assigned a unique identifier. After infection, you have 96 hours to declare decryption. After the expiration of 96 hours, decryption cost will be automatically increased.
Now you should send us message with your personal ID, which is at the bottom of the message. We hope that you understand the importance of the work we have done, if the vulnerability were found by someone else, it is possible that the consequences of the attack could be much more sensitive than the usual payment of money due to us for work. 

Before paying you can send us 2 files for free decryption.
The total size of files must be less than 1Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc..).

Attention! If you went to RECOVER YOUR DATA without problems - NEVER reboot, 
disconnect hard drives or take any action unless you know WHAT YOU ARE DOING!!!
Otherwise, we cannot be 100% sure that the decryptor will work correctly.
>>>>>>>>>>>>>>>>>>>>> THIS IS ESPECIALLY RELATED TO ESXI!!! <<<<<<<<<<<<<<<<<<<<<<<

If you will try to use any third party software for restoring your data or antivirus solutions - this can lead to complete damage to all files and their irrecoverable loss, since it will no longer be possible to restore them. Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

>>>>>>>>>>>>>>>>>>>>>>>>>> your personal id: F3AA226DACCDA0EF <<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Username and password are identical to above. Since we are using SSL(https) encryption as well as .onion, the certificate is not properly signed, otherwise our server IP address would be visible to everyone. So in order to get into the chat, you need to confirm the insecure connection exception. Thank you for understanding.

You can download TOX here > https://tox.chat/download.html
You can also write to the chat located in TOR network at:
hxxxs://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
You can download TOR browser here > https://www.torproject.org/download/

:: our TOX below >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2

All the best and good mood, I hope you carefully read this message and already know what to do XDXD


Перевод записки на русский язык:
Недавно мы обнаружили серьезную проблему с вашей сетью и решили вам помочь. Так что же случилось?
Все файлы зашифрованы с помощью встроенной схемы шифрования.
Файловая структура не повреждена. Вам присвоен уникальный идентификатор. После заражения у вас есть 96 часов, чтобы заявить о расшифровке. После  96 часов стоимость расшифровки будет автоматически увеличена.
Теперь вы должны отправить нам сообщение с вашим личным идентификатором, который находится внизу сообщения. Мы надеемся, что вы понимаете важность проделанной нами работы, если бы уязвимость была обнаружена кем-то другим, не исключено, что последствия атаки могли стать более чувствительными, чем обычная выплата причитающихся нам денег за работу.

Перед оплатой вы можете отправить нам 2 файла для бесплатной расшифровки.
Общий размер файлов должен быть менее 1 Мб (не в архиве), а файлы не должны содержать ценной информации (базы данных, резервные копии, большие листы Excel и т. д.).

Внимание! Если вы без проблем зашли на ВОССТАНОВЛЕНИЕ ДАННЫХ - НИКОГДА не перезагружайтесь, не отключайте жесткие диски или не предпринимайте никакие действия, если вы не знаете, ЧТО ДЕЛАЕТЕ!!!
В противном случае мы не можем быть на 100% уверены, что расшифровщик будет работать корректно.
>>>>>>>>>>>>>>>>>>>>> ЭТО ОСОБЕННО ОТНОСИТСЯ К ESXI!!! <<<<<<<<<<<<<<<<<<<<<<<<<

Если вы попытаетесь использовать для восстановления своих данных какой-либо сторонний софт или антивирусные решения - это может привести к полной порче всех файлов и их безвозвратной потере, так как восстановить их уже будет невозможно. Любые изменения в зашифрованных файлах могут повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.

>>>>>>>>>>>>>>>>>>>>>>>>>>>> Ваш личный ID: F3AA226DACCDA0EF <<<<<<<<<<<<<<<<<<<<< <<<<<<<<<<

Имя пользователя и пароль идентичны указанным выше. Поскольку мы используем шифрование SSL (https), а также .onion, сертификат не подписан должным образом, иначе IP-адрес нашего сервера будет виден всем. Итак, чтобы попасть в чат, нужно подтвердить исключение небезопасного соединения. Спасибо за понимание.

Вы можете скачать TOX здесь > https://tox.chat/download.html
Вы также можете написать в чат, расположенный в сети TOR по адресу:
hxxxs://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Вы можете скачать браузер TOR здесь > https://www.torproject.org/download/

:: наш TOX ниже >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2

Всем добра и хорошего настроения, надеюсь вы внимательно прочитали это сообщение и уже знаете что делать XDXD



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Изменяет код bootmgr жёсткого диска, чтобы записать на диск буткит (bootkit) и вывести своё сообщение перед загрузкой Windows.  Используется текст и ASCII-
картинка. 



Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании файлов кроме собственных файлов, пропускаются файлы и папки, содержащие следующие названия и строки:
Edge
ntldr
Opera
bootsect.bak
Chrome
BOOTSTAT.DAT
boot.ini
AllUsers
Chromium
bootmgr
Windows
thumbs.db
ntuser.ini
ntuser.dat
desktop.ini
bootmgr.efi
autorun.inf

Файлы, связанные с этим Ransomware:
d0nut.html - название файла с требованием выкупа;
donut.exe - название вредоносного файла;
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
TOX-мессенджер
Tor-URL: hxxxs://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
См. ниже в обновлениях другие адреса и контакты. 


Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: a8b3b71860ca65a9e5e56fa3e27cd92b
SHA-1: 8a5bd8bf26eceaa7adff6e59227646155d220f3e
SHA-256: 9455b7fcf93f0a5a6f9c099fbe938f5a9169f8d3dcc83833aa2c0f903518cfa3
Vhash: 015056655d75151"z


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Вариант от 4 октября 2024 или раньше:
Расширение: .<random>
Пример расширения: .xqmln
Записка: readme.html





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Write-up, Topic of Support
 ***
 Thanks: 
 BleepingComputer, Unit 42
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *