Если вы не видите здесь изображений, то используйте VPN.

суббота, 22 октября 2022 г.

Octocrypt

Octocrypt Ransomware

Octocrypt Ransomware Builder

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES-256 (режим CTR), а затем требует выкуп в 100 Monero, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: octocrypt.exe или что-то еще. Octocrypt нацелен на все версии Windows. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.36817
BitDefender -> Trojan.GenericKD.63394087
ESET-NOD32 -> A Variant Of WinGo/Packed.Obfuscated.A Suspicious
Kaspersky -> UDS:Trojan.Win64.Agent.a
Malwarebytes -> Malware.AI.1501366191
Microsoft -> Trojan:Win32/Casdet!rfn
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002H09K522
---

© Генеалогия: предыдущие сборки >> 
Octocrypt


Сайт "ID Ransomware" Octocrypt пока не идентифицирует. 


Информация для идентификации

Раннее распространение этого крипто-вымогателя началось на форумах кибер-андеграунда в конце октября 2022 г. Тема называлась: Selling Octocrypt Go Ransomware - UNDETECTED. Ориентирован на англоязычных пользователей, может распространяться по всему миру.


К зашифрованным файлам добавляется расширение: .octo

Записка с требованием выкупа называется: INSTRUCTIONS.html


Другим информаторов является изображение, заменяющее обои Рабочего стола.  

Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED USING A STRONG AES-256 ALGORITHM.
SEND 100 Monero (10000.00 USD) TO THE FOLLOWING WALLET
***
ADDITIONAL INSTRUCTIONS LOCATED ON YOUR DESKTOP

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ С ПОМОЩЬЮ СИЛЬНОГО АЛГОРИТМА AES-256.
ОТПРАВЬТЕ 100 Monero (10000.00 USD) НА СЛЕДУЮЩИЙ КОШЕЛЕК
***
ДОПОЛНИТЕЛЬНЫЕ ИНСТРУКЦИИ НАХОДЯТСЯ НА ВАШЕМ РАБОЧЕМ СТОЛЕ


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS.html - название файла с требованием выкупа;
octocrypt.exe - название вредоносного файла.



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Форум, на котором продавался Octocrypt Ransomware Builder:
hxxxs://breached.to/Thread-Selling-Octocrypt-Go-Ransomware-UNDETECTED

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 346e7a626d27f9119b795c889881ed3d
SHA-1: ce25203215f689451a2abb52d24216aec153925a
SHA-256: 9a557b61005dded36d92a2f4dafdfe9da66506ed8e2af1c851db57d8914c4344
Vhash: 056066655d5d15541az27!z
Imphash: 9cbefe68f395e67356e2a5d8d1b285c0
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 2afdbca6a8627803b377adc19ef1467d
SHA-1: 13a0ce1c3ac688c55ba3f7b57fb6c09ad0e70565
SHA-256: e65e3dd30f250fb1d67edaa36bde0fda7ba3f2d36f4628f77dc9c4e766ee8b32
Vhash: 01603e0f7d1bz4!z
Imphash: 6ed4f5f04d62b18d96b26d6db7c18840
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 5a39a2c4f00c44e727c3a66e3d5948c2
SHA-1: 07e7341b86ace9935c4f1062d41a94f3b31f9bf6
SHA-256: 65ad38f05ec60cabdbac516d8b0e6447951a65ca698ca2046c50758c3fd0608b
Vhash: 056066655d5d15541az27!z
Imphash: 9cbefe68f395e67356e2a5d8d1b285c0


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 Cyble
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 13 октября 2022 г.

CriptomanGizmo

CriptomanGizmo Ransomware

Aliases: Criptoman, Gizmo, Warthunder, FIXED, LockBit3-Black

Variants: help_havaneza, mrbroock, Mr. Carabas, firecorecoverfiles, Arvin, Flamingo_unlock, Diamond, Fastwind

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Может шифровать файлы на облачных дисках, если включена автоматическая синхронизация. 
---
Ранний образец никем не был предоставлен! 
---

© Генеалогия (краткая): LockBit с вариантами >> CriptomanGizmo

© Генеалогия (подробная): BlackMatter >> LockBit3 Black >> CriptomanGizmo с вариантами

!!! Here are collected different variants based on BlackMatter or LockBit 3.0 (Black), which may not be related to each other.
!!! Здесь собраны варианты на основе BlackMatter или LockBit 3.0 (Black), и они могут быть не связаны между собой.


Сайт "ID Ransomware" CriptomanGizmo отдельно не идентифицирует. Возможно, некоторые его варианты входят в идентификацию BlackMatter или LockBit 3.0. Антивирусные движки тоже разделяются в обнаружении. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2022 г. Ориентирован на англоязычных пользователей, но может распространяться по всему миру и использоваться на разных языках. 

К зашифрованным файлам добавляется расширение: .hZiV1YwzR

Похоже, что используется случайное расширение: .<random{9}>
То есть используется 9 случайных цифр совместно с английскими буквами. 

Кроме того, в зашифрованных файлах используется конечный маркер.


Записка с требованием выкупа называется: hZiV1YwzR.README.txt

То есть используется шаблон <extension>.README.txt

CriptomanGizmo Ransomware note записка

Текст записки может быть на разных языках. 

Содержание записки о выкупе:
Attention!
All your imortant files were encrypted!
If you want to return files back, email us 
criptoman@mailfence.com or
gizmo12@tutanota.com 
and specify your ID - 68004848694*****
Don't try to decrypt by yourself -  
you can loose all your files permanently!
Don't move or modify files! 
To prove that we can decrypt your files, send 3 any encrypted files (up to 3 Mb) and we decrypt them for free.

Перевод записки на русский язык:
Внимание!
Все ваши важные файлы зашифрованы!
Если вы хотите вернуть файлы, напишите нам
criptoman@mailfence.com или
gizmo12@tutanota.com
и укажите свой ID - 68004848694*****
Не пытайтесь расшифровать сами -
Вы можете навсегда потерять все свои файлы!
Не перемещайте и не изменяйте файлы!
Чтобы доказать, что мы можем расшифровать ваши файлы, пришлите 3 любых зашифрованных файла (до 3 Мб) и мы расшифруем их бесплатно.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hZiV1YwzR.README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: criptoman@mailfence.com, gizmo12@tutanota.com 
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 20 октября 2022: 
Доп. название: warthunder
Расширение: .<random{9}>, например: .3WbzmF0CC
Записка: 3WbzmF0CC.README.txt
Email: warthunder089@mailfence.com, warthunder089@tutanota.de




Вариант от 1 декабря 2022 или раньше: 
Доп. название: help_havaneza
Расширение: .<random{9}>, например: .JxxLLpPns
Записка: JxxLLpPns.README.txt
Email: help_havaneza@cryptolab.net, help_havaneza@bastardi.net




Вариант от 7 декабря 2022: 
Доп. названия: FIXED ransomware, mrbroock
Расширение: .<random{9}>, например: .SanxK6eaA
Записка: SanxK6eaA.README.txt
Email: mrbroock@msgsafe.io



Вариант от 27 января 2023: 
Доп. названия: recoverfiles, firecorecoverfiles
Расширение: .<random{9}>, например: .O0bMlVixK
Записка: O0bMlVixK.README.txt
Email: fireco@onionmail.com, firecorecoverfiles@msgsafe.io
Telegram: @firecorecoverfiles



*** пропущенные варианты ****


Вариант от 2-3 апреля 2023:
Дополнительное название: Mr. Carabas
Расширение: .<random{9}>, например: .aaMp0vbm9
Записка: aaMp0vbm9.Readme.txt
Email: carabas1337@proton.me



Вариант от 13 апреля 2023, фактически тоже самое, что и 27 января: 
Доп. названия: recoverfiles, firecorecoverfiles
Расширение: .<random{9}>, например: .kFJdr0qI0
Записка: kFJdr0qI0.README.txt
Email: fireco@onionmail.com, firecorecoverfiles@msgsafe.io
Telegram: @firecorecoverfiles



 Эта группа контактов используется также в другой программе-вымогателе, которую я назвал Stop24/7 Ransomware.


Вариант от 1 июня 2023 или раньше: 
Расширение: .<random{9}>, например: .RCi2LUjND
Записка: RCi2LUjND.README
Email: fiileky2023@onionmail.com, fiileky2023@yahooweb.co



Вариант от 2 июня 2023 или раньше: 
Расширение: .<random{9}>, например: .7RIUKJn6Z
Записка: 7RIUKJn6Z.README
Email: mrboot@privyinternet.com



Вариант от 14 июля 2023 или раньше: 
Доп. название: Arvin Ransomware
Расширение: .<random{9}>, например: .0lPojnjbs
Записка: 0lPojnjbs.README
Tor-URL: hxxx://arvinc7prj6ln5wpd6yydfqulsyepoc7aowngpznbn3lrap2aib6teid.onion



Новый вариант или 9 августа 2023 или раньше:
Дополнительные названия: Flamingo_unlock, Flamingo Ransomware
Расширение: .<random{9}>, например: .lAeSUZDqb
Записка: lAeSUZDqb.README.txt
Telegram: @Flamingo_unlock
Результата анализа: VT, IA
➤ Обнаружения: 
BitDefender -> Trojan.Ransom.PIC
DrWeb -> Trojan.PWS.Siggen3.22687
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.O
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Ransom:Win32/Lockbit.HA!MTB
Rising -> Ransom.LockBit!1.DFDC (CLASSIC)
Symantec -> Ransom.Lockbit!g6
Tencent -> Trojan-Ransom.Win32.BlackMatter.b
TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN



Новый вариант от 15 ноября 2023 или раньше:
Доп. название: Diamond Ransomware
Расширение: .<random{9}>, например: .HWyVqM2Qi
Записка: HWyVqM2Qi.README.txt
---
Содержание записки: 
~~~ Diamond Ransomware~~~
ID:328891V77
If you want to get a decoder, you need to pay !
We only accept bitcoins !
you will need to install applications 
https://tox.chat/download.html
1)download qTox 64-bit
2)Open chat
3)add ID chat 441562AF2EB4FB6177E2682FF318CDB7543A0835F79D7F8080E5824502300E2E2C**********
if the country is china you will need to install a VPN !
---
IOC: VT + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.31074
BitDefender -> Gen:Heur.Mint.Zard.25
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.M
McAfee -> BlackMatter!EAA67C8AADC1
Microsoft -> Ransom:Win32/Lockbit.HA!MTB
Rising -> Ransom.LockBit!1.DFDC (CLASSIC)
Symantec -> Ransom.Lockbit!g6
Tencent -> Trojan-Ransom.Win32.Crypmodng.gz
TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN


Новый вариант от 25 ноября 2023 или раньше:
Доп. название: FastwindGlobe Ransomware
Расширение: .<random{9}>, например: .KYtDtQsij
Записка: KYtDtQsij.README.txt
Email: fastwindGlobe@mail.ee, fastwindglobe@cock.li
Telegram: @decryptfastwind
!!! Эти же вымогатели ранее использовали FastWind Ransomware.
---
Содержание записки: 
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: fastwindGlobe@mail.ee
In case of no answer in 24h, send e-mail to this address: fastwindglobe@cock.li
You can also contact us via Telegram: @decryptfastwind
In case of non-payment, all your files will be posted to the public Internet!
Your personal DECRYPTION ID: 416527F12E10BB291BC845**********




Добавление новых вариантов прекращено! 
Вымогатели могут праздновать! 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support, Topic of Support
 ***
 Thanks: 
 Sandor, quietman7, al1963, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 11 октября 2022 г.

Prestige

Prestige Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует купить у вымогателей программу для расшифровки файлов. Оригинальное название: в записке написано Prestige ranusomeware. Использует библиотеку Crypto C++. На файле написано: 123.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop20.65519
BitDefender -> DeepScan:Generic.Ransom.Spora.C08F87D6
ESET-NOD32 -> A Variant Of Win32/Filecoder.Prestige.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Prestige.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Prestige.B
Rising -> Trojan.Generic@AI.91 (RDML:bhj***
Tencent -> Win32.Trojan.Filecoder.Kajl
TrendMicro -> Ransom_Prestige.R03BC0DJE22
---

© Генеалогия: родство выясняется >> 
Prestige


Сайт "ID Ransomware" Prestige пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была якобы обнаружена сотрудниками Microsoft в начале октября 2022 г. По их утверждению, программа-вымогатель распространяется российскими хакерами, и направлена на украинских и польских пользователей. 
Так как компания Microsoft находится в США, много раз была уличена в  русофобском и антироссийском настроении, потому верить очередному "выплеску русофобии" нет необходимости. Антивирусные продукты Microsoft много лет занимаются шпионажем в пользу НАТО, потому должны быть удалены со всех компьютеров в России, Беларуси и изъяты из продаж в магазинах. 
Здесь мы только суммируем информацию. Программа-вымогатель есть, угроза шифрования файлов существует, а кто её запускает — это другая тема. 

К зашифрованным файлам добавляется расширение: .enc

Записка с требованием выкупа называется: README


Этот файл не имеет расширения .txt и запускается с помощью следующей команды в Блокноте. 


Содержание записки о выкупе:
YOU PERSONAL FILES HAVE BEEN ENCRYPTED.
To decrypt all the data, you will need to purchase our decryption software.
Contact us Prestige.ranusomeware@Proton.me. In the letter, type your ID = *******.
* ATTENTION *
- Do not try to decrypt your data using third party software, it may cause permanent data loss.
- Do not modify or rename encrypted files. You will lose them.

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ.
Чтобы расшифровать все данные, вам надо приобрести нашу программу для расшифровки.
Пишите нам на Prestige.ranusomeware@Proton.me. В письме введите свой ID = *******.
* ВНИМАНИЕ *
- Не пытайтесь расшифровать свои данные сторонними программами, это приведет к потере данных.
- Не изменяйте и не переименовывайте зашифрованные файлы. Вы потеряете их.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые и резервные копии файлов, чтобы затруднить восстановление. 

➤ По данным MSTIC (Microsoft) вымогатели использовали следующие утилиты: RemoteExec — платный инструмент для безагентного удаленного выполнения кода; Impacket WMIexec — инструмент на основе сценариев с открытым исходным кодом для удаленного выполнения кода.
Чтобы получить доступ к учетным данным с высоким уровнем привилегий, использовались следующие инструменты для повышения привилегий и извлечения учетных данных:
winPEAS — набор скриптов с открытым исходным кодом для повышения привилегий в Windows;
comsvcs.dll — используется для дампа памяти процесса LSASS и кражи учетных данных;
ntdsutil.exe — используется для резервного копирования базы данных Active Directory, вероятно, для последующего использования учетных данных.


Список типов файлов, подвергающихся шифрованию:
.1cd, .7z, .abk, .accdb, .accdc, .accde, .accdr, .alz, .apk, .apng, .arc, .asd, .asf, .asm, .asx, .avhd, .avi, .avif, .bac, .backup, .bak, .bak2, .bak3, .bh, .bkp, .bkup, .bkz, .bmp, .btr, .bz, .bz2, .bzip, .bzip2, .c, .cab, .cer, .cf, .cfu, .cpp, .crt, .db, .db3, .dbf, .db-wal, .der, .dmg, .dmp, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dsk, .dt, .dump, .dz, .ecf, .edb, .epf, .ess, .exb, .ged, .gif, .gpg, .gzi, .gzip, .hdd, .img, .iso, .jar, .java, .jpeg, .jpg, .js, .json, .kdb, .key, .lz, .lz4, .lzh, .lzma, .mdmr, .mkv, .mov, .mp3, .mp4, .mpeg, .myd, .nude, .nvram, .oab, .odf, .ods, .old, .ott, .ovf, .pac, .pdf, .pern, .pfl, .pfx, .php, .pkg, .pl2, .png, .pot, .potm, .potx, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .pvm, .py, .qcow, .qcow2, .r0, .rar, .raw, .rz, .s7z, .sdb, .sdc, .sdd, .sdf, .sfx, .skey, .sldm, .sldx, .sql, .sqlite, .svd, .svg, .tar, .taz, .tbz, .tbz2, .tg, .tib, .tiff, .trn, .txt, .txz, .tz, .vb, .vbox, .vbox-old, .vbox-prev, .vdi, .vdx, .vhd, .vhdx, .vmc, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmx, .vmxf, .vsd, .vsdx, .vss, .vst, .vsx, .vtx, .wav, .wbk, .webp, .wmdb, .wmv, .xar, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .z, .zbf, .zip, .zipx, .zl, .zpi, .zz (194 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README - название файла с требованием выкупа;
123.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Prestige.ranusomeware@Proton.me
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 8119c78b7cfb7d9ce37286ec9fc263e2
SHA-1: 986ba7a5714ad5b0de0d040d1c066389bcb81a67
SHA-256: 5fc44c7342b84f50f24758e39c8848b2f0991e8817ef5465844f5f2ff6085a57
Vhash: 075056656d15556038z6b!z
Imphash: a32bbc5df4195de63ea06feb46cd6b55

Публичный образец этого вредоносного файла, не доказывает того, что за распространением Prestige Ransomware стоят российские хакеры, потому я считаю заявление MSTIC (Microsoft) лживым и бездоказательным. 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новость от 10 ноября 2022: 
Еще одна антироссийская и русофобская статья на сайте BC >>
"Страдальцы" — объекты в Украине и Польше. 
Технология вранья. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Write-up, Topic of Support
 ***
 Thanks: 
 MSTIC (Microsoft), BleepingComputer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 2 октября 2022 г.

RedKrypt

RedKrypt Ransomware

RedKryptCryptor Ransomware

CryptoJoker-RedKrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


RedKrypt Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться по email с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: RedKrypt и RedKryptCryptor. На файле написано: RedKryptCryptor.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.29468
BitDefender -> Generic.Ransom.Hiddentear.A.92480B4E
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CryptoJoker.D
Kaspersky -> HEUR:Trojan-PSW.MSIL.Stealer.gen
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Exploit:Win64/Sandsquarev.B
Rising -> Ransom.CryptoJoker!8.122BA (CLOUD)
Tencent -> Msil.Trojan-QQPass.QQRob.Mjgl
TrendMicro -> Ransom.MSIL.REDKRYPT.THJODBB
---
➤ Для получения программы для расшифровки файлов пишите в тему поддержки - Demonslay335 может помочь.

© Генеалогия: CryptoJoker family >> 
RedKrypt


Сайт "ID Ransomware" RedKrypt отдельно не идентифицирует, но может определять это как вариант CryptoJoker


Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .p.redkrypt

По традиции семейства CryptoJoker используемых расширений должна быть пара:
.p.redkrypt - при частичном шифровании;
.f.redkrypt - при полном шифровании. 

Записка с требованием выкупа называется: RedKrypt-Notes-README.txt

RedKryptCryptor Ransomware note записка

Содержание записки о выкупе:

ALL YOUR FILES HAVE BEEN ENCRYPTED BY THE REDKRYPT RANSOMWARE
Why me?
RedKrypt doesn't choose victims. Victims choose RedKrypt.
How I can recovery my files?
You cannot use third party software for decrypt your files: you can use only the official RedKrypt Decryption Tool.
Follow this istructions:
1) Copy your decryption ID
2) Write to rexplo8sdh1ba6ta18lacue8v9@gmail.com and send your decryption id
3) We'll reply with our conditions, and the decryption tool will be sent to you.
YOUR REDKRYPT CLIENT-ID:
36F4858E078BFBFF000306D2

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ПРОГРАММОЙ- ВЫМОГАТЕЛЕМ REDKRYPT
Почему я?
RedKrypt не выбирает жертв. Жертвы выбирают RedKrypt.
Как я могу восстановить свои файлы?
Вы не можете использовать сторонние программы для расшифровки ваших файлов: вы можете использовать только официальное средство расшифровки RedKrypt.
Следуйте этим инструкциям:
1) Скопируйте свой ID дешифрования
2) Напишите на rexplo8sdh1ba6ta18lacue8v9@gmail.com и пришлите свой ID дешифрования
3) Мы ответим с нашими условиями, а инструмент расшифровки будет отправлен вам.
YOUR REDKRYPT CLIENT-ID:
36F4858E078BFBFF000306D2


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RedKrypt-Notes-README.txt - название файла с требованием выкупа;
RedKryptCryptor.exe - случайное название вредоносного файла;
rnsKey.txt - специальный файл с ключом; 
DONTDELETEME.redkrypt - специальный файл, который не рекомендуется удалять. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\giuni\Desktop\RedKrypt Ransomware\CryptoJoker\obj\Debug\RedKryptCryptor.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rexplo8sdh1ba6ta18lacue8v9@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 4f6173eb23deaff1670b1b2f0f6882fe
SHA-1: 8b0aa4a785803ebcd71fa71dfe5b3671c1ab6c13
SHA-256: 16764b173314ddeb7341f18a7b33066a319476847ba715c53c4f0f8e9ed43a20
Vhash: 244036551513501018351a2074
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020
CryptoJoker 2021 Ransomware - октябрь 2021
CryptoJoker 2022 Ransomware - март 2022
RedKryptCryptor Ransomware - октябрь 2022



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 Tomas Meskauskas (PCrisk)
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *