CryWiper

CryWiper Ransomware

BrowserUpdate Ransomware

(фейк-шифровальщик, вымогатель, стиратель, деструктор) 
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. На самом деле файлы умышленно повреждаются без возможности восстановления. Оригинальное название: в записке не указано. На файле написано: browserupdate.exe. Написан на языке C++ и собран с помощью набора инструментов MinGW-w64 и компилятора GCC. Для Windows x64. Первоисточник информации: Лаборатория Касперского. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> Trojan-Ransom.Win64.CryWiper.a
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ✂ Xorist + другие >> CryWiper

Сайт "ID Ransomware" CryWiper пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце ноября - начале декабря 2022 г. Атаки ориентированы на российские мэрии и суды. Вероятно распространяется из Украины политически мотивированными хакерами и преступниками. 

К фейк-зашифрованным (фактически испорченным) файлам добавляется расширение: .CRY

Для уничтожения пользовательских файлов CryWiper генерирует последовательность данных при помощи известного генератора псевдослучайных чисел "Вихрь Мерсенна" и записывает эти данные вместо оригинального содержимого файла.

То есть сами файлы не шифруются, а стираются. Расширение добавляется для того, чтобы излишне доверчивые и наивные пострадавшие заплатили выкуп, но не получили назад свои файлы. Уплата выкупа бесполезна! 

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

All your important files were encrypted on this computer.

You can verify this by click on see files an try open them.

Encrtyption was produced using unique KEY generated for this computer.

To decrypted files, you need to otbtain private key.

The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;

The server will destroy the key within 24 hours after encryption completed.

Payment have to be made in maxim 24 hours

To retrieve the private key, you need to pay 0.5 BITCOINS

Bitcoins have to be sent to this address: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd

After you've sent the payment send us an email to : fast_decrypt_and_protect@tutanota.com with subject : ERROR-ID-63100778(0.5BITC0INS)

If you are not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

After we confirm the payment , we send the private key so you can decrypt your system.

Перевод записки на русский язык:

Все ваши важные файлы были зашифрованы на этом компьютере.

Вы можете убедиться, нажав просмотр файлов и попытаться их открыть.

Шифрование выполнено с уникальным КЛЮЧОМ, сгенерированным для этого компьютера.

Для расшифровки файлов вам надо получить закрытый ключ.

Единственная копия закрытого ключа, которая позволит расшифровать файлы, есть на секретном сервере в Интернете;

Сервер уничтожит ключ в течение 24 часов после завершения шифрования.

Оплата должна быть произведена в течение максимум 24 часов

Чтобы получить закрытый ключ, вам надо заплатить 0,5 BITCOINS

Биткоины должны быть отправлены на этот адрес: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd

После отправки платежа отправьте нам электронное письмо по адресу: fast_decrypt_and_protect@tutanota.com с темой: ERROR-ID-63100778(0.5BITC0INS)

Если вы не знакомы с биткоинами, вы можете купить их здесь:

САЙТ: www.localbitcoin.com

После подтверждения платежа мы отправляем закрытый ключ, чтобы вы могли расшифровать свою систему.

Для справки: 
Email-адрес fast_decrypt_and_protect@tutanota.com известен их предыдущих вымогательских кампаниях 2017-2018 года по распространению Xorist Ransomware и замечен в некоторых других малоизвестных проектах. Строка ERROR-ID-63100778 также похожа на те, что использовались в Xorist Ransomware. 

Можно сравнить текст с одной из предыдущих записок, см. скриншот ниже. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Вредоносные функции: 

- с помощью планировщика заданий создает задачу запуска вайпера каждые 5 минут;

- передает имя компьютера в командный центр и ждет команду на начало новой атаки;

- останавливает процессы серверов баз данных MySQL, MS SQL, MS Exchange, MS Active Directory;

- удаляет теневые копии файлов, но только на диске "C:";

- запрещает подключение к системе по протоколу RDP.

Список типов файлов, подвергающихся шифрованию:
Это базы данных, архивы и документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр.

Пропускаемые типы файлов: 

.exe, .dll, .lnk, .sys, .msi, .CRY

Пропускаемые директории: 

C:\Windows, Boot, tmp, winnt, temp, thumb, System Volume Information, Trend Micro

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
browserupdate.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\System32\browserupdate.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fast_decrypt_and_protect@tutanota.com
BTC: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd

Сервер URL: hxxx://82.221.141.8/IYJHNkmy3XNZ

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 14808919a8c40ccada6fb056b7fd7373

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Лаборатория Касперского
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackHunt

BlackHunt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать вымогателям, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: BlackHunt. На файле написано: BlackHunt.exe или случайное название.
---
Обнаружения:

DrWeb -> Trojan.Encoder.37002

BitDefender -> Trojan.GenericKD.64497764, Gen:Variant.Ser.Fragtor.1387

ESET-NOD32 -> A Variant Of Win32/Filecoder.OKE

Kaspersky -> UDS:Trojan-Ransom.Win32.Generic

Malwarebytes -> Ransom.BlackHunt

Microsoft -> Ransom:Win32/Conti.ZC

QuickHeal -> Ransom.Conti

Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Tencent -> Win32.Trojan.Filecoder.Hkjl, Win32.Trojan.Filecoder.Pcnw

TrendMicro -> Ransom_Conti.R002C0DLR22, Ransom.Win32.BLACKHUNT.THLBHBB

---

© Генеалогия: CONTI-2 (stolen code) + другой код >> BlackHunt

Сайт "ID Ransomware" идентифицирует это как BlackHunt (с 22 марта 2023).

Информация для идентификации

Активность этого крипто-вымогателя была в конце ноября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были во Вьетнаме. Потом крипто-вымогатель стал распространяться и в других странах. 

К зашифрованным файлам добавляется расширение: .Black

Фактические используется составное расширение по шаблону: .[<random{16}>].[<email>].Black

Примеры таких расширений: 

.[rKcCw3Up38KUtBH5].[tset@gmail.com].Black

.[rCw3KcU4Kp5HtUB6].[amike1096@gmail.com].Black

Записка с требованием выкупа написана на голубом экране : 

Содержание записки о выкупе:

WARNING WARNING WARNING.

Your Network Infected With BlackHunt Ransomware Team. ALL Your important

Files Encrypted and Stolen , Do You Want Your Files? read [ReadMe] Files carefully

and contact us by [tset@gmail.com] AND [tset2@gmail.com]

Перевод записки на русский язык:

ВНИМАНИЕ ВНИМАНИЕ ВНИМАНИЕ.

Ваша сеть заражена командой BlackHunt Ransomware. ВСЕ Ваши важные

Файлы зашифрованы и украдены, Вам нужны ваши файлы? Прочтите файлы [ReadMe] и пишите на [tset@gmail.com] И [tset2@gmail.com]

Вероятно такой тип записки бы ранним, тестовым вариантом. Кроме того, логин почты 'tset' очень похож на слово 'test'. В декабре 2022 мы видели уже другой тип записки с требованием выкупа в виде файлов #BlackHunt_ReadMe.hta и #BlackHunt_ReadMe.txt, в которых используется другой email-адрес. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Выполняет сдедующие деструктивные действия: 

Добавляется в Автозагрузку, изменяя ключи реестра. 

Добавляет задачу в Планировщик задач. 

Создает файлы внутри системного каталога. 

Удаляет план резервного копирования Windows и теневые копии тома.

Отключает восстановление системы. 

Отключает диспетчер задач Windows (taskmgr).

Отключает Защитник Windows.

Пытается загрузить отсутствующие библиотеки DLL.

Включить загрузку в безопасном режиме. 

Запрашивает список всех запущенных процессов. 

Может попытаться обнаружить виртуальную машину, чтобы помешать анализу.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackHunt.exe - возможное название вредоносного файла;

<random>.exe - случайное название вредоносного файла;

#BlackHunt_ReadMe.hta - название файла с требованием выкупа;

#BlackHunt_Update.txt - название файла с требованием выкупа;

#BlackHunt_Private.key, #BlackHunt_Public.key - файлы с ключами;

#BlackHunt_Update.hta - еще один файл HTA;

#BlackHunt_Logs.txt - журнал действий. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ProgramData\#BlackHunt_ReadMe.hta

C:\ProgramData\#BlackHunt_Update.hta

C:\ProgramData\#BlackHunt_ReadMe.txt

C:\ProgramData\#BlackHunt_Private.key

C:\ProgramData\#BlackHunt_Public.key

C:\ProgramData\#BlackHunt_Logs.txt

C:\ProgramData\#BlackHunt_ID.txt

C:\ProgramData\#BlackHunt_BG.jpg

C:\ProgramData\#BlackHunt_Icon.ico

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\Software\Classes\Black

HKEY_LOCAL_MACHINE\Software\Classes\Black

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "{2C5F9FCC-F266-43F6-BFD7-838DAE269E11}" /t REG_SZ /d "C:\ProgramData\#BlackHunt_ReadMe.hta" /f

"HKEY_LOCAL_MACHINE\Software\Classes\.Black\DefaultIcon" /ve /t REG_SZ /d "C:\ProgramData\#BlackHunt_Icon.ico"

"HKEY_LOCAL_MACHINE\Software\Classes\Black\DefaultIcon" /ve /t REG_SZ /d "C:\ProgramData\#BlackHunt_Icon.ico"  /f

"HKEY_LOCAL_MACHINE\Software\Classes\Black" /f

И другие, см. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tset@gmail.com, tset2@gmail.com

amike1096@gmail.com

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 16deea31a988e7af71001c2eda8ad614

SHA-1: 8d992884b713b56d1edbf40306b2e11dc54f9887

SHA-256: 977083fc01e2982258eac0a13e56cd697d9f6941f5a365e9d02d544fc3e15000

Vhash: 075066655d55151560c8z8a1z2dz3011z55za7z

Imphash: f6ebbc99dee0ebb360681d57876ef849

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d7a24de75b761cb98f580dafda4ba885

SHA-1: 86dc51cfc817937f9525b8aa2fa71e918288a44d

SHA-256: f725792a5ef0512f3c5356d79fb3be5afcbaffaa4af41498342f7d09d703761f

Vhash: 075066655d55151560c8z8a1z2dz3011z55za7z

Imphash: f6ebbc99dee0ebb360681d57876ef849

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 25 декабря 2022: 

Название версии: BlackHunt v1.0

Расширение: .Black

Полное расширение: .[rCw3KcU4Kp5HtUB6].[amike1096@gmail.com].Black
Записка: #BlackHunt_ReadMe.hta
Email: amike1096@gmail.com, onion746@onionmail.com, justin@cyberfear.com, magicback@onionmail.org и другие

Tor URL: hxxx://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion

IOC: VT + VT

=== 2023 ===

Вариант от 5 июня 2023 и позже:

Сообщение на форуме >>

Расширение: .Hunt2

Составное расширение (пример): .[GxxaNAHrhs0Qw1fe].[Cyberexploit.59@gmail.com].Hunt2

Записки: #BlackHunt_ReadMe.hta, #BlackHunt_ReadMe.txt

Изображение, заменяющее обои: #BlackHunt_BG.jpg

Файл ключа: #BlackHunt_Private.key

Пути нахождения файлов: 

C:\Program Files\#BlackHunt_Private.key

C:\Program Files\#BlackHunt_ReadMe.hta

C:\Program Files\#BlackHunt_ReadMe.txt

C:\Program Files (x86)\#BlackHunt_Private.key

C:\Program Files (x86)\#BlackHunt_ReadMe.hta

C:\Program Files (x86)\#BlackHunt_ReadMe.txt

---

Email: Cyberexploit.59@gmail.com, Cybererror.59@gmail.com

Tor-URL: http://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion 

Вариант от 18 декабря 2023: 

Сообщение на форуме >>

Расширение: .Hunt2

Составное расширение (пример): .[oXzXQKBjntMCPZ4i].[keyseller@mailfence.com].Hunt2

Записка: #BlackHunt_ReadMe.txt

Email: keyseller@mailfence.com, keyseller@skiff.com

=== 2024 ===

Вариант от 12 августа 2024 или раньше: 

Сообщение на форуме >>

Расширение: .Hunt2

Составное расширение (пример): .[TlMJfwTGBiye6ZXT].[gotchadec@onionmail.org].Hunt2

Записки: #BlackHunt_ReadMe.hta, #BlackHunt_ReadMe.txt

Файл ключа: #BlackHunt_Private.key

Email: gotchadec@onionmail.org, Yamaguchigumi@cock.li

Telegram: @GotchaDec 

Tor-URL: hxxx://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 RakeshKrish12, Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CatB

CatB Ransomware

Aliases: FishA, CatFish, FishCat, Fish-Cat, FishA-CatB

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на компьютерах компаний с помощью комбинации алгоритмов (в тексте вымогателей указан только алгоритм RSA-2048), а затем требует заплатить выкуп в 50-130 BTC в течение нескольких дней (сумма растёт каждый день!), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Получил название по логину одного из email вымогателей. 
---

Обнаружения:

DrWeb -> Trojan.Encoder.36354

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Agent.BTE

Kaspersky -> Trojan-Ransom.Win32.Fishcat.b

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win64/CatB.AD!MTB

Rising -> Ransom.Cryptor!8.10A9 (CLOUD)

Tencent -> Malware.Win32.Gencirc.10bdf7fb

TrendMicro -> Ransom_Cryptor.R002C0PK822

---

DrWeb -> Trojan.Encoder.36257

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> Win64/Agent.BTE

Kaspersky -> Trojan-Ransom.Win64.Fishcat.a

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win64/CatB.AD!MTB

Rising -> Ransom.Cryptor!8.10A9 (CLOUD)

Tencent -> Malware.Win32.Gencirc.10be031c

TrendMicro -> Ransom_Cryptor.R06BC0PK322

---
Обнаружения:
DrWeb -> Trojan.Encoder.37041
BitDefender -> Trojan.Ransom.CatB.A
ESET-NOD32 -> A Variant Of Win64/Filecoder.GK
Kaspersky -> Trojan-Ransom.Win32.Fishcat.d
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/CatB.A!MTB
Rising -> Ransom.Fishcat!8.173F0 (CLOUD)
Tencent -> ***
TrendMicro -> Backdoor.Win64.COBEACON.YXCLBZ
---

© Генеалогия: родство выясняется >> CatB

Сайт "ID Ransomware" идентифицирует это как CatB (с 15 марта 2023). 

Информация для идентификации

Активность этого крипто-вымогателя началась в начале и в середине ноября 2022 г. и продолжилась в начале 2023 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были связаны с автомобильной промышленностью. 

К зашифрованным файлам никакое расширение не добавляется. 

Записка с требованием выкупа вписывается в каждый зашифрованный файл. Чтобы прочитать содержимое записки, нужно открыть зашифрованный файлы Блокноте Windows или альтернативной программе для текстовых файлов.  

Содержание текста о выкупе:

??? What happend???

!!!    Your files are encrypted   !!!

*All your files are protected by strong encryption with RSA-2048.*

*There is no public decryption software.*

###### Program and private key, What is the price? The price depends on how fast you can pay to us.######

1 day : 50 Bitcoin

2 day : 60 Bitcoin

3 day : 90 Bitcoin

4 day : 130 Bitcoin

5 day  : permanent data loss !!!!

Btc Address: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz

!!! After received, we will send program and private key to your IT department right now.!!!

*Free decryption As a guarantee, you can send us up to 3 free decrypted files before payment.*

email: catB9991@protonmail.com

!!! Do not attempt to decrypt your data using third-party software, this may result in permanent data loss.!!!

!!! Our program can repair your computer in few minutes.!!!

ХХХХХ

Перевод текста на русский язык:

??? Что случилось???

!!! Ваши файлы зашифрованы!!!

*Все ваши файлы защищены надежным шифрованием RSA-2048.*

*Отсутствует общедоступное программное обеспечение для расшифровки.*

###### Программа и приватный ключ, Какая цена? Цена зависит от того, как быстро вы сможете заплатить нам.######

1 день: 50 биткойнов

2 день: 60 биткойнов

3 день: 90 биткойнов

4 день: 130 биткойнов

5 день: безвозвратная потеря данных!!!!

Адрес BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz

!!! После получения мы отправим программу и закрытый ключ в ваш ИТ-отдел прямо сейчас.!!!

*Бесплатная расшифровка В качестве гарантии вы можете отправить нам до 3 бесплатных расшифрованных файлов перед оплатой.*

Email: catB9991@protonmail.com

!!! Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к безвозвратной потере данных.!!!

!!! Наша программа может исправить ваш компьютер за несколько минут.!!!

ХХХХХ


Другой вариант текста записки:

В нём указан Email: fishA001@protonmail.com

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ CatB обнаруживает виртуальные машины/песочницы, проверяя размер физической памяти. Это делается путем получения информации как о физической, так и о виртуальной памяти с помощью API-функции GlobalMemoryStatusEx. В данном случае CatB завершает работу, если на машине менее 2 ГБ физической памяти. 

➤ В дополнение к шифрованию и обфускации файлов CatB Ransomware попытается собрать конфиденциальную информацию из целевых систем. включая браузеры (Google Chrome, Microsoft Edge, Internet Explorer, Mozilla Firefox) и учётные данные.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., в том числе: exe, dll, sys, html.

Файлы, связанные с этим Ransomware:

key - специальный файл, оставляется на ПК каждой жертвы; 

<text inside> - текст с требованием выкупа вписан в каждый файл;

svchosts.exe - один из вредоносных файлов; 
oci.dll, version.dll, <random>.dll {exe} - название вредоносного dll-файла.

➤ CatB использует перехват DLL через координатора распределенных транзакций Microsoft (MSDTC) для извлечения и незаметного запуска пейлоада (полезной нагрузки) программы-вымогателя.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Public\key

C:\Users\Admin\Documents\OutInvoke.mht

C:\Users\Admin\Downloads\EditExpand.txt

C:\Users\Admin\AppData\Local\Google\Chrome\User Data\chrome_shutdown_ms.txt

C:\Users\Admin\AppData\Local\Microsoft\Internet Explorer\brndlog.txt

C:\Users\Admin\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\ErrorPage.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: catB9991@protonmail.com

Email-2: fishA001@protonmail.com
BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 152355ae53f89b83d40983afa3d9726b

SHA-1: 8c11109da1d7b9d3e0e173fd24eb4b7462073174

SHA-256: 512587a73cd03c6324ade468689510472c6b9e54074f3cf115aa54393b14f037

Vhash: 015076655d155515555az4f!z

Imphash: 9ee213cc92019de3ab89fab1fe03397f

---

IOC: VT, HA, IA, TG (TG), AR, VMR, JSB

MD5: b6c1128fbff30b2a37498a042261ebbf

SHA-1: 1028a0e6cecb8cfc4513abdbe3b9d948cf7a5567

SHA-256: 35a273df61f4506cdb286ecc40415efaa5797379b16d44c240e3ca44714f945b

Vhash: 115076655d155515155az5-z

Imphash: 36895010a51643fd82e39e17faab3448

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: edc87da8654e966bee0e5c9b92ed67cb

SHA-1: db99fc79a64873bef25998681392ac9be2c1c99c

SHA-256: 9990388776daa57d2b06488f9e2209e35ef738fd0be1253be4c22a3ab7c3e1e2

Vhash: 015076655d155515555az4f!z

Imphash: 9ee213cc92019de3ab89fab1fe03397f

Другие IOC: 

db99fc79a64873bef25998681392ac9be2c1c99c

dd3d62a6604f28ebeeec36baa843112df80b0933

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 MinervaLabs, PCrisk, SentinelOne, Fortinet
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.