Если вы не видите здесь изображений, то используйте VPN.

пятница, 6 января 2023 г.

KeyGroup777

KeyGroup777 Ransomware

Key Group Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Key Group Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES в режиме CBC, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: KeyGroup777 Ransomware. На файле написано: reshacker_setup3.exe, svchost.exe или что-то другое. Кроме шифрования файлов программа-вымогатель отправляет личную информацию (PII) с атакованных устройств злоумышленникам. Используется и распространяется антироссийской группой: Key Wolf (Key Wolf Group). Разработчик: DarkZeus. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.24983
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec - > Ransom.Sorry
Tencent -> Trojan-Ransom.Msil.Agent.ga
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14
---

© Генеалогия: Chaos (Chaos Ransomware Builder 4.0) + другой код >> 
KeyGroup777


Сайт "ID Ransomware" идентифицирует это как KeyGroup777 с 27 июля 2024.  


Информация для идентификации

Активность этого варианта KeyGroup777 была замечена в начале января 2023 г. и продолжалась в течение года. Ориентирован на русскоязычных  пользователей, хотя записки написаны на русском и английском языках, но при расширении вектора атаки может начать распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .keygroup777tg
Или одно из похожих. 

Названия файлов кодируются с использованием Base64. 

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Key Group Ransomware note, записка о выкупе


Содержание записки о выкупе:
You became victim of the keygroup777 RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to
restore your data without a special key. You can purchase this key on the telegram page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
register a bitcoin 300$ @keygroup777tg bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk .
2. register a bitcoin wallet :
https://bitcoin-wallet.org/ru/
https://bitcoin-wallet.org/ru/
3. Enter your personal decryption code there:
e5Pc4P8WjF35***

Перевод записки на русский язык:
Вы стали жертвой программы-вымогателя keygroup777!
Файлы на вашем компьютере зашифрованы с помощью алгоритма шифрования военного уровня. Нет никакого способа
восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице Telegram, указанной в шаге 2.
Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:
зарегистрируйте биткойн на 300$ @keygroup777tg bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk.
2. зарегистрируйте биткойн-кошелек:
https://bitcoin-wallet.org/ru/
https://bitcoin-wallet.org/ru/
3. Введите туда свой личный код расшифровки:
e5Pc4P8WjF35***

Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:

vssadmin delete shadows /all /quiet & wmic shadowcopy delet
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet

➤ Ранние версии программы-вымогателя Key Group использовали крипто-строитель Chaos 4.0 для создания образца программы-вымогателя, нацеленного на российских жертв.  

➤ Программа-вымогатель использует статический ключ AES и вектор инициализации (IV) для рекурсивного шифрования данных жертвы и изменения имени зашифрованных файлов с расширением keygroup777tg. 

➤ Цели для шифрования: 
все диски, кроме диска C и следующие директории и поддиректории: 
%USERPROFILE%\\Desktop
%USERPROFILE%\\Links
%USERPROFILE%\\Contacts
%USERPROFILE%\\Desktop
%USERPROFILE%\\Documents
%USERPROFILE%\\Downloads
%USERPROFILE%\\Pictures
%USERPROFILE%\\Music
%USERPROFILE%\\OneDrive
%USERPROFILE%\\Saved Games
%USERPROFILE%\\Favourites
%USERPROFILE%\\Searches
%USERPROFILE%\\Videos
%APPDATA%
%PUBLIC%\\Documents
%PUBLIC%\\Pictures
%PUBLIC%\\Music
%PUBLIC%\\Videos
%PUBLIC%\\Desktop

➤ Key Group Ransomware может отключать обновления различных антивирусных программ, изменяя файл хостов внутри ОС Windows. На скриншоте ниже показаны целевые антивирусы и редирект на 77.88.55.60 – легитимные серверы Яндекс.RU. Кроме того, трафик перенаправляется на локальный хост, потому он будет удален, что фактически отключит обновления антивирусной защиты. 



➤ В более новых версиях вымогатели стали использовать NjRAT — инструмент удаленного администрирования (RAT). 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt - название файла с требованием выкупа;
reshacker_setup3.exe, svchost.exe, worm.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @keygroup777Tg
@keygroup777cyber
@keygroup777fatherbot
Email: keygroup777hackeruk@gmail.com
BTC: bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 604fd6351a04b871dc77b6c7ad24ff3c
SHA-1: 3ed571a894c8239ea506c9eb8e53bf9cb8a2f2f8
SHA-256: 1dc05f28533a88807c1dca013c1bffa9a7afd78da1426c1fc329861dab11e5f5
Vhash: 21503615151b00714f0034
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант KeyGroup777 от 30 августа 2022:
Основан на Xorist. Имеет нескольо однотипных вариантов с разными расширениями и контактами. 
Расширение: .keygroup, .keygroup777
Записка: HOW TO DECRYPT FILES.txt
BTC: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg
Email: elanor35runte35@myrambler.ru, kristiana.vinogradova.77@mail.ru
Telegram: @keygroup777, @keygroup777cyber, @keygroup777fatherbot, @keygroup777huis1, @keygroup777huis2




Файл: keygroup1.exe
IOC: VT, IA, TG
MD5: a7ed00a3b0f827a3dccc69d8908f5a22
SHA-1: 7a36afb00dc04927478303dc7df10c088d00da37
SHA-256: bf17f462722749cdbad455170d45b0b314311178207921a3ea9144b03eb31eb2
Vhash: 04403e0f7d101013z11z6hz1011z1fz
Imphash: a3581bfe28e762682dbc13d06bf2fda0
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.25389
BitDefender -> Trojan.Ransom.AIG
ESET-NOD32 -> Win32/Filecoder.Q
Kaspersky -> Trojan-Ransom.Win32.Xorist.ln
Malwarebytes -> Trojan.FileLock
Microsoft -> Ransom:Win32/Sorikrypt
Rising -> Ransom.Sorikrypt!8.8822 (TFE:5:H50DeYUdIVS)
Symantec -> Ransom.CryptoTorLocker
Tencent -> Trojan.Win32.CryptoTorLocker2015.a
TrendMicro -> Ransom_XORIST.SMA



Вариант от 22 марта 2023: 
Описание шифровальщика-деструктора из статьи на сайте BI.ZONE >> 
Используется и распространяется антироссийской группой: Key Wolf (Key Wolf Group). 
Записка содержит предложение перевести деньги на Bitcoin-кошелек. 
Содержание записки от злоумышленников:
We are the keygroup777 ransomware we decided to help Ukraine destroy Russian computers, you can help us and transfer money to a bitcoin wallet ***
---
Этот вариант отслеживает в буфере обмена адреса вводимых bitcoin-кошельков и подменяет их на адрес кошелька злоумышленников. 
---
Файлы: Информирование зарегистрированных.hta и Информирование зарегистрированных.exe
➤ Особенности шифрования файлов:
Файлы с размером меньше 2117152 байт шифруются с помощью AES256‑CBC. Ключ и IV генерируются с помощью функции Rfc2898DeriveBytes с неким паролем и солью [1, 2, 3, 4, 5, 6, 7, 8]. Пароль имеет размер 20 байт, имеет чарсет abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/ и генерируется с помощью стандартной функции Random(). После шифрования в файл записывается пароль в XML‑теге <EncryptedKey>, который зашифрован RSA1024‑OAEP и закодирован в Base64, после чего идет сам зашифрованный файл, закодированный в Base64.
Для файлов с размером ≥ 2117152 байт, но ≤ 200000000 байт размер файла делится на 4, и генерируется столько же случайных байт. Они помещаются в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстановимым.
Для файлов с размером ≥ 200 000 000 байт генерируется случайное число байтов в промежутке от 200000000 до 300000000 байт и помещается в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстановимым.

Вариант от 29 апреля 2023: 
Файл: fusk.exe
IOC: VT, IA: MD5: 7e1577b6e42d47b30ae597eee720d3b1
➤ Обнаружения: 
BitDefender -> IL:Trojan.MSILZilla.24983
DrWeb -> Trojan.Encoder.34437
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
TrendMicro -> Ransom_FileCoder.R002C0CI123


Вариант от 24 июня 2023:
Файл: WARNEP.exe 
IOC: VT, IA: MD5: c2e1048e1e5130e36af297c73a83aff6
➤ Обнаружения: 
BitDefender -> IL:Trojan.MSILZilla.24983
DrWeb -> Trojan.Encoder.34437
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14


Новость от 3 августа 2023:
EclecticIQ создали инструмент расшифровки (скрипт) для версии Key Group Ransomware от 3 августа 2023 года. 
"Key Group использует статический ключ N0dQM0I1JCM= в кодировке Base64 для шифрования данных жертв. Злоумышленник пытался повысить случайность зашифрованных данных, используя криптографический метод, называемый «солением». Соль была статической и использовалась для каждого процесса шифрования, что представляло собой существенный недостаток в процедуре шифрования. Эти ошибки помогли аналитикам создать инструмент расшифровки для этой конкретной версии программы-вымогателя Key Group. "
Статья на сайте EclecticIQ >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Topic of Support ***

Thanks: EclecticIQ, BleepingComputer Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 5 декабря 2022 г.

Monti

Monti Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей ОС Linux с помощью комбинации алгоритмов, а затем требует выкуп чтобы вернуть файлы. Оригинальное название: Monti. На файле написано: monti.elf. Есть версии крипто-вымогателя для Linux и Windows. 
---
Обнаружения:
DrWeb -> Linux.Encoder.135
BitDefender -> Trojan.Generic.32380713
ESET-NOD32 -> Linux/Filecoder.Conti.A
Kaspersky -> HEUR:Trojan-Ransom.Linux.Conti.gen
Microsoft -> Ransom:Linux/Conti.A
Rising -> Ransom.Conti/Linux!8.15360 (CLOUD)
Tencent -> Linux.Trojan.Conti.Ewnw
TrendMicro -> Trojan.Linux.CONTI.USELVL622
---

© Генеалогия: CONTI modified >> Monti



Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале/середине/конце ноября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .puuuk


Записка с требованием выкупа называется: readme.txt или README.txt


Содержание записки о выкупе:
All of your files are currently encrypted by MONTI strain. If you don't know who we are - just "Google it."
As you already know, all of your data has been encrypted by our software.
It cannot be recovered by any means without contacting our team directly.
DON'T TRY TO RECOVER your data by yourselves. Any attempt to recover your data (including the usage of the additional recovery software) can damage your files. However, if you want to try - we recommend choosing the data of the lowest value.
DON'T TRY TO IGNORE us. We've downloaded a pack of your internal data and are ready to publish it on our news website if you do not respond.
So it will be better for both sides if you contact us as soon as possible.
DON'T TRY TO CONTACT feds or any recovery companies.
We have our informants in these structures, so any of your complaints will be immediately directed to us.
So if you will hire any recovery company for negotiations or send requests to the police/FBI/investigators, we will consider this as a hostile intent and initiate the publication of whole compromised
data immediately.
To prove that we REALLY CAN get your data back - we offer you to decrypt two random files completely free of charge.
You can contact our team directly for further Instructions through our website :
TOR VERSION :
(you should download and install TOR browser first https://torproject.org)
http://monti**********************************************.onion/chat/
Our blog :
(also through TOR)
hxxx://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion
YOU SHOULD BE AWARE!
We will speak only with an authorized person. It can be the CEO, top management, etc.
In case you are not such a person - DON'T CONTACT US! Your decisions and action can result in serious harm to your company!
Inform your supervisors and stay calm!

Перевод записки на русский язык:
Все ваши файлы сейчас зашифрованы штаммом MONTI. Если вы не знаете, кто мы - просто "погуглите".
Как вы уже знаете, все ваши данные зашифрованы нашей программой.
Их никак нельзя восстановить, не связавшись напрямую с нашей командой.
НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ данные самостоятельно. Любая попытка восстановить ваши данные (включая использование дополнительных программ для восстановления) может повредить ваши файлы. Однако если вы хотите попробовать — рекомендуем выбирать данные наименьшего значения.
НЕ ПЫТАЙТЕСЬ ИГНОРИРОВАТЬ НАС. Мы скачали пакет ваших внутренних данных и готовы опубликовать его на нашем новостном сайте, если вы не ответите.
Поэтому для обеих сторон будет лучше, если вы свяжетесь с нами как можно скорее.
НЕ ПЫТАЙТЕСЬ СВЯЗАТЬСЯ с федералами или любыми компаниями по восстановлению.
У нас есть свои информаторы в этих структурах, поэтому любая ваша жалоба будет немедленно направлена к нам.
Поэтому, если вы наймете любую компанию по восстановлению для переговоров или отправите запросы в полицию/ФБР/следователям, мы будем рассматривать это как враждебный умысел и инициируем публикацию всех скомпрометированных данных немедленно.
Чтобы доказать, что мы ДЕЙСТВИТЕЛЬНО МОЖЕМ вернуть ваши данные - мы предлагаем вам совершенно бесплатно расшифровать два случайных файла.
Вы можете связаться с нашей командой напрямую для получения дальнейших инструкций через наш веб-сайт:
ВЕРСИЯ ТОР:
(сначала необходимо скачать и установить браузер TOR https://torproject.org)
http://monti*************************************************** *.onion/чат/
Наш блог:
(также через ТОР)
hxxx://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion
ВЫ ДОЛЖНЫ ЗНАТЬ!
Мы будем говорить только с уполномоченным лицом. Это может быть генеральный директор, высшее руководство и др.
Если вы не такой человек - НЕ СВЯЗЫВАЙТЕСЬ С НАМИ! Ваши решения и действия могут нанести серьезный вред вашей компании!
Сообщите начальству и сохраняйте спокойствие!


Из записки о выкупе видно, что вымогатели Monti управляют двумя разными сайтами в сети Tor: один для размещения данных, украденных у жертв, и другой для переговоров о выкупе. На момент написания статьи сайт переговоров о выкупе был недоступен. На сайте для размещения украденных данных есть "стена позора", которую оператор Monti скопировал у других вымогателей, таких как Ragnar Locker. В настоящее время на сайте утечки нет списка жертв, но есть провокационное сообщение, которое может указывать на то, что многие жертвы программы-вымогателя Monti успешно сотрудничали и заплатили выкуп, за исключением одной жертвы в Аргентине.

Скриншоты сайта вымогателей





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы, текстовые файлы, PDF-файлы, базы данных, файлы журналов, фотографии и пр.

Файлы, связанные с этим Ransomware:
readme.txt или README.txt - название файла с требованием выкупа;
result.txt - текстовый файл показывает, сколько файлов было зашифровано;
monti.elf - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion
Tor-URL: hxxx://monti***.onion/chat/
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: Fortinet Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 1 декабря 2022 г.

CryWiper

CryWiper Ransomware

BrowserUpdate Ransomware

(фейк-шифровальщик, вымогатель, стиратель, деструктор) 
Translation into English


CryWiper Ransomware

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. На самом деле файлы умышленно повреждаются без возможности восстановления. Оригинальное название: в записке не указано. На файле написано: browserupdate.exe. Написан на языке C++ и собран с помощью набора инструментов MinGW-w64 и компилятора GCC. Для Windows x64. Первоисточник информации: Лаборатория Касперского. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> Trojan-Ransom.Win64.CryWiper.a
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ✂ Xorist + другие >> 
CryWiper


Сайт "ID Ransomware" CryWiper пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце ноября - начале декабря 2022 г. Атаки ориентированы на российские мэрии и суды. Вероятно распространяется из Украины политически мотивированными хакерами и преступниками. 

К фейк-зашифрованным (фактически испорченным) файлам добавляется расширение: .CRY

Для уничтожения пользовательских файлов CryWiper генерирует последовательность данных при помощи известного генератора псевдослучайных чисел "Вихрь Мерсенна" и записывает эти данные вместо оригинального содержимого файла.

То есть сами файлы не шифруются, а стираются. Расширение добавляется для того, чтобы излишне доверчивые и наивные пострадавшие заплатили выкуп, но не получили назад свои файлы. Уплата выкупа бесполезна! 

Записка с требованием выкупа называется: README.txt

CryWiper Ransomware, note записка

Содержание записки о выкупе:

All your important files were encrypted on this computer.
You can verify this by click on see files an try open them.
Encrtyption was produced using unique KEY generated for this computer.
To decrypted files, you need to otbtain private key.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
Payment have to be made in maxim 24 hours
To retrieve the private key, you need to pay 0.5 BITCOINS
Bitcoins have to be sent to this address: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd
After you've sent the payment send us an email to : fast_decrypt_and_protect@tutanota.com with subject : ERROR-ID-63100778(0.5BITC0INS)
If you are not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы на этом компьютере.
Вы можете убедиться, нажав просмотр файлов и попытаться их открыть.
Шифрование выполнено с уникальным КЛЮЧОМ, сгенерированным для этого компьютера.
Для расшифровки файлов вам надо получить закрытый ключ.
Единственная копия закрытого ключа, которая позволит расшифровать файлы, есть на секретном сервере в Интернете;
Сервер уничтожит ключ в течение 24 часов после завершения шифрования.
Оплата должна быть произведена в течение максимум 24 часов
Чтобы получить закрытый ключ, вам надо заплатить 0,5 BITCOINS
Биткоины должны быть отправлены на этот адрес: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd
После отправки платежа отправьте нам электронное письмо по адресу: fast_decrypt_and_protect@tutanota.com с темой: ERROR-ID-63100778(0.5BITC0INS)
Если вы не знакомы с биткоинами, вы можете купить их здесь:
САЙТ: www.localbitcoin.com
После подтверждения платежа мы отправляем закрытый ключ, чтобы вы могли расшифровать свою систему.


Для справки: 
Email-адрес fast_decrypt_and_protect@tutanota.com известен их предыдущих вымогательских кампаниях 2017-2018 года по распространению Xorist Ransomware и замечен в некоторых других малоизвестных проектах. Строка ERROR-ID-63100778 также похожа на те, что использовались в Xorist Ransomware. 

Можно сравнить текст с одной из предыдущих записок, см. скриншот ниже. 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Вредоносные функции: 
- с помощью планировщика заданий создает задачу запуска вайпера каждые 5 минут;
- передает имя компьютера в командный центр и ждет команду на начало новой атаки;
- останавливает процессы серверов баз данных MySQL, MS SQL, MS Exchange, MS Active Directory;
- удаляет теневые копии файлов, но только на диске "C:";
- запрещает подключение к системе по протоколу RDP.



Список типов файлов, подвергающихся шифрованию:
Это базы данных, архивы и документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр.

Пропускаемые типы файлов: 
.exe, .dll, .lnk, .sys, .msi, .CRY

Пропускаемые директории: 
C:\Windows, Boot, tmp, winnt, temp, thumb, System Volume Information, Trend Micro

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
browserupdate.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\System32\browserupdate.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fast_decrypt_and_protect@tutanota.com
BTC: 
bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd
Сервер URL: hxxx://82.221.141.8/IYJHNkmy3XNZ
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 14808919a8c40ccada6fb056b7fd7373


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: Лаборатория Касперского Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 29 ноября 2022 г.

BlackHunt

BlackHunt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать вымогателям, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: BlackHunt. На файле написано: BlackHunt.exe или случайное название.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37002
BitDefender -> Trojan.GenericKD.64497764, Gen:Variant.Ser.Fragtor.1387
ESET-NOD32 -> A Variant Of Win32/Filecoder.OKE
Kaspersky -> UDS:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.BlackHunt
Microsoft -> Ransom:Win32/Conti.ZC
QuickHeal -> Ransom.Conti
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Win32.Trojan.Filecoder.Hkjl, Win32.Trojan.Filecoder.Pcnw
TrendMicro -> Ransom_Conti.R002C0DLR22, Ransom.Win32.BLACKHUNT.THLBHBB

---

© Генеалогия: CONTI-2 (stolen code) + другой код >> 
BlackHunt


Сайт "ID Ransomware" идентифицирует это как BlackHunt (с 22 марта 2023).


Информация для идентификации

Активность этого крипто-вымогателя была в конце ноября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были во Вьетнаме. Потом крипто-вымогатель стал распространяться и в других странах. 

К зашифрованным файлам добавляется расширение: .Black

Фактические используется составное расширение по шаблону: .[<random{16}>].[<email>].Black

Примеры таких расширений: 
.[rKcCw3Up38KUtBH5].[tset@gmail.com].Black
.[rCw3KcU4Kp5HtUB6].[amike1096@gmail.com].Black

Записка с требованием выкупа написана на голубом экране : 


Содержание записки о выкупе:

WARNING WARNING WARNING.
Your Network Infected With BlackHunt Ransomware Team. ALL Your important
Files Encrypted and Stolen , Do You Want Your Files? read [ReadMe] Files carefully
and contact us by [tset@gmail.com] AND [tset2@gmail.com]

Перевод записки на русский язык:
ВНИМАНИЕ ВНИМАНИЕ ВНИМАНИЕ.
Ваша сеть заражена командой BlackHunt Ransomware. ВСЕ Ваши важные
Файлы зашифрованы и украдены, Вам нужны ваши файлы? Прочтите файлы [ReadMe] и пишите на [tset@gmail.com] И [tset2@gmail.com]


Вероятно такой тип записки бы ранним, тестовым вариантом. Кроме того, логин почты 'tset' очень похож на слово 'test'. В декабре 2022 мы видели уже другой тип записки с требованием выкупа в виде файлов #BlackHunt_ReadMe.hta и #BlackHunt_ReadMe.txt, в которых используется другой email-адрес. 

Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Выполняет сдедующие деструктивные действия: 

Добавляется в Автозагрузку, изменяя ключи реестра. 
Добавляет задачу в Планировщик задач. 
Создает файлы внутри системного каталога. 
Удаляет план резервного копирования Windows и теневые копии тома.
Отключает восстановление системы. 
Отключает диспетчер задач Windows (taskmgr).
Отключает Защитник Windows.
Пытается загрузить отсутствующие библиотеки DLL.
Включить загрузку в безопасном режиме. 
Запрашивает список всех запущенных процессов. 
Может попытаться обнаружить виртуальную машину, чтобы помешать анализу.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackHunt.exe - возможное название вредоносного файла;
<random>.exe - случайное название вредоносного файла;
#BlackHunt_ReadMe.hta - название файла с требованием выкупа;
#BlackHunt_Update.txt - название файла с требованием выкупа;
#BlackHunt_Private.key, #BlackHunt_Public.key - файлы с ключами;
#BlackHunt_Update.hta - еще один файл HTA;
#BlackHunt_Logs.txt - журнал действий. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\#BlackHunt_ReadMe.hta
C:\ProgramData\#BlackHunt_Update.hta
C:\ProgramData\#BlackHunt_ReadMe.txt
C:\ProgramData\#BlackHunt_Private.key
C:\ProgramData\#BlackHunt_Public.key
C:\ProgramData\#BlackHunt_Logs.txt
C:\ProgramData\#BlackHunt_ID.txt
C:\ProgramData\#BlackHunt_BG.jpg
C:\ProgramData\#BlackHunt_Icon.ico

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\Software\Classes\Black
HKEY_LOCAL_MACHINE\Software\Classes\Black
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "{2C5F9FCC-F266-43F6-BFD7-838DAE269E11}" /t REG_SZ /d "C:\ProgramData\#BlackHunt_ReadMe.hta" /f
"HKEY_LOCAL_MACHINE\Software\Classes\.Black\DefaultIcon" /ve /t REG_SZ /d "C:\ProgramData\#BlackHunt_Icon.ico"
"HKEY_LOCAL_MACHINE\Software\Classes\Black\DefaultIcon" /ve /t REG_SZ /d "C:\ProgramData\#BlackHunt_Icon.ico"  /f
"HKEY_LOCAL_MACHINE\Software\Classes\Black" /f
И другие, см. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tset@gmail.com, tset2@gmail.com
amike1096@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 16deea31a988e7af71001c2eda8ad614
SHA-1: 8d992884b713b56d1edbf40306b2e11dc54f9887
SHA-256: 977083fc01e2982258eac0a13e56cd697d9f6941f5a365e9d02d544fc3e15000
Vhash: 075066655d55151560c8z8a1z2dz3011z55za7z
Imphash: f6ebbc99dee0ebb360681d57876ef849
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: d7a24de75b761cb98f580dafda4ba885
SHA-1: 86dc51cfc817937f9525b8aa2fa71e918288a44d
SHA-256: f725792a5ef0512f3c5356d79fb3be5afcbaffaa4af41498342f7d09d703761f
Vhash: 075066655d55151560c8z8a1z2dz3011z55za7z
Imphash: f6ebbc99dee0ebb360681d57876ef849


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 25 декабря 2022: 
Название версии: BlackHunt v1.0
Расширение: .Black
Полное расширение: .[rCw3KcU4Kp5HtUB6].[amike1096@gmail.com].Black
Записка: #BlackHunt_ReadMe.hta
Email: 
amike1096@gmail.com, onion746@onionmail.com, justin@cyberfear.com, magicback@onionmail.org и другие
Tor URL: hxxx://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion
IOC: VT + VT







=== 2023 ===

Вариант от 5 июня 2023 и позже:
Расширение: .Hunt2
Составное расширение (пример): .[GxxaNAHrhs0Qw1fe].[Cyberexploit.59@gmail.com].Hunt2
Записки: #BlackHunt_ReadMe.hta, #BlackHunt_ReadMe.txt
Изображение, заменяющее обои: #BlackHunt_BG.jpg
Файл ключа: #BlackHunt_Private.key
Пути нахождения файлов: 
C:\Program Files\#BlackHunt_Private.key
C:\Program Files\#BlackHunt_ReadMe.hta
C:\Program Files\#BlackHunt_ReadMe.txt
C:\Program Files (x86)\#BlackHunt_Private.key
C:\Program Files (x86)\#BlackHunt_ReadMe.hta
C:\Program Files (x86)\#BlackHunt_ReadMe.txt
---
Email: Cyberexploit.59@gmail.com, Cybererror.59@gmail.com
Tor-URL: http://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion 





Вариант от 18 декабря 2023: 
Расширение: .Hunt2
Составное расширение (пример): .[oXzXQKBjntMCPZ4i].[keyseller@mailfence.com].Hunt2
Записка: #BlackHunt_ReadMe.txt
Email: keyseller@mailfence.com, keyseller@skiff.com



=== 2024 ===

Вариант от 12 августа 2024 или раньше: 
Расширение: .Hunt2
Составное расширение (пример): .[TlMJfwTGBiye6ZXT].[gotchadec@onionmail.org].Hunt2
Записки: #BlackHunt_ReadMe.hta, #BlackHunt_ReadMe.txt
Файл ключа: #BlackHunt_Private.key
Email: gotchadec@onionmail.org, Yamaguchigumi@cock.li
Telegram: @GotchaDec 
Tor-URL: hxxx://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: RakeshKrish12, Sandor Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *