Если вы не видите здесь изображений, то используйте VPN.

пятница, 3 февраля 2023 г.

ESXi-hacked, ESXiArgs

ESXi-hacked Ransomware

ESXiArgs Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные серверов на основе гипервизора VMware ESXi, а затем подменяет сообщение на входе, заменяя его своим с требованием выкупа в несколько BTC. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
О том, что такое ESXi читайте на официальном сайте. Данный сайт не предназначен для объяснений коммерческих продуктов и технологий. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
ESXi-hacked (ESXiArgs)


Сайт "ID Ransomware" это идентифицирует как ESXiArgs


Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2023 г. Возможно, что более ранние варианты были уже в декабре 2022 года.  Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .args

Записки с требованием выкупа называются по разному: 
ransomnote.html
ransom.html
How to Restore Your Files.html
и другие названия. 




В разных записках используются одинаковый текст и TOX_ID, а разные только BTC-адрес и сумма выкупа.

Содержание записки о выкупе:
How to Restore Your Files
Security Alert!!!
We hacked your company successfully
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please send 2.0*** bitcoins to the wallet 1PAFdD9fwqRWG4VcCGuY27VT**********
If money is received, encryption key will be available on TOX_ID: 
D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A
Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars, no one can decrypt without key file
If you don't send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
Note
SSH is turned on
Firewall is disabled

Перевод записки на русский язык:
Как восстановить свои файлы
Тревога!!!
Мы успешно взломали вашу компанию.
Все файлы украдены и зашифрованы нами
Если вы хотите восстановить файлы или избежать утечки файлов, пожалуйста, отправьте 2.0*** биткоинов на кошелек 1PAFdD9fwqRWG4VcCGu***************
Если деньги будут получены, ключ шифрования будет доступен на TOX_ID: 
D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A
Внимание!!!
Присылайте деньги в течение 3 дней, иначе мы раскроем некоторые данные и поднимем цену.
Не пытайтесь расшифровать важные файлы, это может повредить ваши файлы
Не доверяйте тем, кто обещает расшифровать, они лжецы, никто не может расшифровать без ключевого файла
Если вы не отправите биткоины, мы уведомим ваших клиентов о нарушении данных по email и текстовыми сообщениями.
И продадим ваши данные вашим конкурентам или преступникам, данные могут быть обнародованы.
Примечание
SSH включен
Брандмауэр отключен


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC


Администраторы, хостинг-провайдеры и Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупреждают, что злоумышленники активно нацелены на неисправленные серверы VMware ESXi против уязвимости удалённого выполнения кода двухлетней давности для развертывания программ-вымогателей.

Уязвимость, отслеживаемая как CVE-2021-21974 (ещё об этом), вызвана проблемой переполнения динамической памяти в службе OpenSLP, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности.

CVE-2021-21974 влияет на следующие системы:
ESXi версии 7.x до ESXi70U1c-17325551
ESXi версии 6.7.x до ESXi670-202102401-SG
ESXi версии 6.5.x до ESXi650-202102101-SG

Этот Ransomware может распространяться путём атаки на незащищенную и необновлённую конфигурацию ESXi, но подробный способ проникновения и атаки пока не описан. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
.nvram, .vmdk, .vmsd, .vmx, .vmxf

Файлы, связанные с этим Ransomware:
ransom.html - названия файла с требованием выкупа;
ransomnote.html - названия файла с требованием выкупа;
How to Restore Your Files.html - названия файла с требованием выкупа. 

Расположения:
/usr/lib/vmware/hostd/docroot/
/usr/lib/vmware/hostd/docroot/ui/ 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A
Email: -
BTC: 
1PAFdD9fwqRWG4VcCGuY27VTW8xPZmuF1D
BTC: 1GequkXF8tEYrfPhpY79TrV7xRTMargC92
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: высокая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Предыстория от 3 августа 2022:
В статье рассказывалось, как просто работает программа-вымогатель для ESXi, это должно было подвигнуть администраторов систем на устранение уязвимости, но не все воспользовались этой рекомендацией. 


Новость от 4 февраля 2023:
Участник форума с ником spetsnax предложил решение по восстановлению работоспособности затронутых машин. Некоторые пострадавшие, следуя этой инструкции, смогли исправить свои машины и восстановить работу в целом. 
Инструкции на сайте >>


Новость от 9 февраля 2023:
Новая версия программы-вымогателя не позволяет восстановить файлы предложенным выше способом. 
Статья на сайте BleepingComputer >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***

Thanks: quietman7, Jacques Cheminat, Michael Gillespie, spetsnax Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 23 января 2023 г.

BTC-azadi

BTC-azadi Ransomware

BTC-azadi NextGen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью комбинации алгоритмов (возможно: Curve25519, Salsa20, ChaCha20), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Crypter.exe. 
---
Обнаружений в январе 2023:
не было
---
Обнаружения в марте 2023:
DrWeb -> Trojan.Encoder.37369
BitDefender -> Gen:Variant.Fragtor.201207
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic, Trojan-Ransom.Win32.Azadi
Malwarebytes -> Ransom.FileCryptor / Generic.Ransom.FileCryptor.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (TFE:5:mf7HVilERiG)
Tencent -> Malware.Win32.Gencirc.10be3b2e
TrendMicro -> Ransom.Win32.BTCAZADI.SMTH


© Генеалогия: более ранние варианты >> Proxima >> 
BTC-azadi, BTC-azadi NG, Cylance > более поздние (похожие) варианты

Этимология названия: 
Вымогатели не сообщили названия своей программы. В таком случае мы может использовать слова из расширения и логина почты: BTC + azadi.
В переводе с персидского (фарси) и некоторых других родственных ему языков, azadi (آزادی) означает "свобода" (на англ. freedom). Хорошее слово, но оно используется в вымогательских целях, потому: BTC-azadi. На момент написания статьи мы не знаем, какое значение вымогатели вложили в это слово, когда создавали логин для почты, возможно это просто ник или чья-то фамилия. 


Сайт "ID Ransomware" это пока не идентифицирует. 
Вернее, идентифицирует неправильно, опираясь на расширение .BTC, которые использовалось в разных вымогательских атаках. 


Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2023 г. Затем продолжилось в новых вариантах (см. после основной статьи).  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .BTC

Фактически используется составное расширение по шаблону: .EMAIL=[azadi33@smime.ninja]ID=[<random{16}>].BTC

В секции 
random{16} используется набор из 16 цифр и букв в верхнем регистре, например таких: 23868595F549B276


Записка с требованием выкупа называется: How To Restore Files.txt


Содержание записки о выкупе:
ATTENTION!
At the moment, your system is not protected.
We can fix itand restore files.
To get started, send a file to decrypt trial.
You can trust us after opening the test file.
To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
Your Decryption ID: 23868595F54*****

Перевод записки на русский язык:
ВНИМАНИЕ!
На данный момент ваша система не защищена.
Мы можем это исправить и восстановить файлы.
Сначала пошлите файл на пробную расшифровку.
Вы можете доверять нам после открытия тест-файла.
Для восстановления системы пишите на оба адреса: azadi33@smime.ninja и azadi33@keemail.me
Ваш ID расшифровки: 23868595F549B397


В некоторых сообщениях в разных вариантах, которые присылали пострадавшие, есть ошибки (опечатки или обманки). Нет возможности показать даже некоторые из них. 

Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Restore Files.txt - название файла с требованием выкупа;
Crypter.exe - название вредоносного файла;
RUN.dll - еще один вредоносный файл
<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\RUN.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: azadi33@smime.ninja, azadi33@keemail.me
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023
BTC-azadi Ransomware - январь 2023
Cylance Ransomware - март 2023
BTC-azadi NextGen Ransomware - с марта 2023
.Merlin Ransomware - март-май 2023
.FAST Ransomware - апрель-май 2023
.resq100, .havoc - июнь-июль 2023
.alvaro, .harward - июль-сентябрь 2023
BlackShadow Ransomware - май-июль 2023
BlackBerserk (BlackRecover) - с июля 2023
другие варианты - август-ноябрь 2023
Lambda (LambdaCrypter) Ransomware - октябрь 2023


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 8 марта 2023:
Дата создания файла: 4 марта 2023. 
Короткое расширение: .BTC
Составное расширение (пример): .EMAIL=[antistrees2000@keemail.me]ID=[6A3C5245BE2098C3].BTC



Записка: #FILE ENCRYPTED.txt
Email: antistrees2000@keemail.me, jackdecrypt@smime.ninja


---
На компьютере пострадавшего были замечены расширения разной длины:
.EMAIL=antis.BTC
.EMAIL=antistrees2000@keemail.BTC
.EMAIL=antistrees2000@keemail_meID=.BTC
.EMAIL=antistrees2000@keemail_meID=6A3C5245BE2098C3.BTC

Но в анализе все расширения оказались одинаковыми:
.EMAIL=[antistrees2000@keemail.me]ID=[6A3C5245BE2098C3].BTC
---
Результаты анализа: VT, TG, IA
Обнаружения: 
DrWeb -> Trojan.Encoder.37369
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Generic.Ransom.FileCryptor.DDS
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
TrendMicro -> Ransom.Win32.BTCAZADI.SMTH


Обновление от 24 мая 2023:
Дата создания файла: 17 апреля 2023. 
Сообщение: twitter.com/pcrisk/status/1661618927758131201
Расширение: .FAST
Составное расширение (пример): .EMAIL=[fastdec@tutanota.com]ID=[A883F5AA2ED1B435].FAST
Записка: #FILEENCRYPTED.txt
Email: fastdec@tutanota.com, azadi3@outlookpro.net
Результаты анализа: VT, TG, IA
Обнаружения: 
DrWeb -> Trojan.Encoder.37369
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Generic.Ransom.FileCryptor.DDS
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
TrendMicro -> Ransom.Win32.BTCAZADI.THEBEBC


---

Родственные варианты, назовем их BTC-azadi NextGen Ransomware: 

Вариант от 10 марта 2023, активный в марте-мае 2023:
Расширение: .Merlin
Записка: Merlin_Recover.txt
Email: Merlin@outlookpro.net, Merlin@cyberfear.com, Merlin@onionmail.org
Файл: windows.exe
IOC: VT, TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.37363
BitDefender -> Generic.Ransom.Spora.1F35E5E6
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.367607394
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
Rising -> Trojan.Generic@AI.98 (RDML:AP***
Tencent -> Malware.Win32.Gencirc.10be6c93
TrendMicro -> Ransom.Win32.REMNIL.THBAFBC



Вариант от 2 мая 2023:
Сообщение >>
Расширение: .Antoni
Запсика: Antoni_Recovery.txt
Email: Antonia@onionmail.org, Antoni@cyberfear.com
IOC: VT: 12C209E50949C1FB740CA751754F7871




Вариант от 24 июня 2023, активный в июне-июле 2023:
Расширение: .resq100
Записка: resq_Recovery.txt
Email: resq100@onionmail.org, resq100@cyberfear.com
Файл: Crypter.exe
IOC: VT, TG
➤ Обнаружения: 
DrWeb -> Trojan.FSWiper.1
BitDefender -> Generic.Ransom.Spora.614094CA
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Trojan.FSWiper
Microsoft -> Ransom:Win32/Resq.PAF!MTB
Rising -> Trojan.Generic@AI.98 (RDML:k***
Tencent -> Malware.Win32.Gencirc.10bf0148
TrendMicro -> TROJ_GEN.R002C0PG123



Вариант от 22 июня, активный в июне-июле 2023:
Расширение: .havoc
Полное расширение: .EMAIL=[aesdecrypt@gmail.com ]ID=[6D150A0B7E53F99E].havoc
Записка: FILES ENCRYPTED.txt
Email: aesdecrypt@gmail.com, bnbrans@outlook.com
Файл: Crypter.exe
IOC: VT, TG, AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.37369
BitDefender -> Gen:Variant.Ransom.Adhubllka.84
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Generic.Ransom.FileCryptor.DDS
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
Rising -> Ransom.Agent!8.6B7 (TFE:5:m***
Tencent -> Malware.Win32.Gencirc.10beffc0
TrendMicro -> Ransom.Win32.BTCAZADI.SMTHYXDIQ



Вариант от 19 июля 2023, активный в июле-сентябре 2023:
Расширение: .alvaro
Полное расширение: .EMAIL=[alvarodecrypt@gmail.com]ID=[6D1A0B507E3F959E].alvaro
Записка: FILE ENCRYPTED.txt
Email: alvarodecrypt@gmail.com, alvarodecrypt@outlook.com
Файл: hardware.exe или другой
IOC: VT




Вариант от 23 июля 2023, активный в июле-сентябре 2023:
Расширение: .harward
Полное расширение: .EMAIL[alvarodecrypt@gmail.com]ID=[908D28930971C614].harward
Записка: FILE ENCRYPTED.txt
Доп. файл: file encrypted.txt
Email-1: alvarodecrypt@gmail.com, alvarodecrypt@outlook.com, 
Email-2: antistrees2000@keemail.me, jackdecrypt@smime.ninja
Файл: Crypter.exe
IOC: VT, TG



Вариант от 20 августа 2023, активный в августе-сентябре 2023:
Расширение: .rival
Полное расширение: .EMAIL=[recoveryanti@gmail.com]ID=[A7BF40638C0B7184].rival
Записка: FILE ENCRYPTED.txt
Email: recoveryanti@gmail.com, ransupport@onionmail.org
Файл: Crypter.exe
IOC: VT, TG
➤ Обнаружения: 
BitDefender -> Gen:Variant.Zusy.495910
DrWeb -> Trojan.Siggen21.12718
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
QuickHeal -> Ransom.Cylance.S30114602
TrendMicro -> Ransom.Win32.BTCAZADI.THIODBC



Вариант от 29 августа 2023, активный в августе-сентябре 2023:
Расширение: .elibe
Полное расширение: .EMAIL=[recoveryfile7@gmail.com]ID=[1730E6121CD87855].elibe
FILES ENCRYPTED.txt
Email: recoveryfile7@gmail.com, Eliberansmoware@outlook.com
IOC: VT, TG
➤ Обнаружения: 
DrWeb -> Trojan.Siggen21.12718
BitDefender -> Gen:Variant.Zusy.495910
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
QuickHeal -> Ransom.Cylance.S30114602
TrendMicro -> Ransom.Win32.BTCAZADI.THIAHBC



Вариант от 22 сентября, активный в сентябре-октябре 2023: 
Расширение: .ELCTRONIC
Полное расширение: .EMAIL=[electronicrans@gmail.com]ID=[142B4BFB2B4FD9BD].ELCTRONIC
Записка: README ELECTRONIC.txt
Email: electronicrans@gmail.com, electronicrans@outlook.com
Telegram: @mgam161
IOC: VT, TG
➤ Обнаружения: 
DrWeb -> Trojan.Siggen21.32930
BitDefender -> Gen:Variant.Fugrafa.295066
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Malware.AI.3983766851
Microsoft -> Trojan:Win32/FileCoder.ARA!MTB
QuickHeal -> Ransom.Cylance.S30114602
TrendMicro -> Ransom.Win32.BTCAZADI.THIBHBC



Вариант от 8 декабря, активный в декабре 2023: 
Расширение: .ELECTRONIC
Полное расширение: .EMAIL=[electronicrans@gmail.com]ID=[26A19091FD46D6A5].ELECTRONIC
Записка: README ELECTRONIC.txt
Email: electronicrans@gmail.com, electronicrans@outlook.com



=== 2024 ===

*** Пропущенные варианты ***

Вариант от 6 ноября 2024: 
Самоназвание: Kasper Ransomware
Расширение: .kasper
Записка: README kasper.txt
Email: kasperskyrans@outlook.com, kasperskyrans@gmail.com
Telegram: @kasperrecovery
IOC: VT, IA
https://www.virustotal.com/gui/file/9256108aa898b9cfc4d177e8594c3881ebe1aab13091e879614a547ae9b00bb0/detection
MD5: e26b78957c1360ed4f023579eb01fa21 
SHA-1: 6ebaae04d60475980012f8442e9a29949ec7334c 
SHA-256: 9256108aa898b9cfc4d177e8594c3881ebe1aab13091e879614a547ae9b00bb0 
Vhash: 015056655d15556078z65hz3031z3fz 
Imphash: 5faa97909af8129b66dff3dd95bb8fb1
Обнаружения: 
DrWeb -> Trojan.Encoder.41226
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Microsoft -> Trojan:Win32/Filecoder.ARA!MTB

Вариант от 14 ноября 2024: 
Самоназвание: Biobio Ransomware, как новый вариант Kasper Ransomware
Расширение: .biobio
Полное расширение: .EMAIL=[biobiorans@gmail.com]ID=[CC3B1F89FAA517E4].biobio
Записка: biobio ransmoware.txt
Email: biobiorans@keemail.me, biobiorans@gmail.com
Telegram: @biobiorans
IOC: VT, IA
MD5: 4aed4c0e78d355e497f2cc509ff078b5 
SHA-1: 31a2ccfd5a679d2badc5fb66f243d4887d9ca444 
SHA-256: ed4e298040946a3be24dcde8303216644c2d2b78444bb1c9bfc7d17c748aeaa5 
Vhash: 015056655d15556078z65hz3031z3fz 
Imphash: 5faa97909af8129b66dff3dd95bb8fb1
Обнаружения:
DrWeb -> Trojan.Encoder.41226
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Microsoft -> Trojan:Win32/Filecoder.ARA!MTB




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support, Topic of Support ***

Thanks: Sandor, rivitna Andrew Ivanov (article author) quietman7, zzirngzzvn, pcrisk to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 16 января 2023 г.

Proxima

Proxima Ransomware

Variants: Mikel

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы заплатить выкуп и получить программу расшифровки и подробную инструкцию по использованию и расшифровке файлов. Оригинальное название: Proxima Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: раннее родство выясняется >> 
Proxima >> BTC-azadi, BTC-azadi NG, Cylance, BlackShadowBlackRecover


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале-середине января 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Proxima


Записка с требованием выкупа называется: Proxima_Readme.txt

Proxima Ransomware note, записка

Содержание записки о выкупе:

[~] Proxima Ransomware
>>> What's happened?
ALL YOUR FILES ARE STOLEN AND ENCRYPTED.
To recovery your data and not to allow data leakage, it is possible only through purchase of a private key from us.
>>> What guarantees?
Before paying you can send us a small-sized file (a non-important file), and we will decrypt it for free as guarantee.
>> How will the decryption process proceed after payment?
After payment, we will send you our decryption program + detailed instructions for use. With this program, you will be able to decrypt all your files.
If some files has encrypted but not renamed; these files will be restored after the decryption procedure is completed.
>>> CONTACT US:
Please write an email to: mikel@onionmail.com and mikel@cyberfear.com
Write this ID in the title of your message: XXXXXXXXXXXXXXXX
>>> ATTENTION!
Do not rename or modify encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price(they add their fee to our).
We use hybrid encryption, no one can restore your files except us.
remember to hurry up, as your email address may not be available for very long.
All your stolen data will be loaded into cybercriminal forums/blogs if you do not pay ransom.

Перевод записки на русский язык:
[~] Proxima Ransomware
>>> Что случилось?
ВСЕ ВАШИ ФАЙЛЫ Украдены и зашифрованы.
Восстановить ваши данные и не допустить утечки данных можно только купив у нас закрытый ключ.
>>> Какие гарантии?
Перед оплатой вы можете отправить нам файл небольшого размера (неважный файл), и мы бесплатно его расшифруем в качестве гарантии.
>> Каким будет процесс расшифровки после оплаты?
После оплаты мы вышлем вам нашу программу расшифровки + подробную инструкцию по использованию. С помощью этой программы вы сможете расшифровать все свои файлы.
Если некоторые файлы зашифрованы, но не переименованы; эти файлы будут восстановлены после завершения процедуры расшифровки.
>>> НАПИШИТЕ НАМ:
Напишите письмо на адрес: mikel@onionmail.com и mikel@cyberfear.com
Напишите этот ID в заголовке вашего сообщения: XXXXXXXXXXXXXXXX
>>> ВНИМАНИЕ!
Не переименовывайте и не изменяйте зашифрованные файлы.
Не пытайтесь расшифровывать с помощью сторонних программ, это может привести к необратимой потере данных.
Расшифровка ваших файлов с помощью третьих лиц может увеличить цену (они добавляют свою комиссию к нашей).
Мы используем гибридное шифрование, никто кроме нас не сможет восстановить ваши файлы.
не забудьте поторопиться, так как ваш email-адрес может быть недоступен очень долго.
Все ваши украденные данные будут загружены на форумы/блоги киберпреступников, если вы не заплатите выкуп.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Использует утилиту ngrok.exe, которая позволяет открыть доступ к внутренним ресурсам компьютера, на котором она запущена, из внешней сети, путем создания публичного адреса, все запросы на который будут переброшены на локальный адрес и заданный порт. 



Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Proxima_Readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mikel@onionmail.com, mikel@cyberfear.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023
BTC-azadi Ransomware - январь 2023
Cylance Ransomware - март 2023
BTC-azadi NextGen Ransomware - с марта 2023
BlackShadow Ransomware - май-июль 2023
BlackBerserk (BlackRecover) - с июля 2023



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 30 января или раньше: 
Расширение: .Mikel
Записка: Mikel_Help.txt
Email: Mikel@cyberfear.com, Mikel@onionmail.com
➤ Содержание записки: 
Your data have been Stolen, encrypted and inaccessible 
Your critical information has been downloaded, including databases, financial/developmental, accounting, and strategic documents.
The file structure has been changed to unreadable format, but you can recover them all with our tool.
If payment is not made and if we don t hear anything from you for a while, your data will be leaked on TOR darknet and your competitors can have access to your data, we will also attack your company over and over again in the future.
If you want to decrypt all of your data and return your systems to operative state, you require a decryption tool, we are the only ones who own it, and also, if you want your stolen data will be wiped out from our website, you better contact us at the following email addresses:
You can write us to our mailbox:
Mikel@cyberfear.com
Mikel@onionmail.com
write this in the email title:
ID:   A2166DFC847*****
* Make sure to include the ID in the email subject line, otherwise we wont answer your emails.
++++ What assurance is provided that we will not deceive you?
It's just a business and we don't pursue any political objectives. We absolutely do not care about you and your data, except getting benefits,  money and our reputation are the only things that matters to us.  if we do not do our work and liabilities, nobody will cooperate with us which is not in our interests.
Prior to the payment, and to check the ability to return files, you can send us 3 files (under 5MB) of any format that do not include sensitive information. We will decrypt them and send them back to you. That is our guarantee.
++ Important
If you want the decryption procedure to be effective, DO NOT delete or modify the encrypted files, it will cause issues with the decryption process.
++ Beware 
Any organization or individual who asserts they can decrypt your data without paying us should be avoided. They just deceive you and charge you much more money as a consequence; they all contact us and buy the decryption tool from us.
If you do not cooperate with us, it does not matter to us, But you  have to accept its consequences: 
*Your data will be leaked for free on TOR darknet and your competitors can have access to your data.
*We know exactly what vulnerabilities exist in your network and will inform google about them.
*We are experts in Negative SEO. We will do irreparable harm to your website. 
The money we asked for is nothing compare to all of these damages to your business, so we recommend you to pay the price and secure your business, simple.
If you pay, we will give you tips for your security, so it can t be hacked in the future.
besides, you will lose your time and data cause we are the only ones that have the private key. In practice, time is much more valuable than money.



Вариант от 12 февраля 2023 или раньше: 
Расширение: .Proxima
Записка: PROXIMA_README.txt
Email: jason@onionmail.org, jason@cyberfear.com






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support Topic of Support

Thanks: Sandor, quietman7 Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *