FSHealth Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: svchost.exe. Вероятно, содержит инфостилер, похищает информацию из браузеров.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37434
BitDefender -> Gen:Heur.MSIL.Krypt.!cdmip!.2
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan-PSW.MSIL.Stealer.gen
Malwarebytes -> Malware.Heuristic.1003
Microsoft -> Backdoor:Win32/Bladabindi!ml
Rising -> Malware.Obfus/MSIL@AI.97 (RDM.MSIL***
Tencent -> Msil.Trojan-QQPass.QQRob.Ftgl
TrendMicro -> TROJ_GEN.R002H07CR23
---
© Генеалогия: более ранние варианты >> FSHealth
Активность этого крипто-вымогателя была в конце марта - начале апреля 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .locked
Фактически используется составное расширение по шаблону: .[<ID{24}>][fshealth@outlookpro.net].locked
Пример такого расширения: .[8C30ED5CBFEBFBFF000506E5][fshealth@outlookpro.net].locked
Пример такого расширения: .[8C30ED5CBFEBFBFF000506E5][fshealth@outlookpro.net].locked
Записка с требованием выкупа называется: How_to_decrypt_my_files.html
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
ALL YOUR IMPORTANT FILES ARE STOLEN AND ENCRYPTED
If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
What guarantee is there that we won't cheat you?
Send us ONE small encrypted files to emails listed below.
We will decrypt these files and send them back to you as a proof.
fshealth@outlookpro.net | fshealth@jitjat.org
In subject line please write your personal ID 8C30ED5CBFEBFBFF000506E5
Warning! Do not delete or modify encrypted files, it will lead to problems with decryption of files!
Перевод записки на русский язык:
ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ УКРАДЕНЫ И ЗАШИФРОВАНЫ
Если вы не заплатите выкуп, данные будут опубликованы на наших сайтах даркнета TOR. Имейте в виду, что как только ваши данные появятся на нашем сайте утечки, их в любую секунду могут купить ваши конкуренты, поэтому не медлите. Чем раньше вы заплатите выкуп, тем скорее ваша компания будет в безопасности.
Какие гарантии, что мы вас не обманем?
Отправьте нам ОДИН небольшой зашифрованный файл на email-адреса, указанные ниже.
Мы расшифруем эти файлы и отправим их вам как доказательство.
fshealth@outlookpro.net | fshealth@jitjat.org
В теме письма укажите свой личный ID 8C30ED5CBFEBFBFF000506E5
Предупреждение! Не удаляйте и не изменяйте зашифрованные файлы, это приведет к проблемам с расшифровкой файлов!
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Деструктивная активность:
Добавляется в Автозагрузку, создавая ключ в реестре.
Может удалять теневые копии на дисках.
Может заснуть, чтобы помешать динамическому анализу.
Может попытаться обнаружить виртуальную машину, чтобы помешать анализу.
Может попытаться завершить процессы авнтивирусов.
Пытается собрать и украсть информацию из браузеров (история, пароли и т.д.).
Устанавливает расширение для Chrome.
Перезаписывает настройки Mozilla Firefox.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
How_to_decrypt_my_files.html - название файла с требованием выкупа;
svchost.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: fshealth@outlookpro.net, fshealth@jitjat.org
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: b488ff7fb5528a5e72433b02c1c7e117
SHA-1: 68a6c76955b90f03c4b188e5b042e485c9696770
SHA-256: 23b58cfbcfa0390c722955299dc5decf71784c64627f83b85be6ef870b93ea56
Vhash: 21505f765515161170992181040
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***
Thanks: Andrew Ivanov (article author) quietman7, tetonbob *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.