HsHarada

HsHarada Ransomware

Hsharada Ransomware

Aliases: HSharada, Rapture

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 (в режиме CFB) + RSA-2048, а затем требует выкуп в # Monero, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Locker.exe.

---

Ранний образец не обнаружен. 

---
Обнаружения (на майский образец):
DrWeb -> Trojan.EncoderNET.98
BitDefender -> Trojan.GenericKD.67485708
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AXW
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Filecoder.MSIL
Microsoft -> Ransom:MSIL/Filecoder.AFI!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10beeb4d
TrendMicro -> Ransom.MSIL.RADAHAS.THFOEBC
---

© Генеалогия: ✂ Paradise >> HsHarada

Сайт "ID Ransomware" HsHarada (Rapture) идентифицирует с 15 марта 2024. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале апреля 2023 и продолжилась в мае. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random>

Пример такого расширения: .m9SRob

Записка с требованием выкупа называется: m9SRob-README.txt

В его названии присутствует название расширения. 

Содержание записки о выкупе:

All your important files are processed!

YOUR SPECIAL KEY is F2nQOVOzOPeK853xvR3zo0PnSZd8cInPF9rWP9ydQTJzfMtJaZ

Any attempt to restore files using third-party software will be fatal to your files!

The ONLY POSIBLE WAY TO GET BACK YOUR DATA is buy private key from us.

Follow the instructions below to get your files back:

| 1. Send an email with YOUR SPECIAL KEY to our mailbox:

    >     hsharada@skiff.com

    >     r.heisler@keemail.me

| 2. Complete the payment in the method specified by us (usually Monero)

| 3. Send payment records to us and then download tool that can recover files in a short time

 ###  Attention! ###

 # Do not rename encrypted files.

 # Do not try to recover using third party software, it may cause permanent data loss.

 # Obtaining your files with the help of a third party may result in a higher price (they charge us a fee)

Перевод записки на русский язык:

Все ваши важные файлы обработаны!

ВАШ СПЕЦИАЛЬНЫЙ КЛЮЧ: F2nQOVOzOPeK853xvR3zo0PnSZd8cInPF9rWP9ydQTJzfMtJaZ

Любая попытка восстановить файлы с помощью стороннего ПО будет фатальной для ваших файлов!

ЕДИНСТВЕННЫЙ СПОСОБ ВЕРНУТЬ ВАШИ ДАННЫЕ — это купить у нас закрытый ключ.

Следуйте приведенным ниже инструкциям, чтобы вернуть файлы:

| 1. Отправьте email с ВАШИМ СПЕЦИАЛЬНЫМ КЛЮЧОМ на наш почтовый ящик:

     > hsharada@skiff.com

     > r.heisler@keemail.me

| 2. Завершите платеж указанным нами способом (обычно Monero)

| 3. Отправьте нам отчеты об оплате, а затем загрузите инструмент, который может восстановить файлы за короткое время.

  ###  Внимание! ###

  # Не переименовывать зашифрованные файлы.

  # Не пытайтесь восстановить с помощью сторонних программ, это может привести к необратимой потере данных.

  # Получение ваших файлов с помощью третьей стороны может привести к более высокой цене (они берут наш гонорар)

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Использует сценарий PowerShell для установки Cobalt Strike в целувую систему. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
m9SRob-README.txt - название файла с требованием выкупа;
Locker.exe - название вредоносного файла;

Locker.exe.log - лог вредоносного файла;

Unlocker.exe - оригинальный дешифровщик. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hsharada@skiff.com, r.heisler@keemail.me
Monero: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов (на майский образец): 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e82adbb0f31f7754c892078d50f95800 

SHA-1: 1754e48d5611f75cc6443a4a29bee50b908c52b1 

SHA-256: cc430155cdd668853c2335eb603c144cbba620b786db3697c56b81a07f71babe 

Vhash: 24403655151140873317924a 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 30 мая 2023:

Сообщение >>

Расширение: .<random>

Записка: <random>-README.txt

Email: hsharada@skiff.com, r.heisler@keemail.me

Текст записки в начале немного отличается от первого варианта. 

Файл: Locker.exe

IOC: VT + IA
➤ Обнаружения:

DrWeb -> Trojan.EncoderNET.98

BitDefender -> Trojan.GenericKD.67485708

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AXW

Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen

Malwarebytes -> Ransom.Filecoder.MSIL

Microsoft -> Ransom:MSIL/Filecoder.AFI!MTB

Rising -> Ransom.Agent!8.6B7 (CLOUD)

Tencent -> Malware.Win32.Gencirc.10beeb4d

TrendMicro -> Ransom.MSIL.RADAHAS.THFOEBC

Вариант от 28 сентября 2023:

Сообщение на форуме >>

Расширение: .<random>

Записка (шаблон): <random>-README.txt

Записка (пример): PLiUxr-README.txt

Email: r.heisler@skiff.com, r.heisler@keemail.me

Вариант от 9 октября 2023:

Раcширение: .<random>

Файл: Elysium.exe, ElysiumO.exe

IOC: VT, IA

Обнаружения: 

DrWeb -> Trojan.Encoder.38618

BitDefender -> Trojan.GenericKD.71621681

Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen

Обновление ноября 2023:

Сообщение на форуме >>

Список других email вымогателей: 

rainbowforever@skiff.com

rainbowforever@tutanota.com

ghostsbackup@skiff.com

summerkiller@tutanota.com

shadowghost@skiff.com

lastghost@skiff.com

Rsacrpthelp@skiff.com

Пополняемый список >>

2024

Вариант от 30 января 2024:

Файл: Locker.exe

IOC: VT, IA, TG

Обнаружения:

DrWeb -> Trojan.EncoderNET.98

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AXW

Malwarebytes -> Ransom.Filecoder.MSIL

Microsoft -> Ransom:MSIL/Filecoder.AFI!MTB

TrendMicro -> Ransom_Filecoder.R03BC0DB624

Вариант от 10 февраля 2024 или раньше: 

Сообщение на форуме >>

Сообщение на форуме >>

Раcширение: .<random>

Пример такого расширения: .1659c9d5e3c476

Записка (шаблон): <random>-README.txt

Записка (пример): 1659c9d5e3c476-README.txt

Email: Lockhelp1998@skiff.com, retryit1998@tutamail.com

---

=== ДЕШИФРОВЩИК = DECRYPTOR ===

Обладание дешифровщиком бесполезно без ключа дешифрования. 

Образец файла Unclocker.exe: 

IOC: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 Added later: Write-up by TrendMicro (on April 28, 2023)

 Thanks: 
 Andrew Ivanov (article author)
 S!Ri, rivitna, quietman7
 TrendMicro
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Cooper

Cooper Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы узнать, как купить программу для расшифровки файлов и расшифровать свои файлы. Оригинальное название: Cooper Ransomware V2. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Cooper v.1 >> Cooper v.2 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце марта 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Cooper

Записка с требованием выкупа называется: Cooper_Recover.txt

Содержание записки о выкупе:

Cooper Ransomware V2

Your ID: 999106C0F4B***

We are the only ones that own the decryption software. After you run it on your system, all of your data will be recovered and everything will be back to normal as if nothing had happened. 

As a result, we advise you to contact us at the following Email addresses and buy the decryption software RIGHT NOW:

Cooper@onionmail.org

Cooper@cyberfear.com

** You Must Include Your ID in the Subject line of Your Email, Otherwise We WILL NOT ANSWER....

Перевод записки на русский язык:

Cooper Ransomware V2

Ваш ID: 999106C0F4B***

Мы единственные, у кого есть программа для расшифровки. После того, как вы запустите его в своей системе, все ваши данные будут восстановлены, и все вернется на круги своя, как будто ничего не произошло.

Поэтому мы советуем вам связаться с нами по следующим email-адресам и купить программe для расшифровки ПРЯМО СЕЙЧАС:

Cooper@onionmail.org

Cooper@cyberfear.com

** Вы должны указать свой ID в теме письма, иначе мы НЕ ОТВЕТИМ....

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cooper_Recover.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Cooper@onionmail.org, Cooper@cyberfear.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FSHealth

FSHealth Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: svchost.exe. Вероятно, содержит инфостилер, похищает информацию из браузеров. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37434
BitDefender -> Gen:Heur.MSIL.Krypt.!cdmip!.2
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan-PSW.MSIL.Stealer.gen
Malwarebytes -> Malware.Heuristic.1003
Microsoft -> Backdoor:Win32/Bladabindi!ml
Rising -> Malware.Obfus/MSIL@AI.97 (RDM.MSIL***
Tencent -> Msil.Trojan-QQPass.QQRob.Ftgl
TrendMicro -> TROJ_GEN.R002H07CR23
---

© Генеалогия: более ранние варианты >> FSHealth

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце марта - начале апреля  2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .locked

Фактически используется составное расширение по шаблону: .[<ID{24}>][fshealth@outlookpro.net].locked

Пример такого расширения: .[8C30ED5CBFEBFBFF000506E5][fshealth@outlookpro.net].locked

Записка с требованием выкупа называется: How_to_decrypt_my_files.html

Содержание записки о выкупе:

ALL YOUR IMPORTANT FILES ARE STOLEN AND ENCRYPTED

If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

What guarantee is there that we won't cheat you?

Send us ONE small encrypted files to emails listed below.

We will decrypt these files and send them back to you as a proof.

fshealth@outlookpro.net | fshealth@jitjat.org

In subject line please write your personal ID 8C30ED5CBFEBFBFF000506E5

Warning! Do not delete or modify encrypted files, it will lead to problems with decryption of files!

Перевод записки на русский язык:

ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ УКРАДЕНЫ И ЗАШИФРОВАНЫ

Если вы не заплатите выкуп, данные будут опубликованы на наших сайтах даркнета TOR. Имейте в виду, что как только ваши данные появятся на нашем сайте утечки, их в любую секунду могут купить ваши конкуренты, поэтому не медлите. Чем раньше вы заплатите выкуп, тем скорее ваша компания будет в безопасности.

Какие гарантии, что мы вас не обманем?

Отправьте нам ОДИН небольшой зашифрованный файл на email-адреса, указанные ниже.

Мы расшифруем эти файлы и отправим их вам как доказательство.

fshealth@outlookpro.net | fshealth@jitjat.org

В теме письма укажите свой личный ID 8C30ED5CBFEBFBFF000506E5

Предупреждение! Не удаляйте и не изменяйте зашифрованные файлы, это приведет к проблемам с расшифровкой файлов!

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Деструктивная активность: 

Добавляется в Автозагрузку, создавая ключ в реестре. 

Может удалять теневые копии на дисках. 

Может заснуть, чтобы помешать динамическому анализу.

Может попытаться обнаружить виртуальную машину, чтобы помешать анализу.

Может попытаться завершить процессы авнтивирусов.  

Пытается собрать и украсть информацию из браузеров (история, пароли и т.д.).

Устанавливает расширение для Chrome.

Перезаписывает настройки Mozilla Firefox.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_to_decrypt_my_files.html - название файла с требованием выкупа; 

svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fshealth@outlookpro.net, fshealth@jitjat.org
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b488ff7fb5528a5e72433b02c1c7e117

SHA-1: 68a6c76955b90f03c4b188e5b042e485c9696770

SHA-256: 23b58cfbcfa0390c722955299dc5decf71784c64627f83b85be6ef870b93ea56

Vhash: 21505f765515161170992181040

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Andrew Ivanov (article author)
 quietman7, tetonbob
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Money-Encryptor

Money Message Ransomware

MoneyMessage Ransomware

Money-Encryptor Ransomware

Xxyyzzr Ransomware

(шифровальщик-вымогатель, пугатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов (возможно: ChaCha20, ECDH), а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Money Message. На файле написано: encryptor.exe. Написан на C++, имеет встроенный файл конфигурации JSON, определяющий способ шифрования устройства.
---
Обнаружения:
DrWeb -> Trojan.DelShadows.23
BitDefender -> Gen:Variant.Lazy.319354
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONS, A Variant Of Win32/Filecoder.MoneyMessage
Kaspersky -> HEUR:Trojan.Win32.DelShad.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Genasom
Rising -> Trojan.Generic@AI.91 (RDML:pWet***
Tencent -> Win32.Trojan.Filecoder.Hmnw
TrendMicro -> TROJ_GEN.R002H0CCU23
---

DrWeb -> Trojan.MulDrop21.52024

BitDefender -> Gen:Variant.Lazy.319354

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONS

Kaspersky -> HEUR:Trojan.Win32.DelShad.gen

Microsoft -> Trojan:Win32/Tiggre

Malwarebytes -> Ransom.FileCryptor

Rising -> Trojan.Generic@AI.91 (RDML:k9HTpfO

Tencent -> Win32.Trojan.Filecoder.Osmw

TrendMicro -> Ransom.Win32.MONEYMESS.THCCOBC

© Генеалогия: родство выясняется >> Money-Encryptor (Money message)

Сайт "ID Ransomware" это идентифицирует как MoneyMessage (с 2 апреля 2023). 

Информация для идентификации

Активность этого крипто-вымогателя была в середине-конце марта 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам в процессе шифрования добавляется временное расширение: xxyyzzr

Причем, такое расширение (без точки) добавляется к файлам, имеющим своё расширение. При этом файлы без расширений, например, 'Local State' получают расширение .xxyyzzr (с точкой). Это можно посмотреть по ссылке. 

По окончании шифрования временное расширение удаляется, чтобы зашифрованные файлы выглядели как обычные незашифрованные файлы. 

Записка с требованием выкупа называется: money_message.log

Содержание записки о выкупе:

Your files was encrypted by "Money message" profitable organization  and can't be accessed anymore.

If you pay ransom, you will get a decryptor to decrypt them. Don't try to decrypt files yourself - in that case they will be damaged and unrecoverable.

For further negotiations open this client bw7etcwm74fzltodeo7otuw2msnyxl4a5fa7uhn6fispj4j3qd.onion/chat.php?chatId=099048cdcba611edb917a0369feef504

using tor browser https://www.torproject.org/download/

In case you refuse to pay, we will post the files we stole from your internal network, in our blog:

blogvl7tjyjvsfthobttze52w36wwiz34hrfcmorgvdzb6hikucb7aqd.onion

Encrypted files can't be decrypted without our decryption software.

Перевод записки на русский язык:

Ваши файлы зашифрованы прибыльной организацией "Money message" и больше недоступны.

Если вы заплатите выкуп, вы получите дешифратор для их расшифровки. Не пытайтесь расшифровывать файлы сами - в этом случае они будут повреждены и не подлежат восстановлению.

Для дальнейших переговоров откройте этот клиент bw7etcwm74fzltodeo7otuw2msnyxl4a5fa7uhn6fispj4j3qd.onion/chat.php?chatId=099048cdcba611edb917a0369feef504

через тор браузер https://www.torproject.org/download/

Если вы откажетесь платить, мы разместим украденные файлы из вашей внутренней сети в нашем блоге:

blogvl7tjyjvsfthobttze52w36wwiz34hrfcmorgvdzb6hikucb7aqd.onion

Зашифрованные файлы невозможно расшифровать без нашей программы для расшифровки.

Содержание записки закодировано в коде программы с помощью Base64:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Перед шифрование вырубает следующие процессы:

sql.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefox.exe, tbirdconfig.exe, mdesktopqos.exe, ocomm.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, vmms.exe, vmwp.exe

Отключает следующие службы Windows:

backup, memtas, mepocs, sophos, sql, svc$, veeam, vmms, vss

Пропускает файлы: 

autorun.inf

boot.ini, bootfont.bin, bootsect.bak

desktop.ini

iconcache.db

ntldr

ntuser.ini, ntuser.dat, ntuser.dat.log

thumbs.db

Пропускает директории:

C:\$windows.~ws, C:\$windows.~bt

C:\windows, C:\windows.old

C:\system volume information

C:\boot

C:\msocache

C:\perflogs

C:\programdata, C:\program files (x86), C:\program files

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
money_message.log - название файла с требованием выкупа;
encryptor.exe - название вредоносного файла; 

decryptor.exe - название файла дешифровщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\encryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 12345-12345-12235-12354

Используется мьютекс, чтобы не шифровать файлы повторно. Вторая запущенная копия завершает работу. 

См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: blogvl7tjyjvsfthobttze52w36wwiz34hrfcmorgvdzb6hikucb7aqd.onion

Tor-URL: p6kxp556kkcbjdjsg24g3edmvr7v7ujecuychw4ibvqhl6wuomnrgbqd.onion

 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 400fa5d02c1ac704cd290d959b725e67

SHA-1: 456e5cb1739cb5f29020d1a692289a5af07ce90d

SHA-256: dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304c8de384dac

Vhash: 075056655d55556158z797z4035z1lz

Imphash: 1fce1172b1846e03a9af5ff84d37390e

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 163e651162f292028ca9a8d7f1ed7340

SHA-1: a85ff9091f298ea2d6823a7b0053daa08b237423

SHA-256: bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b

Vhash: 075056655d55556138z777z4035z1lz

Imphash: b4d5733390854900e9a765684837c828

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5-6 апреля 2023:

Статья на сайте BleepingComputer >>

Группа вымогателей "Money Message" утверждает, что украла исходный код из сети компании MSI (тайваньский производитель комплектующих для ПК).

Money Message угрожает опубликовать все украденные документы примерно через пять дней, если MSI не выполнит требования о выплате выкупа.

Вариант от 19 апреля 2023:

Сообщение >>

Записка: money_message.log

IOC: VT: MD5: 6dfe49b0f0b9dd4d488e10fc864a8456

Инцидент от 25 декабря 2023 года:

Подверглась атаке вымогателей Anna Jaques Hospital, некоммерческая муниципальная больница в штате Массачусетс (США). 

Группа хакеров-вымогателей "Money Message" начала публично вымогать деньги у больницы, угрожая раскрыть украденную конфиденциальную информацию о пациентах, если их требования не будут выполнены. Администрация больницы не вступила в контакт с преступниками, и те обнародовали все украденные данные 26 января 2024.

Статья об этом на сайте BC >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 Added later: Write-up

 Thanks: 
 Andrew Ivanov (article author)
 quietman7, RAKESH KRISHNAN
 Michael Gillespie
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.