HsHarada Ransomware
Hsharada Ransomware
Aliases: HSharada, Rapture
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Ранний образец не обнаружен.
---
Обнаружения (на майский образец):
DrWeb -> Trojan.EncoderNET.98
BitDefender -> Trojan.GenericKD.67485708
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AXW
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Filecoder.MSIL
Microsoft -> Ransom:MSIL/Filecoder.AFI!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10beeb4d
TrendMicro -> Ransom.MSIL.RADAHAS.THFOEBC
---
© Генеалогия: ✂ Paradise >> HsHarada
Обнаружения (на майский образец):
DrWeb -> Trojan.EncoderNET.98
BitDefender -> Trojan.GenericKD.67485708
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AXW
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Filecoder.MSIL
Microsoft -> Ransom:MSIL/Filecoder.AFI!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10beeb4d
TrendMicro -> Ransom.MSIL.RADAHAS.THFOEBC
---
© Генеалогия: ✂ Paradise >> HsHarada
Сайт "ID Ransomware" HsHarada (Rapture) идентифицирует с 15 марта 2024.
Информация для идентификации
Активность этого крипто-вымогателя была в начале апреля 2023 и продолжилась в мае. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .<random>
Пример такого расширения: .m9SRob
Записка с требованием выкупа называется: m9SRob-README.txt
В его названии присутствует название расширения.
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует сценарий PowerShell для установки Cobalt Strike в целувую систему.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
m9SRob-README.txt - название файла с требованием выкупа;
Locker.exe - название вредоносного файла;
В его названии присутствует название расширения.
All your important files are processed!
YOUR SPECIAL KEY is F2nQOVOzOPeK853xvR3zo0PnSZd8cInPF9rWP9ydQTJzfMtJaZ
Any attempt to restore files using third-party software will be fatal to your files!
The ONLY POSIBLE WAY TO GET BACK YOUR DATA is buy private key from us.
Follow the instructions below to get your files back:
| 1. Send an email with YOUR SPECIAL KEY to our mailbox:
> hsharada@skiff.com
> r.heisler@keemail.me
| 2. Complete the payment in the method specified by us (usually Monero)
| 3. Send payment records to us and then download tool that can recover files in a short time
### Attention! ###
# Do not rename encrypted files.
# Do not try to recover using third party software, it may cause permanent data loss.
# Obtaining your files with the help of a third party may result in a higher price (they charge us a fee)
Перевод записки на русский язык:
Все ваши важные файлы обработаны!
ВАШ СПЕЦИАЛЬНЫЙ КЛЮЧ: F2nQOVOzOPeK853xvR3zo0PnSZd8cInPF9rWP9ydQTJzfMtJaZ
Любая попытка восстановить файлы с помощью стороннего ПО будет фатальной для ваших файлов!
ЕДИНСТВЕННЫЙ СПОСОБ ВЕРНУТЬ ВАШИ ДАННЫЕ — это купить у нас закрытый ключ.
Следуйте приведенным ниже инструкциям, чтобы вернуть файлы:
| 1. Отправьте email с ВАШИМ СПЕЦИАЛЬНЫМ КЛЮЧОМ на наш почтовый ящик:
> hsharada@skiff.com
> r.heisler@keemail.me
| 2. Завершите платеж указанным нами способом (обычно Monero)
| 3. Отправьте нам отчеты об оплате, а затем загрузите инструмент, который может восстановить файлы за короткое время.
### Внимание! ###
# Не переименовывать зашифрованные файлы.
# Не пытайтесь восстановить с помощью сторонних программ, это может привести к необратимой потере данных.
# Получение ваших файлов с помощью третьей стороны может привести к более высокой цене (они берут наш гонорар)
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует сценарий PowerShell для установки Cobalt Strike в целувую систему.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
m9SRob-README.txt - название файла с требованием выкупа;
Locker.exe - название вредоносного файла;
Locker.exe.log - лог вредоносного файла;
Unlocker.exe - оригинальный дешифровщик.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: hsharada@skiff.com, r.heisler@keemail.me
Monero: -
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: hsharada@skiff.com, r.heisler@keemail.me
Monero: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов (на майский образец):
Результаты анализов (на майский образец):
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: e82adbb0f31f7754c892078d50f95800
SHA-1: 1754e48d5611f75cc6443a4a29bee50b908c52b1
SHA-256: cc430155cdd668853c2335eb603c144cbba620b786db3697c56b81a07f71babe
Vhash: 24403655151140873317924a
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 30 мая 2023:
Расширение: .<random>
Записка: <random>-README.txt
Email: hsharada@skiff.com, r.heisler@keemail.me
Текст записки в начале немного отличается от первого варианта.
Файл: Locker.exe
DrWeb -> Trojan.EncoderNET.98
BitDefender -> Trojan.GenericKD.67485708
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AXW
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Filecoder.MSIL
Microsoft -> Ransom:MSIL/Filecoder.AFI!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10beeb4d
TrendMicro -> Ransom.MSIL.RADAHAS.THFOEBC
Вариант от 28 сентября 2023:
Расширение: .<random>
Записка (шаблон): <random>-README.txt
Записка (пример): PLiUxr-README.txt
Email: r.heisler@skiff.com, r.heisler@keemail.me
Вариант от 9 октября 2023:
Раcширение: .<random>
Файл: Elysium.exe, ElysiumO.exe
Обнаружения:
DrWeb -> Trojan.Encoder.38618
BitDefender -> Trojan.GenericKD.71621681
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Список других email вымогателей:
rainbowforever@skiff.com
rainbowforever@tutanota.com
ghostsbackup@skiff.com
summerkiller@tutanota.com
shadowghost@skiff.com
lastghost@skiff.com
Rsacrpthelp@skiff.com
2024
Вариант от 30 января 2024:
Файл: Locker.exe
Обнаружения:
DrWeb -> Trojan.EncoderNET.98
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AXW
Malwarebytes -> Ransom.Filecoder.MSIL
Microsoft -> Ransom:MSIL/Filecoder.AFI!MTB
TrendMicro -> Ransom_Filecoder.R03BC0DB624
Вариант от 10 февраля 2024 или раньше:
Раcширение: .<random>
Пример такого расширения: .1659c9d5e3c476
Записка (шаблон): <random>-README.txt
Записка (пример): 1659c9d5e3c476-README.txt
Email: Lockhelp1998@skiff.com, retryit1998@tutamail.com
=== ДЕШИФРОВЩИК = DECRYPTOR ===
Обладание дешифровщиком бесполезно без ключа дешифрования.
Образец файла Unclocker.exe:
IOC: VT
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support Added later: Write-up by TrendMicro (on April 28, 2023)
Thanks: Andrew Ivanov (article author) S!Ri, rivitna, quietman7 TrendMicro to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.