DcHelp Ransomware
DiskCryptorHelp Ransomware
MeshAgent Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные компьютеров и серверов с помощью утилиты DiskCryptor, а затем требует написать на email или перейти на сайт вымогателей, чтобы там выбрать свой случай, ознакомиться с информацией в разделе "Вопрос-Ответ", приобрести пароль и получить доступ к своим файлам. Сумма выкупа различается: от $600 до $14999. Требуется оплата в Bitcoin (BTC), Ethereum (ETH), Tether (USDT - erc20). Оригинальное название: DcHelp. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: предыдущие, использующие DiskCryptor >> DcHelp
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была с начала апреля 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: нет данных, т.к. шифрует диск, используя утилиту DiskCryptor или только повреждает таблицу разделов.
Записка с требованием выкупа выводится перед жертвой на чёрном экране после включения и перезагрузки компьютера. Перезагрузка осуществляется сразу после шифрования для завершающего этапа. Обычный сброс и перезагрузка бесполезны.
Записка с требованием выкупа выводится перед жертвой на чёрном экране после включения и перезагрузки компьютера. Перезагрузка осуществляется сразу после шифрования для завершающего этапа. Обычный сброс и перезагрузка бесполезны.
Enter pass
SERVER LOCKED
Contact by email: DCHELP@MAILFENCE.COM or purchase passwords at https://DCHELP.ORG
Enter pass: _
Перевод текста на русский язык:
Ввод пароля
СЕРВЕР БЛОКИРОВАН
Контакт с нами по email: DCHELP@MAILFENCE.COM или купите пароли на https://DCHELP.ORG
Ввод пароля: _
Скриншоты с сайта вымогателей:
Содержание раздела по конкретной жертве:
FOND***
Пароль для серверов: WIN-***
Оплата возможна только Bitcoin (BTC), Ethereum (ETH), Tether (USDT - erc20) .
После покупки автоматически вам на email высылается текстовый документ со всеми паролями для ваших ПК и Серверов.
По всем вопросам смотрите раздел Вопрос-Ответ или заполните форму Обратной связи
---
+ Восстановление информации возможно?
Да. После приобретения паролей вы сразу получите к ней доступ в полном объеме на 100%. При наличии одного из паролей и имени PC в описании вашего товара, вы расшифруете один из ваших PC и убедитесь в полном восстановлении всей информации и работоспособности бесплатно перед приобретением всех паролей.
+ Это цена за один пароль или за все?
Указанная цена соответствует стоимости ВСЕХ паролей для восстановления ВСЕХ зашифрованных компьютеров и серверов.
+ Можно приобрести только один (два три и т.д) пароли?
Нет, приобрести отдельно один пароль от указанного вами PC - нельзя. Пароли можно приобрести только все одним пакетом
+ Что делать если сервер (компьютер) не запрашивает ввод пароля?
Необходимо подключить ваш шифрованный жесткий к другому компьютеру с установленной программой Diskcryptor, используя приобретенный пароль расшифровать жесткий диск, после дешифровки вернуть его назад, загрузка сервера пройдет в нормальном режиме.
+ Как приобрести крипто валюту для оплаты паролей?
Вы можете воспользоваться сервисом bestchange.com либо одной из бирж (например binance.com)
+ Другие вопросы?
По всем возникшим вопросам заполните форму обратной связи в разделе Обратная связь, Вам обязательно ответят.
---
Судя по скриншоту с кодом сайта, сайт использует определение страны по IP-адресу и может отображать текст на других языках, когда количество пострадавших будет больше одного.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует легитимную утилиту DiskCryptor для осуществления шифрования. Для выполнения вредоносного файла нужен взлом службы удаленных рабочих столов и ручной запуск файла на установку, или он вызывается на выполнение скриптом, который попадает на ПК жертвы обманным путем. В таком случае вредоносу нужно передать аргумент, который используется как пароль для DiskCryptor.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
dcrypt11.exe, dc-exe-p.Bat, dc-exe-inst - вредоносные файлы;
<random>.exe - случайное название вредоносного файла
Advanced_Port_Scanner_2.5.3869.exe - файл, используемый злоумышленниками для сканирования открытых портов.
mesh.exe, Mesh-P.Bat - файлы от MeshAgent;
PsExec.exe - легитимная утилита, используемая злоумышленниками;
Hosts.txt - ещё один файл, используемый злоумышленниками.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: dchelp@mailfence.com
URL: hxxxx://dchelp.org - зарегистрирован в конце декабря 2022.
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
*
=== СПОСОБЫ ИСПРАВЛЕНИЯ === WAYS TO RECTIFY ===
1. Деинсталлируйте и откажитесь от использования MeshAgent.
2. Получить пароль дешифрования стандартными способами затруднительно, во всяком случая без физического доступа к устройству и диску.
Но можно воспользоваться способом из арсенала восстановления разделов и данных. Если у вас нет возможности приобрести Pro-версию, то воспользуйтесь бесплатной версией AOMEI Partition Assistant.
Там есть опция "Мастер восстановления раздела".
У меня нет желания писать подробное руководство, там всё довольно понятно. В конце операции не забудьте про кнопку "Применить" в левом верхнем углу программы.
Разумеется, восстанавливаемый диск должен быть подключен вторым в исправном компьютере.
Я сам не раз восстанавливал повреждённые разделы с помощью этой или аналогичной программы.
Если данные на диске, к которым у вас сейчас нет доступа, очень важны для вас, то можете начать с опции "Копирование раздела".
Обратите внимание, вам придётся сохранять копируемый раздел на диск, поэтому заранее позаботьтесь о том, чтобы на жёстком диске было достаточно места для копирования.
После этой операции вы сможете оперировать уже с этим скопированным разделом вместо физического. И снова не забудьте про кнопку "Применить" в левом верхнем углу программы.
Попробуйте оба способа, если не поможет, пишите, попробуем что-то ещё. Я описал тот способ, который не займёт у вас много времени и сил. Но будьте осторожны, не щёлкайте всё подряд.
P.S. Кстати, снова стала доступна Pro-версия по акции. Если обычная версия у вас уже установлена, то просто выберите в правом верхнем углу кнопку "три полоски" и введите код: AOPR-Z8PW8-8BJMW-S2650
P.P.S. Позже пострадавшие сообщили, что мой способ исправления уже не помогает, неудивительно, конечно же, шифрование уже изменили. Не теряйте надежды, пробуйте другой. Уплата выкупа стимулирует вымогателей на новые атаки.
=== ДОПОЛНЕНИЯ ===
С помощью гаджета "Форма для связи" Sergey сообщил 2 сентября 2023:
После шифровальщика Disk Cryptor помогают программы восстановления удалённых файлов, так как сам заголовок раздела получается зашифрованный, а все файлы на жестком диске остаются в исходном состоянии и значатся как
потерянные или удалённые. Лучшая по состоянию на 2023 год такая программа - Disk Drill - ищет быстро (HDD 500 GB - 3 часа), восстанавливает много, приятный и русскоязычный интерфейс). Также от этих же разработчиков (508 Software LLC) составлен профессиональный обзор 22 популярных программ аналогичного назначения:
https://www.pandorarecovery.com/windows/
С помощью гаджета "Форма для связи" Александр сообщил 5 сентября 2024:
Почти везде оставили установленный DiskCryptor — его можно использовать для полной дешифровки:
а) сначала расшифровываем все диски;
б) затем удаляем загрузчик DiskCryptor-а.
И расшифровка без снятия диска в случае с Windows 11 нереальна.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Предшественники, использующие похожие методы и средства:
HDDCryptor Ransomware
Bad Rabbit Ransomware
MBR-ONI Ransomware
MCrypt2018 Ransomware
Нет времени и желания разбираться в их родстве.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 21 апреля 2023:
Новая жертва на сайте вымогателей.
Информация от пострадавшей компании. Хакеры установили себе вход в сеть с помощью MeshAgent. Далее подобрали пароль на админа в домене и одновременно на разных машинах и серверах запустили шифрование с помощью программы DiskCryptor.
Обновление от 23 апреля 2023:
Две новые жертвы на сайте вымогателей.
Обновление от 25 апреля 2023:
Две новые жертвы на сайте вымогателей.
Обновление от 27 апреля 2023:
Две новые жертвы на сайте вымогателей.
Количество пострадавших растёт и все они платят выкуп, т.к. после этого их "квадратик" исчезает.
Это вымогательство продолжается.
Обновление от 18 июня 2023:
Новый URL: hxxxs://dcrestore.org/ зарегистрирован в 17 июня 2023.
На потом его прикрыли.
URL: hxxxx://dchelp.org - прежний адрес до сих пор активен.
=== 2024 ===
Август-сентябрь 2024:
URL: hxxxx://dchelp.org - прежний адрес до сих пор активен.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***
Thanks: Andrew Ivanov (article author) *** *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
