Если вы не видите здесь изображений, то используйте VPN.

среда, 2 августа 2023 г.

Trash Panda

Trash Panda Ransomware

Trash Panda Cover-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Trash Panda Ransomware

Этот крипто-вымогатель от имени мнимой "Team Trash Panda" (Команда "Мусорная панда") шифрует или делает вид, что шифрует данные пользователей, а затем требует "освободить его народ", якобы взамен они вернут файлы, но тут же заявляют, что файлы "trashed" (выброшены в мусор). Оригинальное название программы-вымогателя: Trash Panda. Используется язык программирования Python. 
---
Не стоит обращать внимания на мнимые "патриотические" заявления "юного дарования", который не может отличить панду от енота. Причем дважды: на картинке, заменяющей обои Рабочего стола и в записке о мнимом выкупе. 


Учи биологию, двоечник!

---
Обнаружения:
DrWeb -> Python.Encoder.88
BitDefender -> ***
ESET-NOD32 -> Python/Filecoder.WG
Kaspersky -> Trojan-Ransom.Win32.Cryrar.hzf
Malwarebytes -> Ransom.Filecoder
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> ***
Tencent -> Win32.Trojan-Ransom.Cryrar.Ncnw
TrendMicro -> Ransom.Win32.TRASHPANDA.THHAFBC
---

© Генеалогия: более ранний вариант >> 
Trash Panda


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была замечена в начале августа 2023 г., но мы видели более ранний вариант без названия, который также передан в сервисы анализа вредоносных программ. 
Trash Panda, судя по тексту, ориентирован на англоязычных пользователей, поэтому может распространяться по всему миру. 
Системы анализа вредоносных программ указывают на присутствие модулей, которые могут воровать данные (Spyware, Stealer). Вероятно это и является главной задачей Trash Panda, а программа-вымогатель служит прикрытием и самолюбованием для "юного дарования". 

К зашифрованным файлам добавляется расширение: .monochromebear



При всем этом, юный вымогатель придумал расширение "монохромный медведь" для зашифрованных файлов, которое подходит к панде , как чёрно-белому медведю, но на картинках всё равно изобразил енота. 

Записка с требованием выкупа называется: 0639ae7ecaa9de9e311da9c399a2da79-readme.html




И этот чудо-зверь больше похож на енота, чем на панду. 


Содержание записки о выкупе:
Team Trash Panda was Here
All your files have been trashed by our
7r45H P4ND4 Asomeware
Let's make a D341. You free our people. We free your data.
Do not try to recover any file. All files were trashed using a very advanced encryption standard established by U.S. National Institute of Standards and Technology (NIST). You can check the following link to learn how your files were trashed. https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
We don't care your data. We don't care money. We want our family to return back to us and YOU GET OUT OFF OUR MOTHERLAND.
Oh, BTW, you have limted time to make decision. We will delete the master key after the countdown clock expires. Hurry ~ Hurry ~
***
YOUR KEY HAS BEEN DELETED
You can contact us at cA7PfY5EqWNy***
If you want your files back, put the following key in the input form. We will contact you later
3og56oHqcYid***MiuUR0=

Перевод записки на русский язык:
Команда Trash Panda была здесь
Все ваши файлы были уничтожены нашим
7r45H P4ND4 Asomeware
Давайте сделаем D341. Вы освобождаете наш народ. Мы освобождаем ваши данные.
Не пытайтесь восстановить какой-либо файл. Все файлы были уничтожены с использованием очень продвинутого стандарта шифрования, установленного Национальным институтом стандартов и технологий США (NIST). Вы можете проверить следующую ссылку, чтобы узнать, как ваши файлы были удалены. https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Нам не важны ваши данные. Нам плевать на деньги. Мы хотим, чтобы наша семья вернулась к нам, а ВЫ УШЛИ С НАШЕЙ РОДИНЫ.
О, кстати, у вас ограничено время на принятие решения. Мы удалим главный ключ после истечения времени обратного отсчета. Спешите ~ Спешите ~
***
ВАШ КЛЮЧ УДАЛЕН
Вы можете написать нам на ca7PfY5EqWNy***
Если вы хотите вернуть свои файлы, введите следующий ключ в форму ввода. Мы напишем вам позже
3og56oHqcYid***MiuUR0=


Еще одна записка. но без требования выкупа написана на картинке, заменяющей обои Рабочего стола: 






Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых расширений: 
.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthe, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .key, .ldf, .lnk, .lock, .mepack, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf .idx, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx

Файлы, связанные с этим Ransomware:
0639ae7ecaa9de9e311da9c399a2da79-readme.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\0639ae7ecaa9de9e311da9c399a2da79-readme.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: a0fea954561663f60059420e6c78fa5c
SHA-1: d5d37ae269008e9bfddc171c3b05bd3d43a5cd4d
SHA-256: ce5cf3b964e636d546bf2c52423296bda06b7fe47e6f8a757f165a3be93c88db
Vhash: 066056656d15657048z5d!z
Imphash: 22604f514dda14fc9e9e932cbc54e1b0


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант от 19 апреля 2022:
Возможно, что этот образец тоже связан с "разработкой" Trash Panda.
Файл: pond.exe
IOC: VT, IA
MD5: 492126a6d718eeb3c70310a51bc1b840
SHA-1: ab0dcbdb255e71b13803ae662f244e221d8b960f
SHA-256: 40fcbb47fa036b775210b8ec3db99654fbe0b9a145408c88ed73ef0b84ff4310
Vhash: 066056656d15756048z5d!z
Imphash: 8b72d7f075b0a8f57a432556bd1a4873




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: Fortinet Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 24 июля 2023 г.

BlackBerserk, BlackRecover

BlackBerserk Ransomware

BlackRecover Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


BlackBerserk Ransomware

Этот крипто-вымогатель шифрует данные серверов и компаний с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Msmpeges.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37755
BitDefender -> Gen:Variant.Doina.60878
ESET-NOD32 -> Win32/Filecoder.OOO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.99 (RDML:uHS3FewE7V+PAmoD60V4zA)
Tencent -> Malware.Win32.Gencirc.13ead5b2
TrendMicro -> Ransom.Win32.CELANCYC.YXDG1Z
---

© Генеалогия: 
раннее родство выясняется >> Proxima >> ✂ BTC-azadi + другой код > BlackShadow, BlackBerserk (BlackRecover) 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине и второй половине июля 2023 г., возможно и раньше. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Много пострадавших обратились за помощью на русскоязычных форумах. Есть данные, что первоначально кто-то с ником "ravelt" настраивал сервера по удаленке, а потом через него пошел взлом.

К зашифрованным файлам добавляется расширение: .Black

Записка с требованием выкупа называется: Black_Recover.txt

BlackBerserk Ransomware, note, записка о выкупе
*
Содержание записки о выкупе:

Your ID : ADEDBF77D41*****
# In subject line please write your personal ID
Contact us:
Black.Berserk@onionmail.org
Black.Berserk@skiff.com
ATTENTION!
All files have been stolen and encrypted by us and now have Black suffix.
# What about guarantees?
To prove that we can decrypt your files, send us two unimportant encrypted files.(up to 1 MB) and we will decrypt them for free.
+Do not delete or modify encrypted files.
+Decryption of your files with the help of third parties may cause increased price(they add their fee to our).

Перевод записки на русский язык:
Ваш ID: ADEDBF77D41*****
# В теме письма укажите свой личный ID
Связь с нами:
Black.Berserk@onionmail.org
Black.Berserk@skiff.com
ВНИМАНИЕ!
Все файлы украдены и зашифрованы нами и теперь имеют суффикс Black.
# Какие гарантии?
Чтобы доказать, что мы можем расшифровать ваши файлы, пришлите нам два неважных зашифрованных файла (до 1 МБ), и мы расшифруем их бесплатно.
+ Не удаляйте и не изменяйте зашифрованные файлы.
+Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавят свою цену к нашей).


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Некоторые деструктивные функции:
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 
/c vssadmin.exe delete shadows /all /quiet&&wbadmin delete catalog -quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

Использует PowerShell для запуска вредоноса и отключения защитных функций системы. Завершает работу и отключает запуск на старте системы некоторых служб. Очищает все системные журналы, чтобы скрыть порядок своих действий. 
Запрограммирован на очистку всех "корзин" ($RECYCLE.BIN) на всех дисках, даже тех, что отсутствуют:  
P:\$RECYCLE.BIN,Q:\$RECYCLE.BIN,R:\$RECYCLE.BIN,S:\$RECYCLE.BIN,T:\$RECYCLE.BIN,U:\$RECYCLE.BIN,V:\$RECYCLE.BIN,W:\$RECYCLE.BIN,X:\$RECYCLE.BIN,F:\$RECYCLE.BIN,G:\$RECYCLE.BIN,K:\$RECYCLE.BIN,L:\$RECYCLE.BIN,M:\$RECYCLE.BIN,N:\$RECYCLE.BIN,O:\$RECYCLE.BIN,Y:\$RECYCLE.BIN,Z:\$RECYCLE.BIN,A:\$RECYCLE.BIN,B:\$RECYCLE.BIN,C:\$RECYCLE.BIN,D:\$RECYCLE.BIN,E:\$RECYCLE.BIN,H:\$RECYCLE.BIN,I:\$RECYCLE.BIN,J:\$RECYCLE.BIN
P:\Recycler,Q:\Recycler,R:\Recycler,S:\Recycler,T:\Recycler,U:\Recycler,V:\Recycler,W:\Recycler,X:\Recycler,F:\Recycler,G:\Recycler,K:\Recycler,L:\Recycler,M:\Recycler,N:\Recycler,O:\Recycler,Y:\Recycler,Z:\Recycler,A:\Recycler,B:\Recycler,C:\Recycler,D:\Recycler,E:\Recycler,H:\Recycler,I:\Recycler,J:\Recycler

Использует легитимные программы для собственных целей. 
Использует различные системные функции для своей выгоды. 
Перезагружает систему для завершения атаки и шифрования. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Black_Recover.txt - название файла с требованием выкупа;
Msmpeges.exe - название вредоносного файла; 
Diag.exe - название дополнительного вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Pictures\Msmpeges.exe
C:\Windows\SysWOW64\schtasks.exe
C:\Users\Admin\AppData\Local\Temp\Msmpeges.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\Users\Admin\Desktop\Black_Recover.txt
C:\Users\Admin\AppData\Local\Temp\0F3LWP.tmp



Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\BlackMutex
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Black.Berserk@onionmail.org, Black.Berserk@skiff.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 1dde7e42e33b9ed602f9c839cca7150b
SHA-1: 538a0f38f2745dff05c7f2e05fc1fe3165b7767e
SHA-256: edcccd772c68c75f56becea7f54fb7ee677863b6beaca956c52ee20ec23b472d
Vhash: 015066651d1515556078z717z4035z4031z3fz
Imphash: 3a9d8d3df56e44da448e2fafa92efb25


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023
BTC-azadi Ransomware - январь 2023
Cylance Ransomware - март 2023
BTC-azadi NextGen Ransomware - с марта 2023
другие варианты - март-апрель-май 2023
BlackShadow Ransomware - май-июль 2023
BlackBerserk (BlackRecover) Ransomware - с июля 2023
другие варианты - август-декабрь 2023



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2 августа 2023: 
Расширение: .Sezar
Записка: Sezar_Recover.txt
IOC: VT: IA: MD5: b65636c6fe0c868e179c9599ba2a9467
Обнаружения: 
ESET-NOD32 - > A Variant Of Win32/Agent_AGen.BJV
Kaspersky - > HEUR:Trojan-PSW.Win32.Stealer.gen
Microsoft - > Trojan:Win32/Wacatac.B!ml
TrendMicro - > Ransom.Win32.CELANCYC.SM

Вариант от 22 сентября 2023: 
Расширение: .Gomez
Записка: Gomez_Recover.txt
Email: Gomez1754@cyberfear.com, Gomez1754@skiff.com
IOC: VT: IA: MD5: dd97b9e6ea68c10b4137429a47530d9d
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.37806
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Ransom:Win64/BlackShadow.YAA!MTB
TrendMicro -> Ransom.Win32.CELANCYC.YXDIYZ





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: Sandor, PCrisk, Petrovic Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 16 июля 2023 г.

DEADbyDAWN

DEADbyDAWN Ransomware

50_ransom_notes Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


DEADbyDAWN Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Распространяется группой вымогателей DEADbyDAWN Team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37710
BitDefender -> Trojan.GenericKD.68224946
ESET-NOD32 -> A Variant Of WinGo/Filecoder.DX
Kaspersky -> Trojan.Win32.DelShad.lmk
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Leonem
Rising -> ***
Tencent -> Win32.Trojan.Delshad.Qgil
TrendMicro -> Ransom.Win64.DAWNEDABYD.THGAGBC
---

© Генеалогия: родство выясняется >> 
DEADbyDAWN


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random{9}>

Пример: .OGUtdoNRE

Записка с требованием выкупа называется: README0.txt - README50.txt

DEADbyDAWN Ransomware note, записка о выкупе

Таким образом на Рабочем столе оставляется 51 записка о выкупе одинакового содержания. 

DEADbyDAWN Ransomware


Содержание lheujq pfgbcrb о выкупе:
Title: We have encrypted your network - DEADbyDAWN Team
Hello Abdo,..This is Contact DEADbyDAWN Team.
As you may have already seen we have succesfully breached your infrastructure.
Let's discuss the current situation:
Our monitoring tool reported:
- We have breached your network.
- All the data, including confidential and PII documents were extracted to external servers..
- We finally encrypted at your end and exfiltrated the data..
- We have the capabilities to  announce the leak in mass media and social media, including Twitter and Facebook...
Our team can offer you the following services:
- Provide the universal decryption tool for the data
- Assist with infrastructure restore
From our side we can confirm the following:
- Infrastructure and the data restore will take not more than 1 business day
- Silence in Mass Media about the accident and the data itself
- Security report and recommendations will be provided to avoid accidents in the future
- Proofs of the data removing on our end
Otherwise, the data will published or sold to the 3rd parties.
We will continue to publish on mass Media and clients, partners and others will be informed.
Please, transfer information to your management (especially about data extraction) and double-check if you are authorized to keep financial part of the negotiations.
After the confirmation we will provide you the amount for our services we think is fair
We provided all the necessary evidence (you can see in the We provided all the necessary evidence (you can see in the chat) and are ready to discuss the problems with you. We are waiting for you in the chat (for access to the chat you need to download the Toruster hxxps://www.torproject.org and follow the link below)) and are ready to discuss the problems with you. We are waiting for you in the chat (for access to the chat you need to 
download the Toruster hxxps://www.torproject.org and follow the link below)
chat : hxxx://vqfgxpvvyqpbcy6kp2byth7ji63sd3y3ermsvjypw2wq7r5aoc23qgqd.onion  and email deritim@proton.me
We estimate the cost of our assistance in restoring your network infrastructure in :
We encourage you not to contact Police or any agency, since the consequences of such action will be catastrophic for your business.
Best Regards.

Перевод записки на русский язык:
Привет, Абдо! Это контакт с командой DEADbyDAWN.
Как вы, возможно, заметили, мы успешно взломали вашу инфраструктуру.
Давайте обсудим текущую ситуацию:
Наш инструмент мониторинга сообщил:
- Мы взломали вашу сеть..
- Все данные, включая конфиденциальные и персональные документы, извлечены на внешние серверы.
- Наконец-то мы зашифровали с вашей стороны и украли данные..
- У нас есть возможности сообщить об утечке в СМИ и соц. сетях, включая Twitter и Facebook.
Наша команда может предложить вам следующие услуги:
- Предоставить универсальный инструмент расшифровки данных.
- Помощь в восстановлении инфраструктуры
Со своей стороны можем подтвердить следующее:
- Восстановление инфраструктуры и данных займет не более 1 рабочего дня.
- Молчание в СМИ об этом случае и самих данных.
***

Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README0.txt - README50.txt - название файлов с требованием выкупа (содержание одинаковое);
CyQbfyxuPL.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://vqfgxpvvyqpbcy6kp2byth7ji63sd3y3ermsvjypw2wq7r5aoc23qgqd.onion
Email: deritim@proton.me
BTC: -
См. ниже в обновлениях другие адреса и контакты. 


Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: PCrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 14 июля 2023 г.

Spoosh, SophosEncrypt

Spoosh Ransomware

SophosEncrypt Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник на русском)
Translation into English


Spoosh, SophosEncrypt Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES-256 (режим CBC, дополнение PKCS#7), а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: spoosh.exe. Внутреннее название: sophos_encrypt. Исполняемый файл скомпилирован с использованием MinGW и содержит связанные библиотеки Rust. В изученных образцах есть версии: 0.0.8 и 0.0.9.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37969
BitDefender -> Generic.Ransom.DCRTR.7E80656D
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOL
Kaspersky -> Trojan-Ransom.Win32.Agent.bbil
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Paradise.BC!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bf0b04
TrendMicro -> Ransom.Win32.SPOOSH.THGAGBC
---

Этимология названия:
Spoosh <=> Sophos — один и тот же набор букв. 
Видимо, в какой-то момент разработчики-вымогатели решили сыграть на этом наборе букв и не определились с окончательным названием. 


© Генеалогия: родство выясняется >>



Сайт "ID Ransomware" идентифицирует это как SophosEncrypt (c 18 июля 2023). 



Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.


Окно начального запуска


К зашифрованным файлам добавляется расширение: .sophos

Фактически используется составное расширение по шаблону: 
.[[random_alphanumeric{8}]].[[{email}]].sophos

Пример такого рашсирения:
.[[Bad7HTQx]].[[asd@asd.com]].sophos



Записка с требованием выкупа называется: information.hta


Spoosh, SophosEncrypt Ransomware


Содержание записки о выкупе:

All your files have been encrypted!
All your files have been encrypted due to a security issue with your computer. If you want to restore them, write to us by email ***
If you have not received a response within 24 hours, write to us at Jabber: ***
Write this ID in the title of your message ***
You will have to pay for decryption in bitcoins. The price depends on how quickly you write to us. After payment, we will send you a tool that will decrypt all your files.
Free decryption as guarantee
We can decrypt 1 small, not important file as proof of decryption. 1 megabyte of an unarchived file. We never decrypt important files for testing, such as XLS, databases and other important files.
How to obtain Bitcoins
Write to us and we will instruct you how to buy Bitcoin
Attention! If you ask for help from third parties, know that they raise the price (they add their own price from ours). Contact us for help and we will help you buy Bitcoin, it's not difficult. Our experts will fully tell you how to buy bitcoin.
Jabber client installation instructions:
Download the jabber (Pidgin) client from hxxps://pidgin.im/download/windows/
After installation, the Pidgin client will prompt you to create a new account.
Click 'Add'
In the 'Protocol' field, select XMPP
In 'Username' - come up with any name
In the field 'domain' - enter any jabber-server, there are a lot of them, for example - exploit.im
Create a password
At the bottom, put a tick 'Create account'
Click add
If you selected 'domain' - exploit.im, then a new window should appear in which you will need to re-enter your data:
User
password
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+install
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, this may lead to irreversible data loss.
No one else will be able to return your files except us!

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего компьютера. Если вы хотите их восстановить, напишите нам на почту ***
Если вы не получили ответ в течение 24 часов, напишите нам в Jabber: ***
Напишите этот ID в заголовке вашего сообщения ***
За расшифровку придется заплатить в биткойнах. Цена зависит от того, как быстро вы нам напишете. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
***


Обои Рабочего стола заменяются изображением wallapaper.jpg (да, это слово содержит ошибку). 
Spoosh, SophosEncrypt Ransomware

Текст на изображении:
Sophos
ALL YOUR FILES HAVE BEEN ENCRYPTED!
To decrypt the files, you can contact the Email address indicated on the encrypted file and specify the ID specified there in the file name!

Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

✋ Подробнее о шифровании читайте в статья SophosLabs >>

➤ Удаляет теневые копии файлов и очищает Корзину командами: 
%System%\cmd.exe /C "vssadmin delete shadows /all /quiet"
%System%\cmd.exe /C "rd /s /q %systemdrive%\$Recycle.bin"

➤ Использует системный PowerShell для своих целей. 

➤ Подключается к определенному сайту для обмена информацией, имеющему IP-адрес, используемый вредоносным фреймворком Cobalt Strike.

➤ Подключается к следующему сайту для загрузки изображения для обоев: 
hxxxs://i.postimg.cc/JzpfvBFf/wallapaper.jpg
Подключается к следующему сайту для определения внешнего IP-адреса устройства:
hxxxs://myexternalip.com

➤ При запуске проверяет языковые настройки системы и завершает работу, если в системе используется русский язык.

➤ Завершает следующие процессы, которые мешают шифрованию файлов: 
Agntsvc.exe
Dbeng50.exe
Dbsnmp.exe
Encsvc.exe
Excel.exe
Firefox.exe
Infopath.exe
Isqlplussvc.exe
Msaccess.exe
Mspub.exe
Mydesktopqos.exe
Mydesktopservice.exe
Notepad.exe
Ocautoupds.exe
Ocomm.exe
Ocssd.exe
Onenote.exe
Oracle.exe
Outlook.exe
Powerpnt.exe
Sqbcoreservice.exe
Sql.exe
Steam.exe
Synctime.exe
Tbirdconfig.exe
Thebat.exe
Thunderbird.exe
Ut.exe
Utweb.exe
Visio.exe
Winword.exe
Wordpad.exe
Xfssvccon.exe

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список типов файлов, пропускаемых при шифровании: 
.adv, .ani, .bat, .com, .cpl, .cur, .deskthemepack, .Devos, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .faust, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .inf, .ini, .joker, .key, .ldf, .lnk, .lock, .log, .mkp, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .regtrans-ms, .rom, .rtp, .scr, .shs, .sophos, .spl, .sys, .theme, .themepack, .tmp, .wpx, 

Список директорий с файлами, пропускаемых при шифровании: 
$RECYCLE.BIN
$Recycle.Bin
$WINDOWS.~BT
$WINDOWS.~WS
$WinREAgent
$Windows.~WS
AdwCleaner
AppData
dev
Documents and Settings
Hyberfil
MSOCache
Pagefile
PerfLogs
Program Files
Program Files (x86)
ProgramData
Recovery
SYSTEM.SAV
System Volume Information
Thumbs
Thumbs.db
Windows.old
windows.old
Windows.old.000
windows.old.000

Файлы, связанные с этим Ransomware:
information.hta - название файла с требованием выкупа;
spoosh.exe, 3da3.exe, <random>.exe  - названия вредоносных файлов;
wallapaper.jpg - изображение, заменяющее обои Рабочего стола, в котором используется логотип антивирусной компании Sophos. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%System Root%\Boot\cs-CZ\information.hta

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Printers\SettingsLow DI = {8 Random Alphanumeric Characters}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLinkedConnections = 1
HKEY_CURRENT_USER\Printers\SettingsLow
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion
Этот сайт Tor не является местом переговоров или утечки данных, а, скорее, представляет собой партнерскую панель для работы с программами-вымогателями как услугой.


Jabber: используется, но не указан
Email: asd@asd.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 



Результаты анализов: 
IOC: VT, HA, IA, TG, AR, BA
MD5: c4e82318d5f902c6dda61e2b00c4cac8
SHA-1: 5869cddb0f1ef9d0828618d01def805d7d6ed791
SHA-256: 3da31ee0a6c6410b3c66aad41623d05aac61a4dbb85045eb89f5810ffdc93066
Vhash: 0561676d15655c0d5d1d00d3zb2z1d2804031z603021zd013z14z157z
Imphash: bf53b2b4fc842ae9135d9ee3b4ff11f5


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Write-up, Topic of Support ***

Thanks: MalwareHunterTeam, Michael Gillespie, S!Ri, Lawrence Abrams Andrew Ivanov (article author) TrendMicro, SophosLabs, BleepingComputer to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *