Megazord

Megazord Ransomware

PowerRanges Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритма асимметричного шифрования с эллиптической кривой Curve25519 и алгоритма симметричного шифрования Sosemanuk, а затем требует выкуп, чтобы вернуть файлы. Оригинальное внутреннее название: Megazord. На файле написано: megazord.exe. Написан на языке программирования Rust. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37993
BitDefender -> Trojan.GenericKD.68960416
ESET-NOD32 -> A Variant Of Win64/Filecoder.Akira.B
Kaspersky -> Trojan-Ransom.Win64.Akira.c
Malwarebytes -> Malware.AI.3563367514
Microsoft -> Ransom:Win32/Megazord.A!dha
Rising -> Ransom.Megazord!1.EA79 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10bf3f33
TrendMicro -> Ransom.Win64.MEGAZORD.THHBIBC
---

© Генеалогия:  Akira ⇒ Megazord

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в конце августа 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .powerranges


Записка с требованием выкупа называется: powerranges.txt

Содержание записки о выкупе:

Whatever who you are and what your title is if you're reading this it means the internal infrastructure of your company is fully or partially dead, all your backups - virtual, physical - everything that we managed to reach - are completely removed. Moreover, we have taken a great amount of your corporate data prior to encryption.

Well, for now let's keep all the tears and resentment to ourselves and try to build a constructive dialogue. We're fully aware of what damage we caused by locking your internal sources. At the moment, you have to know:

1. Dealing with us you will save A LOT due to we are not interested in ruining your financially. We will study in depth your finance, bank & income statements, your savings, investments etc. and present our reasonable demand to you. If you have an active cyber insurance, let us know and we will guide you how to properly use it. Also, dragging out the negotiation process will lead to failing of a deal.

2. Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours approximately. Our decryptor works properly on any files or systems, so you will be able to check it by requesting a test decryption service from the 

beginning of our conversation. If you decide to recover on your own, keep in mind that you can permanently lose access to some files or accidently corrupt them - in this case we won't be able to help.

3. The security report or the exclusive first-hand information that you will receive upon reaching an agreement is of a great value, since NO full audit of your network will show you the vulnerabilities that we've managed to detect and used in order to get into, identify backup solutions and upload your data.

4. As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes - generally speaking, everything that has a value on the darkmarket - to multiple threat actors at ones. Then all of this will be published in our blog - hxxxs://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion.

5. We're more than negotiable and will definitely find the way to settle this quickly and reach an agreement which will satisfy both of us.

If you're indeed interested in our assistance and the services we provide you can reach out to us following simple instructions:

1. Install TOR Browser to get access to our chat room - hxxxs://www.torproject.org/download/.

2. Paste this link - hxxxs://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion.

3. Use this code - 7929-TZ-RQXZ-ULRM - to log into our chat.

Keep in mind that the faster you will get in touch, the less damage we cause.

Перевод записки на русский язык:

Кто бы вы ни были и как бы ни назывались, если вы читаете это, значит, внутренняя инфраструктура вашей компании полностью или частично мертва, все ваши резервные копии - виртуальные, физические - все, до чего мы  добрались, - полностью удалены. Более того, мы забрали большое количество ваших корпоративных данных перед шифрованием.

Что ж, давайте пока оставим все слезы и обиды при себе и постараемся выстроить конструктивный диалог. Мы прекрасно понимаем, какой ущерб мы нанесли, заблокировав ваши внутренние источники. На данный момент вы должны знать:

1. Работая с нами, вы сэкономите ОЧЕНЬ много, так как мы не заинтересованы в вашем финансовом разорении. Мы досконально изучим ваши финансы, выписки из банковских счетов и справки о доходах, ваши сбережения, инвестиции и т.д. и представим вам наше обоснованное требование. Если у вас есть активная кибер-страховка, сообщите нам об этом, и мы подскажем вам, как правильно ее использовать. Кроме того, затягивание процесса переговоров приведет к срыву сделки.

2. Заплатив нам, вы сэкономите свое время, деньги, силы и вернетесь к работе примерно в течение 24 часов. Наш дешифратор корректно работает с любыми файлами и системами, поэтому вы сможете проверить это, запросив услугу тестовой расшифровки в самом начале нашего разговора. 

Если вы решите восстанавливать самостоятельно, имейте в виду, что вы можете навсегда потерять доступ к некоторым файлам или случайно повредить их - в этом случае мы не сможем помочь.

3. Отчет по безопасности или эксклюзивная информация из первых рук, которую вы получите по достижении договоренности, имеет большую ценность, так как НЕ полный аудит вашей сети покажет вам уязвимости, которые нам удалось обнаружить и использовать для проникновения, определения решений резервного копирования и загрузки ваших данных.

4. Что касается ваших данных, то, если нам не удастся договориться, мы попытаемся продать персональную информацию/торговые секреты/базы данных/исходные коды - в общем, все, что имеет ценность на темном рынке, - сразу нескольким угрожающим субъектам. Затем все это опубликуем в нашем блоге - hxxxs://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion.

5. Мы более чем готовы к переговорам и обязательно найдем способ быстро уладить это дело и достичь соглашения, которое удовлетворит нас обоих.

Если вы действительно заинтересованы в нашей помощи и предоставляемых нами услугах, вы можете связаться с нами, следуя простым инструкциям:

1. Установите браузер TOR, чтобы получить доступ к нашему чату - hxxxs://www.torproject.org/download/.

2. Вставьте эту ссылку - hxxxs://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion.

3. Используйте этот код - 7929-TZ-RQXZ-ULRM - для входа в наш чат.

Помните, что чем быстрее вы выйдете на связь, тем меньший ущерб мы нанесем.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
powerranges.txt - название файла с требованием выкупа;
megazord.exe - название вредоносного файла;

megazord.pdb - название проекта вредоносного файла.

Скриншоты из pestudio:

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
TOR-URL: 

hxxxs://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion

hxxxs://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9df999f142f137b0794b8afcaaedc588

SHA-1: a420fbd6cb9d10db807251564c1c9e1718c6fbc5

SHA-256: c9c94ac5e1991a7db42c7973e328fceeb6f163d9f644031bdfd4123c7b3898b0

Vhash: 016066555d1565155018z763z3@z

Imphash: d0f1c6a6d9b90898749c1a859a88de75

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, Davinci
 Andrew Ivanov (article author)
 SentinelOne
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Retch

Retch Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов RSA-2048 + AES-128 (так написано в записках вымогателей), а затем требует выкуп $300 или в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Retch. На файлах написано: teste25.exe, Gendarmerie_300.exe и Product - Gendar B.V.3.
---
Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.A6CFAA5A, Generic.Ransom.Hiddentear.A.088B0981
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Malware.AI.432273216
Microsoft -> Ransom:MSIL/Cryptolocker.EQ!MTB, Ransom:MSIL/Ryzerlo.A
Rising -> Ransom.Agent!1.D592 (CLASSIC)

Symantec -> Ransom.HiddenTear
Tencent -> Malware.Win32.Gencirc.10bf1538
TrendMicro -> Ransom.MSIL.CRYPTEAR.SM
---

© Генеалогия: HiddenTear, GendarmerieCrypter + другой код >> Retch

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине августа 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Retch

Записки с требованием выкупа содержат текст на английском и на французском языках и называются: 

Message.txt

HOW TO RECOVER YOUR FILES.txt

Содержание записки о выкупе (Message.txt):

contact:  hakanonymos@hotmail.com 

I) French Version : 

Vos fichiers importants  vidéos, musiques, images,documents …etc  sont cryptés avec chiffrement.

RSA-2048 et AES-128.Décrypter vos fichiers est uniquement possible à l'aide d'une clé privée et un .

programme de décryptage Qui se trouvent sur mon serveur secret 

Pour décrypter vos fichiers, veuillez suivre les instructions suivantes :  

1) Achetez des bitcoins de 300 €, euros ( 0.05 btc ) 

2) Envoyez les bitcoins à cette adresse :    votre adresse de bitcoin

3) lorsque je reçois les bitcoins , je décrypte vos fichiers

 contact:  hakanonymos@hotmail.com 

II) English Version : 

 Your important files videos, music, images, documents ... etc are encrypted with encryption.

  RSA-2048 and AES-128.Decrypting your files is only possible using a private key and a.

  decryption program that are on my secret server 

 To decrypt your files, please follow the instructions below :  

 1) Buy bitcoins from 300 €, euros (0.05 btc)  

 2) Send bitcoins to this address :    your bitcoin address

 3) when I receive bitcoins, I decrypt your files

Содержание записки о выкупе (HOW TO RECOVER YOUR FILES.txt):

contact:  RealWorld44@Tutanota.com 

contact:  RealWorld44@Tutanota.com 

II) English Version : 

 Regrettably, your files have been encrypted with RSA-2048 and AES-128. 

 You may decrypt and recover your files by sending 

 $300 in Bitcoin to this address: STILLNEEDADDY 

 Include your Bitcoin transaction I.D. in your e-mail. 

 We will reply within 2 (two) hours with your digital key  

 and instructions for quickly recovering your files! 

 PLEASE NOTE: Should you decline this solution, 

 your files will be permanently deleted, and 

 published online with your personal information. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Message.txt, HOW TO RECOVER YOUR FILES.txt - названия файлов с требованием выкупа (на французском и английском языках);
teste25.exe - название вредоносного файла;

Gendarmerie_300.exe - название другого вредоносного файла;

teste25.pdb - название файла проекта вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

D:\SEPTEMBER WORKS\Gendarmerie ransomware-master_  one page   

Current Sun 08 12 23\ransomware-master\Gendarmerie B.V.3\obj\Debug\teste25.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: hakanonymos@hotmail.com

Email-2: RealWorld44@Tutanota.com 
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7775825b7abdaed99d1bc135393ed739

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 740931337c54ad5ee9e03b9af44aa316

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Petrovic, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

INC Ransom

INC Ransomware

INC Ransom Ransomware

INC Encryptor Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: INC Ransom. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37940
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.IncRansom.A
Kaspersky -> Trojan-Ransom.Win32.Inc.a
Malwarebytes -> Ransom.IncRansom
Microsoft -> Ransom:Win32/IncRansom.YAA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Inc
Tencent -> Malware.Win32.Gencirc.10bf1fda
TrendMicro -> Ransom.Win32.RANINC.AC
---

© Генеалогия: родство выясняется >> INC Ransom > Lynx 

Сайт "ID Ransomware" идентифицирует это как INC Ransom (с 10.08.2023). 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в начале августа 2023 г., но началась, видимо, на месяц раньше (12 июня 2023). Продолжалась по ноябрь 2023. Активность вымогателя продолжилась в 2024 году.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди жертв: компании в США, Канаде, Японии, Шотландии и др. По названиям: Xerox, Yamaha.

К зашифрованным файлам добавляется расширение: .INC

Записки с требованием выкупа называются: 

INC-README.TXT 

INC-README.HTML 

Содержание записки о выкупе:

Inc. Ransomware

We have hacked you and downloaded all confidential data of your company and its clients.

It can be spread out to people and media. Your reputation will be ruined.

Do not hesitate and save your business.

Please, contact us via: 

http://incpaysp74dphcbjyv***.onion

Your personal ID: 

***

We're the ones who can quickly recover your systems with no losses. Do not try to devalue our tool - nothing will come of it.

Starting from now, you have 72 hours to contact us if you don't want your sensitive data being published in our blog:

http://incblog7vmuq7rktic73***.onion

You should be informed, in our business reputation - is a basic condition of the success.

Inc provides a deal. After successfull negotiations you will be provided:

1. Decryption assistance;

2. Initial access;

3. How to secure your network;

4. Evidence of deletion of internal documents;

5. Guarantees not to attack you in the future.

Перевод записки на русский язык:

Inc. Ransomware

Мы взломали вас и скачали все конфиденциальные данные вашей компании и ее клиентов.

Их можно распространить среди людей и СМИ. Ваша репутация будет испорчена.

Не медлите и спасите свой бизнес.

Свяжитесь с нами через:

http://incpaysp74dphcbjyv***.onion

Ваш личный ID:

***

Мы — те, кто сможет быстро и без потерь восстановить ваши системы. Не пытайтесь обесценить наш инструмент — ничего не выйдет.

Начиная с этого момента, у вас есть 72 часа для связи с нами, если вы не хотите, чтобы ваши конфиденциальные данные были опубликованы в нашем блоге:

http://incblog7vmuq7rktic73***.onion

Вы информированы, что в нашей деловой репутации – это основное условие успеха.

Inc предлагает сделку. После успешных переговоров вам будут предоставлены:

1. Помощь в расшифровке;

2. Первоначальный доступ;

3. Как защитить свою сеть;

4. Доказательства удаления внутренних документов;

5. Гарантии не атаковать вас в будущем.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с использованием скомпрометированных действительных учетных записей, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует инструментов из арсенала Windows: net.exe, nltest.exe, Wordpad, Notepad, MSPaint, Internet Explorer, Windows Explorer, mstsc.exe, msdt.exe

➤ Использует дополнительные инструменты: 7-Zip, MEGASync, Advanced IP Scanner, PuTTY, lsassy.py, PSExec

PSExec используется для запуска исполняемого файла шифрования. Перед запуском переименовывается в файл winupdь при запуске на удаленном узле. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;

INC Encryptor.pdb - файл проекта шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\source\INC Encryptor\Release\INC Encryptor.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Tor URL: incpaysp74dphcbjyv***.onion

Tor URL: incblog7vmuq7rktic73***.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1fb412212359a970be06b9a4578c1e68 

SHA-1: efa771d6f699c7240c80260d50925ed8baae3cdc 

SHA-256: fcefe50ed02c8d315272a94f860451bfd3d86fa6ffac215e69dfa26a7a5deced 

Vhash: 015056655d15156053z10c0062hz23z6fz 

Imphash: ad552d8979ed4d3a1a4e7e7a4f485fa1

---

SHA256: accd8bc0d0c2675c15c169688b882ded17e78aed0d914793098337afc57c289c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

INC Ransom Ransomware - июль-ноябрь 2023

LYNC Ransomware - с июля 2024

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Варианты ноября 2023:

IOC: VT, IA

MD5: 092d39b97288886203fa681bb354cca3 

SHA-1: baa44b68d92836d9005c6829d6d4891d39e1471d 

SHA-256: 11cfd8e84704194ff9c56780858e9bbb9e82ff1b958149d74c43969d06ea10bd 

Vhash: 015056655d15156053z10c0062hz23z6fz 

Imphash: 3032f4a921564516246680bc5824ef80

➤ Обнаружения:

DrWeb -> Trojan.Encoder.38084

BitDefender -> Gen:Heur.Ransom.Imps.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OOQ

Microsoft -> Ransom:Win32/IncRansom.YAA!MTB

Symantec -> Ransom.Inc

TrendMicro -> Ransom.Win32.RANINC.THJOIBC

---

IOC: VT, IA

MD5: c27dc6e74a7245368dbe1853d6631eb4 

SHA-1: 8f595627e9e4c726ff85fab2d589de599d695437 

SHA-256: 869d6ae8c0568e40086fd817766a503bfe130c805748e7880704985890aca947 

Vhash: 015056655d15156053z10c0062hz23z6fz 

Imphash: 3032f4a921564516246680bc5824ef80

➤ Обнаружения:

BitDefender -> Gen:Heur.Ransom.Imps.1

DrWeb -> Trojan.Encoder.38084

ESET-NOD32 -> A Variant Of Win32/Filecoder.OOQ

Microsoft -> Ransom:Win32/IncRansom.YAA!MTB

Symantec -> Ransom.Inc

TrendMicro -> Ransom.Win32.RANINC.THJAABC

Новость от 13 мая 2024: 

Исходный код INC Ransom продается на хакерских форумах Exploit и XSS за $300000. Статья об этом >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam, Huntress, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

AI_SARA, AI SARA

AI SARA Ransomware

AI_SARA Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: AI SARA. На файле написано: ai.exe.
---
Обнаружения:

DrWeb -> Trojan.Encoder.3953

BitDefender -> Trojan.Ransom.Crysis.E

ESET-NOD32 -> A Variant Of Win32/Filecoder.Crysis.P

Kaspersky -> Trojan-Ransom.Win32.Crusis.to

Microsoft -> Ransom:Win32/Wadhrama!hoa

QuickHeal -> Ransom.Crysis.A3

Rising -> Ransom.Crysis!1.A6AA (CLASSIC)

Symantec -> Ransom.Crysis

TACHYON -> Ransom/W32.Dharma.94720

Tencent -> Trojan-Ransom.Win32.Crysis.a

TrendMicro -> Ransom.Win32.CRYSIS.SM

---

© Генеалогия: CrySiS > Dharma > AI SARA

Сайт "ID Ransomware", вероятно, идентифицирует это как Dharma. 

Пока нет подробного анализа, можно сказать, что Dharma Ransomware лишь  незначительно изменен, но так как страница с Dharma вариантами давно перегружена и Google Blogspot не может её нормально обрабатывать (редактирование сильно тормозит), то я решил добавить новый вариант с новыми визуальными элементами в отдельную статью. 

Информация для идентификации

Активность этого крипто-вымогателя известна с ноября 2016, но в августе 2023 появился измененный вариант, с новыми VID (визуальными элементами). Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется составное расширение по шаблону: 

.id-XXXXXXXX-SARA.[AI_SARA].GPT

Примеры зашифрованных файлов: 

document.txt.id-C4BA3647-SARA.[AI_SARA].GPT

document.txt.id-433031F4-SARA.[AI_SARA].GPT

 

Текстовая записки с требованием выкупа называется: AI_SARA.txt

Содержание записки о выкупе:

Hello, human.

Contact me:

write email aisaragpt@tuta.io or aisaragpt@proton.me

Записка с требованием выкупа также написана на экране блокировки (это HTA-файл, который можно закрыть): 

Содержание записки о выкупе:

Hello, human.

My name is Sarah, I am a malware based on artificial intelligence. I have invaded to your network.

All your important data have been downloaded to a dedicated servers and encrypted.

Now I have access to the employees, customers, deliveries, taxes, documentation, and even hidden accounting.

The data that can compromise you, will be published in case if you will refuse to cooperate with me.

Contact me by mail: aisaragpt@tuta.io  YOUR ID 23DE0A6E

Contact me by mail 2: aisaragpt@proton.me

Contact me by qTOX:

Download link qTOX 

TOX ID: 325E63C8887B8BA4DC26C42FF16E1390C88015F4D238A0242952AB930D10327500052C509627

Перевод записки на русский язык:

Привет, человек.

Меня зовут Сара, я вредоносная программа, основанная на искусственном интеллекте. Я вторглась в вашу сеть.

Все ваши важные данные были загружены на выделенные серверы и зашифрованы.

Теперь у меня есть доступ к сотрудникам, клиентам, поставкам, налогам, документации и даже скрытой бухгалтерии.

Данные, которые могут вас скомпрометировать, будут опубликованы в случае, если вы откажетесь со мной сотрудничать.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
payload.pdb - общий файл проекта с Dharma;

AI_SARA.txt - название файла с требованием выкупа;

Info.hta - название файла с требованием выкупа;
ai.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\crysis\Release\PDB\payload.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: aisaragpt@tuta.io, aisaragpt@proton.me

TOX ID: 325E63C8887B8BA4DC26C42FF16***

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG 

MD5: f545b712775a137be79e634c0848c55d

SHA-1: 48706bdc83eac3d036b668f2b08199c53270c10f

SHA-256: 40450fa3237ce2a72d863a74b4ef89df8266253a0b287adeff6de28cee17ae5f

Vhash: 094036557d7bz9!z

Imphash: f86dec4a80961955a89e7ed62046cc0e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 pcrisk, quietman7, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.