Если вы не видите здесь изображений, то используйте VPN.

пятница, 22 сентября 2023 г.

Slide

Slide Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Slide Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+ECC (как утверждают вымогатели в записке), а затем требует написать на email или в Telegram вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Slide, 
указано в записке. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
Slide


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце сентября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Slide

Фактически используется составное расширение по шаблону: .[Ex2@onionmail.org].Slide


Записка с требованием выкупа не имеет постоянного названия и называется по шаблону: #<ID{16}>.txt
Например: #B618798A2F0A0DD3.txt

Slide Ransomware note, записка о выкупе


Содержание записки о выкупе:
  ~~~ SLIDE ~~~
>>> What happened?
    We encrypted and stolen all of your files.
    We use AES and ECC algorithms.
    Nobody can recover your files without our decryption service.
>>> How to recover?
    We are not a politically motivated group and we want nothing more than money.
    If you pay, we will provide you with decryption software and destroy the stolen data.
>>> What guarantees?
    You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
    If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
>>> How to contact us?
   Our email address: Ex2@onionmail.org
   Our Telegram ID: @Filesupp
   In case of no answer within 24 hours, contact to this email: Ex2@onionmail.org
   Write your personal ID in the subject of the email.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Your personal ID: B618798A2F0A0DD3 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>> Warnings!
  - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
   They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
  - Do not hesitate for a long time. The faster you pay, the lower the price.
  - Do not delete or modify encrypted files, it will lead to problems with decryption of files.

Перевод записки на русский язык:
~~~ SLIDE ~~~
>>> Что случилось?
     Мы зашифровали и украли все ваши файлы.
     Мы используем алгоритмы AES и ECC.
     Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
>>> Как восстановиться?
     Мы не политически мотивированная группа, и нам не нужно ничего, кроме денег.
     Если вы заплатите, мы предоставим вам программу для расшифровки и уничтожим украденные данные.
>>> Какие гарантии?
     Вы можете отправить нам неценный файл размером менее 1 МГ, мы его расшифруем в качестве гарантии.
     Если мы не отправим вам программу для расшифровки или не удалим украденные данные, никто не будет платить нам в будущем, поэтому мы сдержим свое обещание.
>>> Как с нами связаться?
    Наш адрес email: Ex2@onionmail.org.
    Наш ID в Telegram: @Filesupp
    При отсутствии ответа в течение 24 часов напишите нам на email: Ex2@onionmail.org.
    В теме письма укажите свой личный ID.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Ваш личный ID: B618798A2F0A0DD3 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>> Предупреждения!
   - Не обращайтесь в восстановительные компании, это всего лишь посредники, которые заработают на вас деньги и обманут.
    Они тайно договариваются с нами, покупают программу для дешифрования и продадут ее вам в разы дороже или просто обманут.
   - Не медлите долго. Чем быстрее вы платите, тем ниже цена.
   - Не удаляйте и не изменяйте зашифрованные файлы, это приведет к проблемам с расшифровкой файлов.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:  Ex2@onionmail.org
Telegram ID: @Filesupp
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: Sandor Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 14 сентября 2023 г.

3AM

3AM Ransomware

Three-AM-time Ransomware

3AM Doxware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


3AM Ransomware

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы расшифровать и вернуть украденные файлы. Оригинальное название: 3AM ("3 часа ночи"). Написан на языке программирования Rust. Специалисты Symantec Threat Hunter Team, описавшие атаку 3AM, не предоставили публичный образец для изучения и описания. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство не выявлено >> 
3AM


Сайт "ID Ransomware" идентифицирует это как 3AM (с 13-14 сентября 2023). 



Информация для идентификации

Ранняя активность этого крипто-вымогателя была обнаружена гораздо раньше, но рассказано о ней было только 13 сентября 2023 г. в отчете Symantec Threat Hunter Team, описавших единственный инцидент, но не предоставивших публичный образец для исследования. 
По утверждению Symantec THT, атакующие сначала пытались использовать один из вариантов LockBit Ransomware, но когда LockBit был заблокирован, они запустили неизвестный на том момент 3AM Ransomware. Злоумышленникам удалось развернуть его только на трех компьютерах в сети организации, но и он был заблокирован на двух из трех компьютеров.
Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .threeamtime


Записка с требованием выкупа называется: RECOVER-FILES.txt 

3AM Ransomware note, записка о выкупе


Содержание записки о выкупе:

Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more.
We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used.
Please contact us as soon as possible, using Tor-browser:
hxxx://threeam7***.onion/recovery 
Access key:
[32 CHARS SPECIFIED BY -k COMMAND LINE PARAMETER]


Перевод записки на русский язык:
Привет. "3 часа ночи" Время мистики, не так ли?
Все ваши файлы загадочным образом зашифрованы, а системы "не подают признаков жизни", резервные копии исчезли. Но мы можем очень быстро это исправить и вернуть все ваши файлы и работу систем в исходное состояние.
Все ваши попытки восстановить данные самостоятельно приведут к их порче и невозможности восстановления. Мы не рекомендуем Вам делать это самостоятельно!!! (или делаете на свой страх и риск).
Есть еще один важный момент: мы украли из вашей локальной сети довольно большой объем конфиденциальных данных: финансовые документы; персональные данные ваших сотрудников, клиентов, партнеров; рабочая документация, почтовая корреспонденция и многое другое.
Мы предпочитаем держать это в секрете, у нас нет цели разрушить ваш бизнес. Поэтому с нашей стороны утечки быть не может.
Предлагаем договориться и заключить сделку.
В противном случае ваши данные будут проданы в DarkNet/DarkWeb. Можно только догадываться, как они будут использоваться.
Напишите нам как можно скорее, используя Tor-браузер:
hxxx://threeam7***.onion/recovery 
Ключ доступа:
[32 СИМВОЛА ***]


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Программа-вымогатель сначала пытается настроить атакованный компьютер под себя, удалить бэкапы и теневые копии файлов, остановить несколько служб на зараженном компьютере, прежде чем начнет шифровать файлы. Подробности ниже. 

➤ Настраивает под себя файервол Windows: 
"netsh.exe" advfirewall firewall set rule "group=”Network Discovery”" new enable=Yes

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:
"wbadmin.exe" delete systemstatebackup -keepVersions:0 -quiet
"wbadmin.exe" DELETE SYSTEMSTATEBACKUP
"wbadmin.exe" DELETE SYSTEMSTATEBACKUP -deleteOldest
"bcdedit.exe" /set {default} recoveryenabled No
"bcdedit.exe" /set {default} bootstatuspolicy ignoreallfailures
"wmic.exe" SHADOWCOPY DELETE /nointeractive

➤ Выполняет команду "net" stop /y для: 
acronis, AcronisAgent, AcrSch, AcrSch2Svc, Afee, AVP, Back, backup, Backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecVSSProvider, BacupExecRPCService, bedbg, CAARCUpdateSvc, CASAD2WebSvc, ccEvtMgr, ccSetMgr, CCSF, DCAgent, EhttpSrv, ekrn, Endpoint, Enterprise, EPSecurity, EPUpdate, Eraser, EsgShKernel, ESHASRV, Exchange, FA_Scheduler, GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, IISAdmin, IMAP4, KAVF, klnagent, MBAM, McShield, memtas, mepocs, mfefire, mfemms, mfevtp, mms, Monitor, MsDts, NetMsmq, ntrt, PDVF, POP3, Report, RESvc, Smcinst, SmcService, SMTP, SNAC, sql, svc$, swi_, task, tmlisten, TrueKey, UIODetect, veeam, Veeam, VeeamNFSSvc, VeeamTransportSvc, vmcomp, vmwp, vss, W3S, wbengine, WRSVC, xchange, YooBackup, YooIT

➤ Атакующие использовали инструмент Cobalt Strike и инициировали разведывательные команды, такие как whoami, netstat, quser и netshare, чтобы облегчить горизонтальное перемещение по сети атакованной организации. Чтобы сохранить устойчивость, злоумышленники добавили нового пользователя. Затем они использовали инструмент wput для передачи файлов на свой FTP-сервер.

➤ Уже после шифрования вредоносная программа пытается выполнить следующую команду для удаления теневых резервных копий тома:
vssadmin.exe delete shadows /all /quiet

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVER-FILES.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Маркеры: 
Зашифрованные файлы содержат строку маркера "0x666", за которой следуют данные, добавленные Ransomware.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://threeam7***.onion/recovery 
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 


Данные с сайта вымогателей


Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
SHA256: 307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Topic of Support ***

Thanks: Threat Hunter Team (Symantec) Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 5 сентября 2023 г.

GroundingConductor

GroundingConductor Ransomware

Grounding Encrypter Ransomware

(шифровальщик-вымогатель, zip-вымогатель) (первоисточник)
Translation into English


GroundingConductor Ransomware

Этот крипто-вымогатель блокирует данные, помещает каждый файл в отдельный zip-архив. Для запирания файлов используются возможности zip-архиватора, в их числе шифрование AES-256 и парольная защита. Затем требует связаться с вымогателями через приложение Session, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: GroundingConductor, в записке указан контакт с таким именем. На файле написано: encrypter.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop23.36428
BitDefender -> Trojan.GenericKD.69294092
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOW
Kaspersky -> Trojan-Ransom.Win32.Encoder.ups
Malwarebytes -> Ransom.Filecoder
Microsoft -> Ransom:Win32/BeastRansom.YAA!MTB
Rising -> Trojan.Generic@AI.95 (RDML:z1l***
Tencent -> Malware.Win32.Gencirc.10bf238b
TrendMicro -> Ransom.Win32.BEASTRANSOM.A
---

© Генеалогия: родство выясняется >> 
GroundingConductor


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября — середине октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение .Grounding Conductor.zip

Фактически используется составное расширение по шаблону: .{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}.Grounding Conductor.zip

Пример: .{E02989DD-1B9B-FC2D-2B13-9DA770161220}.Grounding Conductor.zip






В каждом таком архиве  находится исходный файл и файл записки readme.txt. Записку можно извлечь и прочитать, а файл блокируется. Это можно увидеть в разделе "Replay Monitor" по этой ссылке

Записка с требованием выкупа называется: 
readme.txt 

GroundingConductor Ransomware note, записка о выкупе

Содержание записки о выкупе:
CAN I DECRYPT MY FILES ?
YES.
SURE.
We guarantee that you can recover FULL of your data easily!. We are give you full instruction. And help you untill decryption process is totaly finished.
CONTACT US:
Download the (Session) messenger (hxxps://getsession.org) in messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e" You have to add this Id and we will complete our converstion.
You have to pay for decryption BITCOIN ONLY!
!!! ATTENTION !!!
IF YOU WILL CONTACT DATA RECOVER COMPANY THEY WILL WASTE YOUR TIME AND TRY TO GET MONEY FROM YOU, than they will try to contact us and try to got your money from 2 sides.
REMEMBER : IF SOMEONE PROMISE YOU DECRYPT !!! YOUR PERSONAL INFORMATION IS ONLY IN OUR HANDS !
REMEMBER !!!! This money will be from your pocket any way.
We can give you 1 - 2 encrypted files not big , NOT VALUE,for test (You send us encrypted we send you back decrypted data).
You data encrypted and only WE ARE have decryption key.(To decrypt your data you need just 1-3 hours, after payment to got your data back fully )
Do not rename encrypted files, do not try to decrypt your data by using third party software, it may permanent data loss.
We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
You have 12 hours to contact us.
Otherwise, your data will be sold or MADE PUBLIC!
IF YOU CONTACT DATA RECOVERY COMPANIES !!!! YOU MUST UNDESTAND YOU HAVE SO MUCH MORE CHANSE TO BE PUBLISHED ! ! !
We have a lot info about you and your clients , its can kill your organization ! DONT KILL YOU PESONAL AND BUSSINES.
PAY and NO ONE WILL BE KNOW ABOUT THAT situation .


Текст содержит ошибки! - Выделены красным. 

Перевод записки на русский язык:
МОГУ ЛИ Я РАСШИФРОВАТЬ СВОИ ФАЙЛЫ?
ДА.
КОНЕЧНО.
Мы гарантируем, что вы сможете легко восстановить ПОЛНОСТЬЮ ваши данные!. Мы даем вам полную инструкцию. И помогать вам, пока процесс расшифровки не будет полностью завершен.
СВЯЗАТЬСЯ С НАМИ:
Загрузите мессенджер (Session) (hxxps://getsession.org) в мессенджер :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e". Вам нужно добавить этот Id, и мы завершим преобразование.
За расшифровку нужно платить ТОЛЬКО БИТКОИН!
!!! ВНИМАНИЕ !!!
ЕСЛИ ВЫ ОБРАТИТЕСЬ В КОМПАНИЮ ПО ВОССТАНОВЛЕНИЮ ДАННЫХ, ОНИ ПОТРАТЯТ ВАШЕ ВРЕМЯ И ПЫТАЮТСЯ ПОЛУЧИТЬ ОТ ВАС ДЕНЬГИ, тогда они попытаются связаться с нами и попытаться получить ваши деньги с двух сторон.
ПОМНИТЕ: ЕСЛИ КТО-ТО ОБЕЩАЕТ ВАМ РАСШИФРОВАТЬ!!! ВАША ЛИЧНАЯ ИНФОРМАЦИЯ ТОЛЬКО В НАШИХ РУКАХ!
ПОМНИТЕ !!!! Эти деньги в любом случае будут из вашего кармана.
Мы можем предоставить вам 1–2 зашифрованных файла небольшого размера, НЕ ЦЕННЫХ, для теста (вы отправляете нам зашифрованные данные, мы отправим вам расшифрованные данные).
Ваши данные зашифрованы, и только У НАС есть ключ для расшифровки. (Чтобы расшифровать ваши данные, вам понадобится всего 1-3 часа, после оплаты вы получите свои данные обратно полностью)
Не переименовывайте зашифрованные файлы, не пытайтесь расшифровать данные с помощью сторонних программ, это может привести к необратимой потере данных.
Мы уже давно в вашей сети. Мы знаем о вашей компании все, большая часть вашей информации уже загружена на наш сервер. Рекомендуем не тратить время зря, если вы не хотите, чтобы мы начали вторую часть.
У вас есть 12 часов, чтобы связаться с нами.
В противном случае ваши данные будут проданы или ОПУБЛИКОВАНЫ!
ЕСЛИ ВЫ ОБРАЩАЕТЕСЬ В КОМПАНИИ ПО ВОССТАНОВЛЕНИЮ ДАННЫХ!!!! ВЫ ДОЛЖНЫ ПОНЯТЬ, У ВАС ЕСТЬ НАМНОГО БОЛЬШЕ ШАНСОВ НА ПУБЛИКАЦИЮ! ! !
У нас много информации о вас и ваших клиентах, это может убить вашу организацию! НЕ УБИВАЙТЕ ВЫ ЛИЧНОЕ И БИЗНЕС.
ПЛАТИТЕ и НИКТО НЕ УЗНАЕТ ОБ ЭТОЙ ситуации.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
encrypter.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 74fd302390dc8e8b5f49d2da186e3e8c
SHA-1: 63b7aedf094158e30980a46da8b8f4eaf88524e5
SHA-256: 526488b37415ae2c692f7da97a18c337b0efd4675fd1ac31b4acaa55c63d2725
Vhash: 0740466d755561b01011z200511z23z6025z905001d1z400127z
Imphash: 0aa65e45e800aaf1672b9e2617c32ec4


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 октября или раньше:
Расширение: .GroundingConductor
Записка: ReadMeToDecryptYourFiles.txt
Telegram: @GROUNDINGCONDUCTOR
➤ Содержание записки: 
WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! !
WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! ! 
WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! ! 
CAN I DECRYPT MY FILES ? 
YES.
SURE.
WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! !                        
We guarantee that you can recover FULL of your data easily!. We are give you full instruction. And help you untill decryption process is totaly finished.
CONTACT US:
Download the (Session) messenger (https://getsession.org) in messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e" You have to add this Id and we will complete our converstion.
Telrgram : @GROUNDINGCONDUCTOR (BE CAREFUL ABOUT FAKE)
WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! ! 
You have to pay for decryption BITCOIN ONLY!
!!! ATTENTION !!! 
IF YOU WILL CONTACT DATA RECOVER COMPANY THEY WILL WASTE YOUR TIME AND TRY TO GET MONEY FROM YOU, than they will try to contact us and try to got your money from 2 sides.
REMEMBER : IF SOMEONE PROMISE YOU DECRYPT !!! YOUR PERSONAL INFORMATION IS ONLY IN OUR HANDS !
REMEMBER !!!! This money will be from your pocket any way.
We can give you 1 - 2 encrypted files not big , NOT VALUE,  for test (You send us encrypted we send you back decrypted data).
You data encrypted and only WE ARE have decryption key.(To decrypt your data you need just 1-3 hours, after payment to got your data back fully )
Do not rename encrypted files, do not try to decrypt your data by using third party software, it may permanent data loss. 
We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
You have 12 hours to contact us.
WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! ! 
Otherwise, your data will be sold or MADE PUBLIC!
IF YOU CONTACT DATA RECOVERY COMPANIES !!!! YOU MUST UNDESTAND YOU HAVE SO MUCH MORE CHANSE TO BE PUBLISHED ! ! !
We have a lot info about you and your clients , its can kill your organization ! DONT KILL YOU PESONAL AND BUSSINES. 
PAY and NO ONE WILL BE KNOW ABOUT THAT situation . 


---
В этом новом варианте шифруется каждый файл с помощью ChaCha20. Архивация файлов не используется. 
Файловый маркер в конце каждого зашифрованного файла: &XChaCha20 (или XChaCha20)






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: PCrisk, quietman7, Bimmer123 Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 2 сентября 2023 г.

Magaskosh

Magaskosh Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Magaskosh Ransomware. На файле написано: MagasFinisher.exe. Это не файл шифратора. 
---
Обнаружения:
DrWeb -> Trojan.Badjoke.65
BitDefender -> Gen:Variant.Zusy.485511
ESET-NOD32 -> A Variant Of MSIL/Agent_AGen.BJE
Kaspersky -> HEUR:Trojan.MSIL.Agent.gen
Malwarebytes -> Malware.AI.560909678
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:MSIL/Magaskosh.MA!MTB
Rising -> Trojan.Agent!8.B1E (CLOUD)
Tencent -> Msil.Trojan.Agent.Wmhl, Malware.Win32.Gencirc.13ee22c9
TrendMicro -> TROJ_GEN.R002H07I223, Trojan.MSIL.MAGASKOSH.THIOEBC
---

© Генеалогия: родство выясняется >> 
Magaskosh 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .magaskosh

Записка с требованием выкупа написана на экране блокировки: 



Содержание записки о выкупе:
ALL OF YOUR FILES HAVE BEEN ENCRYPTED BY MAGASKOSH
6 DAYS
to DELETE all of your files..
If you want to restore them, please send an email to 666.accidenthappy.666@tutanota.com
You only have LIMITED time to get back your files!
- if timer runs out and you dont pay us , all of files will be DELETED and yuor hard disk will be seriously DAMAGED.
- you will lose some of your data on day 2 in the timer.
- you can buy more time for pay Just email us .
- THIS IS NOT A JOKE! you can wait for the timer to run out .and watch deletion of your files :)
What is our decryption guarantee?
Before paying you can send us up to 3 test files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information, (databases.backups. large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is buy.bitcoin.com site.You have to register, click 'Buy bitcoins'. and select the seller by payment method and price.
Also you can find other places to buy Bitcoins and beginners guide here: https://www.bitcoin.com/get-started/how-to-buy-bi

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ MAGASKOSH
6 ДНЕЙ
до УДАЛЕНИЯ всех ваших файлов..
Если вы хотите вернуть их, отправьте email по адресу 666.accidenthappy.666@tutanota.com.
У вас есть только ОГРАНИЧЕННОЕ время, чтобы вернуть свои файлы!
- если таймер истечет, а вы не заплатите нам, все файлы будут УДАЛЕНЫ, а ваш жесткий диск будет серьезно ПОВРЕЖДЕН.
- вы потеряете часть своих данных на второй день таймера.
- Вы можете купить больше времени за оплату. Просто напишите нам.
- ЭТО НЕ ШУТКА! вы можете дождаться истечения таймера и наблюдать за удалением ваших файлов :)
Какова наша гарантия расшифровки?
Перед оплатой вы можете отправить нам до 3 тестовых файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 2 Мб (не в архиве), файлы не должны содержать ценной информации (базы данных.резервные копии, большие листы Excel и т. д.).
Как получить биткойны
Самый простой способ купить биткойны — это сайт buy.bitcoin.com. Вам надо зарегистрироваться, нажать "Купить биткойны", и выбрать продавца по способу оплаты и цене.
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь: https://www.bitcoin.com/get-started/how-to-buy-bi


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
MagasFinisher.exe, 2019-08-26.jpg.exe - название файла экрана блокировки;
MagasFinisher.pdb - файл проекта программы-вымогателя. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%USERPROFILE%\Desktop\MagasFinisher - Copy\MagasFinisher\MagasFinisher\obj\Release\MagasFinisher.pdb

Маркер зашифрованных файлов:
rymozvpgflsstrhd


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 666.accidenthappy.666@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 41011bd9af96dc9207533b5b2b819274
SHA-1: 25eae501b9604c2d6bf668d836aa3b96ecf4b127
SHA-256: 1b00ab6aec02a12e61143b6b351ad0d978f701413f02eff948eba397674a0c0e
Vhash: 25503675151140827132012
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: *** Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *