Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 12 ноября 2023 г.

Albabat

Albabat Ransomware

WhiteBat Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 0.0015 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: W10DigitalActivation.exe. Написан на языке Rust, поддерживает платформы Windows x64 и Linux. Нацелена на Windows 7,8, 8.1, 10, 11. На момент написания статьи версии для Linux не были обнаружены. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.38570
BitDefender -> Trojan.GenericKD.70737458
ESET-NOD32 -> A Variant Of Win64/Filecoder.LC
Kaspersky -> Trojan-Ransom.Win32.Encoder.vkr
Malwarebytes -> Ransom.Alabat
Microsoft -> Ransom:Win64/Albabat.YAA!MTB
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Ransom.Albabat
Tencent -> Malware.Win32.Gencirc.10bf92a2
TrendMicro -> Ransom.Win64.ALBABAT.THLAABC
---

© Генеалогия: родство выясняется >> 
Albabat


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в ноябре 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 
По данным специалистов из FortiGuard Labs среди пострадавших замечены  компании и частные пользователи из следующего списка стран: Аргентина, Бразилия, Германия, Венгрия, Чехия, Казахстан, Россия и США. Этим список стран не ограничивается, поскольку Albabat Ransomware распространяется как поддельная программа для активации Windows или популярной игры, то может атаковать кого угодно и где угодно. 

К зашифрованным файлам добавляется расширение: .abbt

Записка с требованием выкупа называется: README.html или readme.html




Содержание записки о выкупе:
Home | FAQ | Translator
243 files on your machine have been encrypted!
[+] I - ABOUT "Albabat Ransomware"
The "Albabat Ransomware" (White Bat - Translated from Latin) is a cross-platform ransomware that encrypts various files important to the USER on computer storage disks using military-grade symmetric and asymmetric encryption algorithm.
[+] II - THE KEY TO CRYPTOGRAPHY [+]
The "Albabat Ransomware" will automatically create a folder named "Albabat" in your user directory on your machine, but precisely in: "C:\Users\Admin\Albabat\" This folder contains the encryption KEY named "Albabat.ekey", and this same "README" file.
This KEY Albabat.ekey performed the CRYPTOGRAPHY of your files, however, this KEY was also ENCRYPTED with a PUBLIC KEY (asymmetric encryption), and only I (tH3_CyberXY) have the PRIVATE KEY to decrypt the "Albabat.ekey" KEY, and thus, you use it to decrypt your files.
There is no way to decrypt your files without our data decryption service.
There is no way to decrypt the files without decrypting the "Albabat.ekey" key.
Don't delete, don't rename, don't lose the "Albabat.ekey" key.
For security reasons, we even recommend making a BACKUP of the Albabat.ekey key.
[+] III - THE ENCRYPTION PROCESS [+]
Encrypted files have the extension ".abbt".
Don't try to rename it, it won't work. On the contrary, you may corrupt your files.
The size of the files that the "Albabat Ransomware" encrypts is a maximum of 5 Megabytes (MB).
The "Albabat Ransomware" randomly recursively traverses all directories it does not belong to the operation of the Operating System. Encrypts files in the user directory, even database locations and drives mounted on the machine if any.
The "Albabat Ransomware" only encrypts files that are relevant. The Operating System and binary files will be intact. We didn't choose that.
The "Albabat Ransomware" saves a log file named "Albabat.log" in the "C:\Users\Admin\Albabat\" directory. This file you can see all files that were encrypted by "Albabat Ransomware" in path form.
[+] IV - HOW TO CONTACT US [+]
These are the only ways to contact us. Any other form found on the internet will be false.
Contact by:
Our Email:
tH3_CyberXY@proton.me
[+] V - PAYMENT [+]
The decryption process is PAID in Bitcoin, so you need to have Bitcoin balance at a cryptocurrency broker or in a cryptocurrency wallet to make the deposit in our Bitcoin address.
You may want to read the FAQ page to know what Bitcoin is.
Payment data:
Our Bitcoin address:
bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
Amount to pay:
0,0015
- To make payment and restore your files, follow these steps -
(1) Write down the data to make the transfer through our Bitcoin address and the AMOUNT payable specified.
Note: Remembering that the price of Bitcoin may vary monetarily depending on when you make the payment.
(2) - As soon as you make the payment to our Bitcoin address, send us an email.
An example of an email to send us:
Subject: Albabat Ransomware - I did the payment!
Message: Hello, I made the payment. My BTC address where I made the payment is "BTC ADDRESS". The version of the "Albabat Ransomware" running on my machine was "0.1.0".
Follow the attached KEY "Albabat.ekey".
IMPORANT: We will check if the payment was made using YOUR Bitcoin ADDRESS "BTC ADDRESS" in which the transaction was made, so it is IMPORTANT to inform us when sending us this email.
It is also IMPORTANT to send us the KEY "Albabat.ekey" as an attachment, regardless of the form of communication you choose to use with us. We will decrypt it for you.
You will receive in your email the KEY "Albabat.key", that is, the KEY "Albabat.ekey" decrypted, and the decryptor "Albabat Ransomware Decryptor" attached (zipped).
Albabat.key" and the "Albabat Ransomware Decryptor" within 24 hours, but it may vary for longer or less depending on our availability hours, and the number of demands we we received. Be patient. After payment, we will send the decrypted KEY to you and o "Albabat Ransomware Decryptor", we are fair!
[+] VI - DECRYPTION [+]
> To decrypt your files follow the steps below:
(1) Place the "Albabat.key" that you received by email, inside the "C:\Users\Admin\Albabat\" directory, or, if you prefer, keep it in the same directory as "Albabat Ransomware Decryptor".
> IMPORTANT:At this point, it is very important that you close all open Explorer windows, and heavy programs, to prevent "Albabat Ransomware Decryptor" from crashing.
And also disable your ANTIVIRUS PERMANENTLY so that it does not interfere with the decryption process, as disabling it for just a few minutes remains active.
(2) Run "Albabat Ransomware Decryptor". An alert message will appear informing you that the decryption started, just click Ok.
(3) Wait for the decryption completion message to be displayed in console, this may take a while depending on the quantity of files that have been encrypted and power of your machine. You can see the decryption process by I live from your files, if I have time for that.
(4) After decryption is complete, all your files will be restored.
If you have further questions, such as: "How can I be sure you will decrypt my files?", you can read the FAQ page.
Copyright (c) 2021-2023 Albabat Ransomware - All Right Reserved. Maintained by: tH3_CyberXY.

Перевод записки на русский язык:
Главная | ЧаВо | Переводчик
243 файла на вашем компьютере зашифрованы!
[+] Я - О «Albabat Ransomware»
«Albabat Ransomware» (Белая летучая мышь — в переводе с латыни) — это кроссплатформенная программа-вымогатель, шифрующая различные важные для ПОЛЬЗОВАТЕЛЯ файлы на дисках компьютеров с использованием симметричного и асимметричного алгоритма шифрования военного уровня.
[+] II – КЛЮЧ К КРИПТОГРАФИИ [+]
«Albabat Ransomware» автоматически создаст папку с именем «Albabat» в вашем пользовательском каталоге на вашем компьютере, но именно в: «C:\Users\Admin\Albabat». Эта папка содержит КЛЮЧ шифрования с именем «Albabat.ekey», и этот же файл README.
Этот КЛЮЧ Albabat.ekey выполнил КРИПТОГРАФИЮ ваших файлов, однако этот КЛЮЧ также был ЗАШИФРОВАН ПУБЛИЧНЫМ КЛЮЧОМ (асимметричное шифрование), и только у меня (tH3_CyberXY) есть ЧАСТНЫЙ КЛЮЧ для расшифровки КЛЮЧА «Albabat.ekey», и, таким образом, вы используете его для расшифровки файлов.
Без нашей службы расшифровки данных невозможно расшифровать ваши файлы.
Невозможно расшифровать файлы без расшифровки ключа «Albabat.ekey».
Не удаляйте, не переименовывайте, не теряйте ключ «Albabat.ekey».
В целях безопасности мы даже рекомендуем сделать резервную копию ключа Albabat.ekey.
[+] III - ПРОЦЕСС ШИФРОВАНИЯ [+]
Зашифрованные файлы имеют расширение «.abbt».
Не пытайтесь переименовать его, это не сработает. Напротив, вы можете повредить ваши файлы.
Размер файлов, которые шифрует «Albabat Ransomware», составляет максимум 5 Мегабайт (МБ).
«Albabat Ransomware» случайным образом рекурсивно обходит все каталоги, не принадлежащие операционной системе. Шифрует файлы в каталоге пользователя, даже расположения баз данных и диски, подключенные к машине, если таковые имеются.
«Albabat Ransomware» шифрует только соответствующие файлы. Операционная система и двоичные файлы останутся нетронутыми. Мы не это выбирали.
«Albabat Ransomware» сохраняет файл журнала с именем «Albabat.log» в каталоге «C:\Users\Admin\Albabat\». В этом файле вы можете увидеть все файлы, зашифрованные «Albabat Ransomware», в виде пути.
[+] IV - КАК С НАМИ СВЯЗАТЬСЯ [+]
Это единственные способы связаться с нами. Любая другая форма, найденная в Интернете, будет ложной.
Контакт:
Наша электронная почта:
tH3_CyberXY@proton.me
[+] V - ОПЛАТА [+]
Процесс расшифровки ОПЛАЧИВАЕТСЯ в биткойнах, поэтому вам необходимо иметь баланс биткойнов у криптовалютного брокера или в криптовалютном кошельке, чтобы внести депозит на наш биткойн-адрес.
Возможно, вы захотите прочитать страницу часто задаваемых вопросов, чтобы узнать, что такое Биткойн.
Данные платежа:
Наш биткойн-адрес:
bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
Сумма к оплате:
0,0015
- Чтобы произвести оплату и восстановить файлы, выполните следующие действия:
(1) Запишите данные для осуществления перевода через наш биткойн-адрес и указанную СУММУ к оплате.
Примечание. Помните, что цена Биткойна может варьироваться в денежном выражении в зависимости от того, когда вы совершаете платеж.
(2) - Как только вы совершите платеж на наш биткойн-адрес, отправьте нам электронное письмо.
Пример письма для отправки нам:
Тема: Albabat Ransomware – я осуществил платеж!
Сообщение: Здравствуйте, я произвел оплату. Мой адрес BTC, по которому я произвел платеж, — «АДРЕС BTC». Версия «Albabat Ransomware», работающая на моем компьютере, была «0.1.0».
Следуйте прилагаемому КЛЮЧУ «Albabat.ekey».
ВАЖНО: Мы проверим, был ли платеж произведен с использованием ВАШЕГО биткойн-АДРЕСА «АДРЕС BTC», на котором была совершена транзакция, поэтому ВАЖНО сообщить нам об этом при отправке нам этого электронного письма.
Также ВАЖНО отправить нам КЛЮЧ «Albabat.ekey» в виде вложения, независимо от формы связи, которую вы решите использовать с нами. Мы расшифруем его для вас.
Вы получите на свою электронную почту КЛЮЧ «Albabat.key», то есть расшифрованный КЛЮЧ «Albabat.ekey», и приложенный расшифровщик «Albabat Ransomware Decryptor» (в архиве).
Albabat.key» и «Расшифровщик Albabat Ransomware» в течение 24 часов, но срок может варьироваться в зависимости от часов нашей доступности и количества полученных запросов. Наберитесь терпения. После оплаты мы вышлем расшифрованный КЛЮЧ. Мы честны с вами и с «Albabat Ransomware Decryptor»!
[+] VI - расшифровка [+]
> Чтобы расшифровать файлы, выполните следующие действия:
(1) Поместите «Albabat.key», полученный по электронной почте, в каталог «C:\Users\Admin\Albabat» или, если хотите, сохраните его в том же каталоге, что и «Albabat Ransomware Decryptor».
> ВАЖНО: На этом этапе очень важно закрыть все открытые окна Проводника и тяжелые программы, чтобы предотвратить сбой «Albabat Ransomware Decryptor».
А также НАВСЕГДА отключите ваш АНТИВИРУС, чтобы он не мешал процессу расшифровки, так как отключение его всего на несколько минут остается активным.
(2) Запустите «Расшифровщик программ-вымогателей Albabat». Появится предупреждающее сообщение, информирующее вас о том, что расшифровка началась, просто нажмите «ОК».
(3) Подождите, пока в консоли отобразится сообщение о завершении расшифровки. Это может занять некоторое время в зависимости от количества зашифрованных файлов и мощности вашего компьютера. Вы можете увидеть процесс расшифровки в прямом эфире из ваших файлов, если у меня на это есть время.
(4) После завершения расшифровки все ваши файлы будут восстановлены.
Если у вас есть дополнительные вопросы, например: «Как я могу быть уверен, что вы расшифруете мои файлы?», вы можете прочитать страницу часто задаваемых вопросов.
Copyright (c) 2021–2023 Albabat Ransomware – Все права защищены. Поддерживается: tH3_CyberXY.

---
В записке о выкупе есть опция перевода через службу Google Translate, которая позволяет переводить ее на более чем 100 языков. По умолчанию в качестве языка перевода автоматически выбирается португальский, что может указывать на то, что это основной язык разработчика программы-вымогателя.

---
Опция "FAQ" в записке открывает другой информационный файл FAQ.html, который не сильно отличается между вариантами, за исключением пункта 10, который был добавлен в версии 0.3.0.



Также заменяет обои Рабочего стола на собственные с текстом. 




Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Распространяется как мошенническая программа, например, как поддельный инструмент для активации Windows 10 (файл W10DigitalActivation.exe) и чит-программа для игры Counter-Strike 2. Будьте осторожны! 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Особенности по версиям: 
- Версия 0.1.0 пыталась завершить работу браузера Google Chrome (процесс Chrome.exe). 
- Начиная с версии 0.3.0 также пытается завершить следующие процессы, мешающие шифрованию:
taskmgr.exe
code.exe
excel.exe
powerpnt.exe
winword.exe
msaccess.exe
mspub.exe
chrome.exe
cs2.exe (the game Counter Strike 2)
steam.exe
onedrive.exe
postgres.exe
mysqlworkbench.exe
outlook.exe
windowsterminal.exe
sublime_text.exe

- Начиная с версии 0.3.0 также останавливают следующие службы:
MySQL57
MySQL80
MySQL82
postgresql-x64-14
postgresql-x64-15

➤ Блокировка доступа к сайтам: 
Версия 0.3.3 добавляет в файл Windows Hosts следующие записи для блокировки доступа к следующим сайтам:
127.0.0.1 malware-guide.com
127.0.0.1 www.pcrisk.pt
127.0.0.1 www.pcrisk.com
127.0.0.1 adware.guru
127.0.0.1 www.cyclonis.com
127.0.0.1 jp.broadcom.com
127.0.0.1 www.broadcom.com
127.0.0.1 www.enigmasoftware.com
127.0.0.1 howtofix.guide
127.0.0.1 easysolvemalware.com
127.0.0.1 bbs.360.cn
127.0.0.1 pcsafetygeek.com
127.0.0.1 tria.ge

Список типов файлов, подвергающихся шифрованию:
Все, кроме тех, что находятся в списке исключений. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Замечено, что файлы размером более 5 Мб не были зашифрованы.

Список исключений типов файлов по версиям: 
- в версии 0.1.0:
abbt, .arc, .arz, .bik, .bin, .bk2, .cab, .cat, .cur, .dat, .desktop, .dll, .inf, .ini, .lib, .lnk, .log, .mp2, .msi, .N2PK, .nfo, .otf, .pdb, .pkg, .pkr, .pyd, .qt, .resource, .sfx, .sig, .so, .swf, .tcl, .tmp, .ttf, .url, .vc, .vdf, .vfont, .vpk, .whl, .win, .wma, .woff, .woff2, .xnb  
- в версии 0.3.0: 
._pth, .CHK, .cmd, .com, .icls, .ico, .idx, .mod, .mp3, .ogg, .pickle, .src, .theme, .vhdx, .vscdb, ~$ 
- в версии 0.3.3: 
.dic, .lock, .mui, .pyc, .smc, .srm

Файлы, связанные с этим Ransomware:
Albabat_README.html, README.html, readme.html. faq.html - названия файлов с требованием выкупа и дополнительной информацией;
W10DigitalActivation.exe - название вредоносного файла;
wallpaper_albabat.jpg - изображение, заменяющее обои;
decryptor.exe - файл дешифровщика;
Albabat.log, Albabat_Logs.log, Encryption_DBG.log - файлы логов в разных версиях; 
banner.jpg, faq.html, script.js, style.css - другие файлы; 
personal_id.txt, Albabat.ekey и Albabat.key - специальные файлы. 








Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\Albabat\
%SAMPLEPATH%\W10DigitalActivation.exe
C:\Users\User\AppData\Roaming\W10DigitalActivation.exe
C:\Users\User\Desktop\W10DigitalActivation.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tH3_CyberXY@proton.me
Email: albabat.help@protonmail.com
BTC: bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 4c7d2ec42f5b225982d9e2e96383a2fd 
SHA-1: 6edc8db346032a83402d7104c5783cc1e929e402 
SHA-256: e1c399c29b9379f9d1d3f17822d4496fce8a5123f57b33f00150f287740049e9 
Vhash: 016066656d1555155048z513z3hz2fz 
Imphash: 5361c5aa96802abd7c2d73055f958afa


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Версия 0.1.0 - ноябрь 2023
Версия 0.3.0 - декабрь 2023
Версия 0.3.3 - с середины января 2024.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 27 декабря 2023:
Файл: injector.exe
IOC: VT, TG
Обнаружения: 
DrWeb -> Trojan.Encoder.38397
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.KX
Kaspersky -> Trojan-Ransom.Win32.Encoder.vqr
Malwarebytes -> Ransom.Albabat
Microsoft -> Ransom:Win64/Albabat.AC!MTB
Symantec -> Ransom.Albabat
Tencent -> Malware.Win32.Gencirc.10bf7e5a
TrendMicro -> Ransom.Win64.ALBABAT.THAOBBD




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: FortiGuard Labs (FortiNet), S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 1 ноября 2023 г.

Werewolves

Werewolves Extortion Group

Werewolves Ransomware

Werewolves Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Werewolves Extortion Group

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов, а затем требует выкуп от $100.000 до $1.000.000 и угрожает опубликовать или продать украденные данные, чтобы вернуть файлы. Вымогатели используют  методы двойного вымогательства с угрозой публикации (продажи) украденных данных. Оригинальное название: Werewolves. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: LockBit3 (Black) >> 
Werewolves


Сайт "ID Ransomware" вероятно, это идентифицирует как LockBit 3.0 (не проверено). 



Информация для идентификации

Активность этого крипто-вымогателя против российских компаний и предприятий была замечена с июня по ноябрь 2023 г. Группа ориентирована против русскоязычных бизнес-пользователей (среди них — банки, микрофинансовые организации, предприятия нефтегазового сектора, отели, IT-компании и пр.), но может распространяться по всему миру. Есть сообщения об единичных атаках против иностранных компаний (по странам: Италия, Голландия и пр.), но пока нет документального подтверждения в виде записок о выкупе и образцов вредоносных файлов. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.



Содержание записки о выкупе:
***WEREWOLVES***WEREWOLVES***WEREWOLVES***WEREWOLVES
ВНИМАНИЕ!НЕ ЗАКРЫВАЙТЕ СООБЩЕНИЕ,ПОКА НЕ ОЗНАКОМИТЕСЬ С ИНФОРМАЦИЕЙ.
***ВСЕ ВАШИ ДАННЫЕ УКРАДЕНЫ И ЗАШИФРОВАНЫ***
Отнеситесь к ситуации серьезно.Вся важная конфиденциальная информация из корпоративной сети будет опубликована в сети ТОК,если вы не заплатите.Кроме того будет проведена таргетированная рассылка по базам (учитывая сферу вашей деятельности)со ссылкой на ваши данные,любой желающий сможет скачать и использовать их.Стойкость алгоритма шифрования такова,что используется спецслужбами и военными по всему миру,без ключа вы никогда не сможете дешифровать данные.Каждый ключ уникален.
Обращаем ваше внимание!
Некоторые данные ваших клиентов выгружены и похищены.
В случае не оплаты информация будет точечно предана огласке,что безусловно отразится на вашей репутации.
В случае консенсуса никакая информация не будет разглашена и использована.
***НАШИ ГАРАНТИИ***
Наша группа не имеет отношение к политике-нас интересуют только финансы.
Обращаем Ваше внимание,что дешифровка информации при наличии ключа очень проста,доступна любому пользователю и занимает в среднем менее минуты на одном компьютере-на другой чаше весов ущерб от простоя в работе бизнеса,потеря и разглашение важной информации,ущерб репутации,и прочее...
К моменту,когда вы читаете эти строки у нас есть исчерпывающая информация(в том числе документально подтвержденная) о финансовой составляющей вашей организации,численности персонала,партнерских связях,контактах,бухгалтерской отчетности, личностях руководящего состава и их долях в бизнесе,а так же прочая конфиденциальная информация личного характера.
Мы так же уделяем внимание темным сторонам деятельности компаний при соответсвующем анализе.
Свяжитесь с нами и вы получаете дешифратор,так же мы удаляем всю конфиденциальную информацию.
Дополнительно по запросу вы получите короткие,но профессиональные рекомендации по защите ваших систем от проникновения(что тоже стоит денег).Мы бережем свою репутацию и всегда направляем декриптор после оплаты.
В качестве доказательства мы можем бесплатно дешифровать один файл любого объема.
***ВНИМАНИЕ!
При обращении просим называть имя компании
***ПАРТНЕРСКАЯ ПРОГРАММА***
Наша уважаемая организация работает по всему миру,за исключением стран,непосредственно пострадавших от войн и природных катаклизмов.
Мы атакуем все организации коммерческого спектра,за исключением критической инфраструктуры(такой как больницы,госпитали,прочие медицинские учреждения).
Вы можете стать партнером программы,предоставив нам доступы к К0Р,$МТР и т.д.Вы можете сделать это тайно, запустив предоставленный файл на компьютере партнера.Компании платят нам за расшифровку данных и предотвращение утечки.


Сайт вымогателей (
Data Leak Site)





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: F.A.C.C.T. Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 24 октября 2023 г.

Cataka

Cataka Ransomware

CATAKA Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Cataka Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в $1500 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: clip.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38146
BitDefender -> Generic.Ransom.Small.D5A61D14
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.B
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Chaos.MSIL
Microsoft -> Trojan:Win32/ScarletFlash.A
Rising -> Ransom.HakunaMatata!1.E7BF (CLASSIC)
Tencent -> Malware.Win32.Gencirc.13f35a47
TrendMicro -> Ransom.MSIL.HAKUNAMATATA.THJBEBC
---

© Генеалогия: ✂ Chaos + другой код >>



Сайт "ID Ransomware это не идентифицирует. 



Информация для идентификации

Активность этого крипто-вымогателя была в середине — конце октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется случайное расширение: .<random>

Примеры таких расширений: 
.qMQea
.yPkJX
.5TgUi

Записка с требованием выкупа называется: Readme.txt

Cataka Ransomware note, записка о выкупе


Содержание записки о выкупе:
--- CATAKA RANSOMWARE---
Oops sorry your file has been encrypted using a very strong algorithm.
It might be impossible to open it without a special key from me.
But don't worry, because you can still recover all files that have been encrypted using my key.
To get the key, you can buy it for $1500 using Bitcoin currency.
If you are interested in making a payment, 
Contact email: itsevilcorp90@hotmail.com

Перевод записки на русский язык:
--- CATAKA RANSOMWARE---
К сожалению, ваш файл зашифрован с очень надежным алгоритмом.
Возможно, его невозможно открыть без моего специального ключа.
Но не волнуйтесь, вы можете восстановить все файлы, зашифрованные с помощью моего ключа.
Чтобы получить ключ, вы можете купить его за $1500 в валюте Биткойн.
Если вы заинтересованы в совершении платежа,
Пишите на email: itevilcorp90@hotmail.com


Записка с указанием на прочтение текстового файла написана на изображении, заменяющем обои Рабочего стола: 


Текст на экране:
All your files are stolen and encrypted
Find readme.txt and follow the instruction


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Прибивает приложения, чтобы не мешали шифровать файлы:
agntsvc, CNTAoSMgr, code, dbeng50, dbsnmp, encsvc, excel, firefoxconfig, infopath, isqlplussvc, mbamtray msaccess, msftesql, mspub, mydesktopqos, mydesktopservice, mysqld, mysqld-nt, mysqld-opt, Ntrtscan, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, PccNTMon, powerpnt, ProcessHacker, sqbcoreservice, sqlagent, sqlbrowser, sqlservr, sqlwriter, steam, synctime, tbirdconfig, thebat, thebat64, thunderbird, tmlisten, VBoxSVC, VirtualBoxVM, visio, vmplayer, winword, wordpad, wps, xfssvccon, zoolz 

Список типов файлов, подвергающихся шифрованию:
.1c, .1cd, .3ds, .3fr, .3g2, .3gp, .7z, .7zip, .accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .ace, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .amv, .apk, .arj, .arw, .ascx, .asm, .asmx, .asp, .aspx, .avi, .avs, .backup, .bak, .bay, .bin, .bk, .blob, .bmp, .bz2, .c, .cab, .cer, .cfm, .ckp, .config, .contact, .core, .cpp, .crt, .cs, .css, .csv, .cub, .cvs, .dacpac, .dae, .dat, .db, .db3, .dbc, .dbf, .dbs, .dbt, .dbv, .dbx, .dc3, .dcm, .dcr, .dib, .dic, .dif, .divx, .djvu, .dmg, .doc, .docm, .docx, .dot, .dotx, .dt, .dwg, .dwt, .epsp, .exif, .exr, .f4v, .flv, .frm, .geo, .gif, .gz, .gzip, .htm, .html, .ibank, .ico, .iff, .inc, .indd, .ini, .iso, .jar, .java, .jpe, .jpeg, .jpg, .js, .json, .json, .jsp, .jsp, .jsx .key, .kmz, .kwm, .lnk, .log, .lzh, .lzma, .lzo, .m1v, .m4a, .m4p, .m4v, .max, .mda, .mdb, .mde, .mdf, .mdw, .mht, .mhtml, .mka, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrg, .mrg, .msg, .mwb, .myd, .myi, .ndf, .nef, .nrw, .obj, .odc, .odm, .odp, .ods, .odt, .oft, .onepkg, .onetoc2, .opt, .oqy, .orf, .ova, .p12, .p7b, .p7c, .pam, .pas, .pdb, .pdf, .pfx, .php, .pict, .pl, .pls, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppt, .pptm, .pptx, .ps, .psb, .psd, .pst, .py, .qry, .r3d, .rar, .raw, .rb, .rgbe, .rss, .rtf, .safe, .sdb, .sdf, .settings, .sie, .slk, .sln, .sql, .sqlite, .sqlite3, .stm, .sum, .svg, .svgz, .swf, .swift, .tab, .tar, .tar.gz, .tar.xz, .tbi, .tgz, .tif, .tmd, .torrent, .txt, .txz, .udl, .uxdc, .vb, .vbox, .vbs, .vdi, .vmdk, .vmx, .vob, .vsdx, .vss, .wallet, .wav, .wdb, .webm, .wim, .wma, .wmf, .wmv, .wpd, .wps, .xhtml, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp2, .xz, .z, .zip, .zipx

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, изображения, фотографии, чертежи, 1С-файлы, веб-файлы, музыка, видео, файлы образов, архивы и пр.

Пропускает файлы и папки: 
$recycle.bin,
autorun.inf, 
boot.ini, bootfont.bin, bootmgr, bootmgr.efi, bootmgfw.efi, 
.bat, .bat.exe, clip.exe и другие exe-файлы, 
desktop.ini, iconcache.db, 
ntuser.dat, ntuser.ini, 
thumbs.db, 
windows, windows.old, windows.old.old, 
amd, boot, games, msocache, nvidia, 
documents and settings, intel, perflogs, 
program files, program files (x86), programdata, 


Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;
clip.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: itsevilcorp90@hotmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Скриншоты из pestudio:



Скриншоты из dnSpy:

notes

targeted extensions

RSA key

kill apps


exceptional files

exceptional path

note name

wallpaper message

run bat file

random string RNG

string combo


Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 1974b3efe52893678a024e9fe8ff07a0
SHA-1: 4d5b9d7b81cf7e38e65d402bf30a3b90f7271022
SHA-256: 38e48171841e732efe6ce8b4713c315a805a6cbb347eb98b9a6e4daeb230b095
Vhash: 22403655151d00812b0017
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: PCrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 18 октября 2023 г.

Secles

Secles Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Secles Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями через Telegram, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Secles. На файле написано: нет данных.
---
Обнаружения (публичные образцы самого раннего варианта отсутствуют):
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Secles (2023)
© Генеалогия: TeslaRVNG >> Secles (2024)

Родство подтверждается с образцами, замеченными в 2024 году. Было ли родство изначально, точно пока не подтверждено. 


Сайт "ID Ransomware" идентифицирует это как Secles (c 13 января 2024). 


Информация для идентификации

Активность этого крипто-вымогателя была в середине октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .secles

Фактически для зашифрованных файлов используется не только расширение, но 
составное имя файла по шаблону:
.id[victim_ID].[contact].Original_file_name.doc.secles

Пример зашифрованного файла: 
 .id[iVqVdOay].[t.me_seclesbot].Document.doc.secles

В корне диска создается папка C:\secles

Записка с требованием выкупа называется: ReadMe.txt

Secles Ransomware note, записка о выкупе

Содержание записки о выкупе:
to recover your data install telgram messanger at @seclesbot ( https://t.me/seclesbot ) you will talk with support using the bot , admin will be monitoring
if for any reason bot is not avaiable you can find link and id of new bot at our onion site 
2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion  
you will need to install tor browser for that ( https://www.torproject.org/download/ ) you dont need to install tor if our telegram bot is working
you id is : iVqVdOay
you will get two sample decryption (decoding) before any payment for free 
this is strong ransomware, any day you waste without paying is one business day you waste
our price is reasonable,the wasted days will cost you more 
some notes:
1-although illegal and bad but this is business,you are our client after infection and we will treat you like respectfully like a client and we have reputation 
2-do not delete files at c:\seles , if you want to change os take a backup of the folder 
3-do not play with encrypted file, take a backup if you want to waste some time playing with them
4-if you take a middleman do deal with us directly , take one with good reputation ,we always provide decryptor after payment and only ask for one payment , if you take a random middle man from interner he may take you money and not pay as and disappear or lie to you

Перевод записки на русский язык:
*** Текст записки содержит много ошибок, поэтому переводить его нет смысла. ***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\secles

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @seclesbot
Tor-URL: hxxx://2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion 


Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Публичные образцы 2023 года никем не были предоставлены. 

=== 2024 ===

Вариант от 26 января 2024 или раньше: 
Записка: ReadMe.txt
Telegram: @secles1bot
Tor-URL: 2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion
Файл: Windows Services Logon.vexe



По данным исследователей из F.A.C.C.T. этот образец является вариантом TeslaRVNG (Tesla Revenge) Ransomware v.4.06
Сервис Intezer подтверждает некоторое родство, но более близкое пока не подтверждено, т.к. требуется расширенный анализ и идентификация промежуточных и дополнительных образцов. Непубличные образцы не являются доказательством и не рассматриваются. Доказательства должны быть видимыми и легко проверяемыми. 
IOC: VT, IA, TG
MD5: cbd091cac452f86c94499f712c7fb79b 
SHA-1: 01d48986d1edfdcca9c2585325f37888b2b3ec84 
SHA-256: 5cf6d2669348a6d1652a6cc16734b8ad9d8684658da92236194a939542242df5 
Vhash: 01603e0f7d1013z1011z401013z11z19z15z17z 
Imphash: 02c9446864488a40a05cf42aa61e6228
---
Обнаружения: 
DrWeb > Trojan.Encoder.38545
BitDefender > Trojan.GenericKD.71358850
ESET-NOD32 > A Variant Of Win64/Filecoder.Teslarvng.B
Microsoft > Ransom:Win32/Filecoder.AC!MTB
TrendMicro > Ransom.Win64.SECLESBOT.THABIBD


Вариант от 14 апреля 2024 или ранее: 
Записка: ReadMe.txt
Telegram: @secles1bot
Tor-URL: 2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion.ly



По данным исследователей из F.A.C.C.T. этот образец является вариантом TeslaRVNG (Tesla Revenge) Ransomware v.4.14
Сервис Intezer подтверждает некоторое родство, но более близкое пока не подтверждено, т.к. требуется расширенный анализ и идентификация промежуточных и дополнительных образцов. Непубличные образцы не являются доказательством и не рассматриваются. Доказательства должны быть видимыми и легко проверяемыми. 
IOC: VT, IA, TG
MD5: f5eca9408d0f7e66bf8686fc6f322dea 
SHA-1: c5d3cb9c5bf02dc74ace0b6b3dfbfc7460141a3a 
SHA-256: 5eeb5d3ee576daedae9f3bd64671c002a0d5b80313f78678df449b82335c1130 
Vhash: 01603e0f7d1015z11z401013z11z19z15z17z 
Imphash: 20e5d027176fb4031e5c53138d027f5d
---
Обнаружения: 
BitDefender -> Trojan.GenericKD.72373399
DrWeb -> Trojan.Siggen28.31549
ESET-NOD32 -> A Variant Of Win64/Filecoder.Teslarvng.B
Kaspersky -> Trojan-Ransom.Win32.TeslaRvng.w
Microsoft -> Trojan:Win64/Filecoder!MTB
TrendMicro -> Ransom_TeslaRvng.R023C0XDK24





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***

Thanks: Sandor, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *