Если вы не видите здесь изображений, то используйте VPN.

понедельник, 15 апреля 2024 г.

Obsidian ORB, LethalLock

Obsidian Ransomware

LethalLock Ransomware

Variants: Obsidian ORB, Obsidian Cpt

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 10$ Roblox Giftcard, чтобы вернуть файлы. Оригинальное название: Obsidian ORB Ransomware и LETHAL LOCK. На файле написано: surprise.exe. В разных вариантах могут использоваться разные шифровальщики (см. "Обновления" внизу статьи). 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35905
BitDefender -> Trojan.GenericKD.72447540
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.C
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> MachineLearning/Anomalous.94%
Microsoft -> Ransom:MSIL/FileCoder.YG!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Agent.16000623
TrendMicro -> Ransom_FileCoder.R002C0DDF24
---

© Генеалогия: Chaos >> 
BlackSnake > Obsidian ORB, LethalLock > Obsidian Cpt


Сайт "ID Ransomware" это пока не идентифицирует. Идентификация разных вариантов может отличаться от первоначального. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине апреля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляются расширения:
.LethalLock
. LethalLock

Зашифрованный файл выглядит следующим образом:


Записка с требованием выкупа называется: read_it.txt



Содержание записки о выкупе (read_it.txt):
YOUR PC HAS JUST BEEN INFECTED WITH OBSIDIAN ORB RANSOMWARE!
-----------------------------------------------------------------------------------
THIS MEANS, ALL OF YOUR FILES HAVE BEEN ENCRYPTED AND CAN ONLY BE DECRYPTED USING OUR PERSONAL SOFTWARE! THE PRICE FOR THIS SOFTWARE IS TO YOUR CHOOSING OUT OF THESE:
10$ ROBLOX GIFTCARD (https://www.amazon.com/Robux-Roblox-0nline-Game-Code/dp/B07RZ74VLR?ref_-ast_sto_dp&th-1*psc-1)
10$ PAYSAFE GIFTCARD (COULDNT FIND A LINK TO BUY ONE, BUY IRL THEN)
1x PAYDAY 2 STEAM KEY (https://www.kinguin.net/en/category/2257/payday-2-steam-cd-key)
10$ STEAM GIFTCARD (https://www.kinguin.net/category/27303/steam-wallet-card-a-10-global-activation-code)
10$ PRE PAID DEBIT CARD (VISA OR MASTERCARD ARE PREFERD)
SEND EITHER ONE TO *******************@proton.me within 42h or your pc will be locked completly! YOUR KERNEL IS INFECTED! IF YOU RESET, YOUR PC WILL NOT WORK ANYMORE AND ALL OF YOUR INFO WILL BE SPREAD ON THE INTERNET!


Еще одна записка с предложением решения называется: SOLUTION_NOTE.txt

Содержание этой записки:
Oh, what an exquisite predicament has befallen you!
We take immense pleasure in informing you, without the slightest pang of regret that your server security has been breached & immortalized by LETHAL LOCK, a majestic entity in the realm of cyber command.
Marvel at the masterpiece of encryption we have orchestrated, utilizing algorithms of such complexity and military-grade standards that they render your critical documents as elusive as a mirage in the desert.
Your files now dance to the tune of an encryption algorithm so intricate, so enigmatic, that mortals tremble at its sight.
Should you dare to defy our demands, be prepared for the consequences — your data will remain locked away forever and we will sell them to a third party on the Dark Web or use them as a trade by barter on the Dark-Web to get higher upgraded tools to dismantle your organization within a twinkle of an eye.
Any futile attempts to decipher this cryptographic masterpiece, appeal to law enforcement, or seek assistance from less reputable cybersecurity entities will only hasten the irreversible disappearance of your confidential datas and the swift deletion of the decryption key.
Your enduring rule, should you choose to accept it, is to comply with our ransom payment demands within 72 hours (3days). Failure to meet this demand will result in the permanent loss of your decryption key, accompanied by a symphony of data obfuscation maneuvers that thwart even the most valiant attempts at file recovery.
To embark on this momentous path of payment and data liberation:
1) Reach out to our esteemed customer support service on Telegram: @lethallock (For those evading payment, we suggest enjoying a hot cup of coffee while witnessing the swift datas/files wipe out orchestrated by the Lethal Lock algorithms).
2) Acquire and transfer 25 bitcoins with express efficiency. Remember, our treasuries crave bitcoins, and in return, we will provide you with the coveted decryption key that unlocks the chest of digital wealth.
Follow these crucial instructions:
1) Keep your computer powered on and connected to the digital world.
2) Resist all temptations to use data recovery tools without our permission.
3) Execute the bitcoin transfer with surgical precision before the time extinguish your chance for redemption.
In your cryptographic triumph,
Van Dmitry Vladimir
Senior Director of Operations
Lethal Lock Tech Company - LLTC


Заменяет обои рабочего стола на собственное изображение:




На сайте исследователей из Cyble показано другое изображение. 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Отключает диспетчер задач через изменение реестра.


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускает следующие файлы
:
boot.ini
bootfont.bin
ntuser.dat
ntuser.dat.log
ntuser.ini
autorun.inf
bootsect.bak
desktop.ini

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
SpartanTitle Visual.exe, surprise.exe, svchost.exe - названия вредоносных файлов. 






Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ***@proton.me 
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 5668c99abad5da137b901ea5e024638f 
SHA-1: 4718b08ab5f28437c972f030d23bd2a6535224a7 
SHA-256: 378048eb77eec0197bedba1659883e06d43fb6b0c8bf312f9a7ef90d115022b7 
Vhash: 28503615551f00b1911z37 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 18 июня 2024:
Самоназвание: LockBIT и Obsidian Ransomware
Шифрование: AES ECB, потому сравнение оригинальных файлов с зашифрованными не поможет. 
Расширение: .ObsidianCpt
Записка: Readme.txt
Email: obsidiancpt@zohomail.eu
Telegram: @ObsidianCpt
Файл проекта: C:\zxc\LockBIT\LockBIT\LockBIT\obj\Debug\ObsidianCpt.pdb
Файл: ObsidianCpt.exe
IOC: VT, IA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.112
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BBZ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Generic!8.E315 (CLOUD)
TrendMicro -> Ransom.MSIL.OBSIDANCPT.THGOEBD
Ключи реестра: 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ObsidianCpt






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: pcrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 9 апреля 2024 г.

Risen

Risen Ransomware

Risen Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы вернуть файлы. В случае отказа, угрожает продать или опубликовать украденную информацию.  Оригинальное название: Risen. На файле написано: Risen.exe.
---
Обнаружения:
DrWeb -> Trojan.Siggen28.22418
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win32/Filecoder.BlackHunt.B
Kaspersky -> Trojan.Win32.Diztakun.cdhg
Malwarebytes -> Ransom.Risen
Microsoft -> Ransom:Win32/ContiCrypt.PADD!MTB
Rising -> Ransom.Destructor!1.B060 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bfd320
TrendMicro -> Ransom.Win32.RISNE.THDAGBD
---

© Генеалогия: ✂ BlackHunt >> 
Risen


Сайт "ID Ransomware" идентифицирует это как Risen (с 16.4.2024). 




Информация для идентификации

Активность этого крипто-вымогателя была в марте-апреле 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random_ID>
Фактически используется составное расширение по шаблону: 
.[ransom_email, TELEGRAM:ID].random_ID

Пример такого расширения: 
.[dectokyo@onionmail.org, TELEGRAM:@tokyosupp].IKA1UBO0IZ

Записки с требованием выкупа называются: 
$Risen_Note.txt
$Risen_Guide.hta


Содержание записки о выкупе (файл txt):
RisenNote :
Read this text file carefully.
We have penetrated your whole network due some critical security issues.
We have encrypted all of your files on each host in the network within strong algorithm.
We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
the only way to stop this process is successful corporation.
We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
The only situation for recovering your files is our decryptor,
there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
so be aware of them.
Remember, you can send Upto 3 test files for decrypting, before making payment,
we highly recommend to get test files to prevent possible scams.
In order to contact us you can either use following email :
Email address : dectokyo@onionmail.org , TELEGRAM:@tokyosupp
Or If you weren't able to contact us whitin 24 hours please Email : dectokyo@cock.li
Leave subject as your machine id : IKA1UBO0IZ
If you didn't get any respond within 72 hours use our blog to contact us, 
therefore we can create another way for you to contact your cryptor as soon as possible.
 BLOG : http://s2wk77h653qn54csf4gp52orhem4y72dgxsquxulf255pcymazeepbyd.onion/


Содержание записки о выкупе (файл hta):





Изображение, заменяющее обои Рабочего стола:



Скриншоты с сайта вымогателей: 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
$Risen_Note.txt - название файла с требованием выкупа;
$Risen_Guide.hta - название файла с требованием выкупа;
Risen_ID.txt - файл с ID жертвы; 
$Risen[IKA1UBO0IZ].Private, $Risen[GL6MNBAZEJ].Private - примеры специальных файлов; 
$Risen[IKA1UBO0IZ].Public, $Risen[GL6MNBAZEJ].Public - примеры специальных файлов;  
RisenBackGround.JPG - оригинальное изображение вымогателя, заменяющее обои Рабочего стола; 
Risen.exe - название вредоносного файла;
Risen.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
E:\repos\Risen\Release\Risen.pdb
C:\$Risen[GL6MNBAZEJ].Private

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://s2wk77h653qn54csf4gp52orhem4y72dgxsquxulf255pcymazeepbyd.onion
Email: dectokyo@onionmail.org, dectokyo@cock.li
Telegram: @tokyosupp
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, IA, TG, AR 
MD5: 0444b3d690823924667302cfae1f0655 
SHA-1: 737d0d001e60ce20c8f35a2bbac0f4d525b96174 
SHA-256: 3b685f4a59211225997256a5cd900f44953bba276b6eb92545966b35b6ef89b5 
Vhash: 01503e0f7d1019z47z1015z1011z1fz 
Imphash: fab4e9a968fb3915529500556d72d8c6


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 30 июля 2024: 
Записки: $Risen_Note.txt, $Risen_Guide.hta
Email-1: Default@firemail.de
Email-2: default1@tutamail.com 
Специальный файл: $Risen[WMWHP614XE].Private
C:\ProgramData\$Risen[WMWHP614XE].Private
IOC: VT, IA, TG








=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: Threat Intelligence, MalwareHunterTeam Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 8 апреля 2024 г.

Crocodile Smile

Crocodile Smile Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English


Crocodile Smile Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 20,6 BTC, чтобы вернуть файлы. 
Оригинальное название: Crocodile Smile Ransomware, указано в записке. На файле написано: Xview.exe. Запрашивает нереальную для уплаты выкупа сумму в BTC. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35905
BitDefender -> Trojan.GenericKD.72342699
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.C
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Neshta.Virus.FileInfector.DDS
Microsoft -> Ransom:MSIL/FileCoder.YG!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Agent.16000623
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14
---

© Генеалогия: Chaos >> BlackSnake >> 
Crocodile Smile


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .CrocodileSmile

Crocodile Smile Ransomware note, записка о выкупе

Записка с требованием выкупа называется: READ_SOLUTION.txt


Содержание записки о выкупе:
If you are opportune to see this message right now, that means your data security has been compromised !!!
You have been hit hard by a sophisticated Ransomware Attack by CROCODILE SMILE, LOL. This Attack is known as OPERATION FLUSH.
All your critical and confidential files, including private documents, photos, databases, and other important informations, have been encrypted, leaked, and transferred to our servers.
In accordance with European data protection regulations, we are reaching out to inform you of this breach and to offer assistance in recovering your encrypted files. 
We acknowledge the gravity of the situation and are fully dedicated to swiftly delivering a solution. Our priority is to safeguard your organization's reputation and ensure the confidentiality of your files and documents remains intact, free from any leaks or compromises.
To initiate the decryption process and retrieve your files, please follow these official steps:
    1) Contact our designated communication channel via Telegram ID: CrocodileSmile
    2) Make the necessary arrangements to obtain 20.6 Bitcoin, as payment for the decryption service. Please note that decryption can only be completed upon receipt of payment in Bitcoins.
3) Upon successful payment, we will provide you with the decryption key required to swiftly decrypt all affected files. We assure you that compliance with these instructions is crucial for the recovery of your data.
We urge you to act swiftly to mitigate further data loss and restore the integrity of your information assets. Should you require any clarification or assistance, do not hesitate to contact us through the designated communication channel.


Перевод записки на русский язык:
Если вы видите это сообщение прямо сейчас, это значит, что безопасность ваших данных нарушена!!!
Вы сильно пострадали от сложной Ransomware атаки от CROCODILE SMILE, LOL. Эта атака известна как OPERATION FLUSH.
Все ваши критически важные и конфиденциальные файлы, включая личные документы, фотографии, базы данных и другую важную информацию, были зашифрованы, раскрыты и переданы на наши серверы.
В соответствии с европейскими правилами защиты данных мы обращаемся к вам, чтобы сообщить вам об этом нарушении и предложить помощь в восстановлении ваших зашифрованных файлов.
Мы осознаем серьезность ситуации и стремимся к быстрому поиску решения. Нашим приоритетом является защита репутации вашей организации и обеспечение сохранения конфиденциальности ваших файлов и документов, без каких-либо утечек или компрометации.
Чтобы начать процесс расшифровки и получить файлы, выполните следующие официальные действия:
 1) Контакт по указанному каналу связи через Telegram ID: CrocodileSmile.
 2) Примите необходимые меры для получения 20,6 BTC в качестве оплаты за услугу расшифровки. Обратите внимание, что расшифровка может быть завершена только после получения оплаты в биткойнах.
3) После успешной оплаты мы предоставим вам ключ дешифрования, необходимый для быстрой расшифровки всех затронутых файлов. Мы заверяем вас, что соблюдение этих инструкций имеет решающее значение для восстановления ваших данных.
Мы призываем вас действовать быстро, чтобы предотвратить дальнейшую потерю данных и восстановить целостность ваших информационных активов. Если вам потребуются какие-либо разъяснения или помощь, не стесняйтесь обращаться к нам по указанному каналу связи.


Кроме того Crocodile Smile меняет обои Рабочего стола на свое фото с крокодилами (файл 3zg21xzy6.jpg). 






Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Почти все популярные типы файлов. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_SOLUTION.txt - название файла с требованием выкупа;
Xview.exe - название вредоносного файла;
3zg21xzy6.jpg - изображение, заменяющее обои Рабочего стола.  



Файл READ_SOLUTION.txt добавляется в Автозагрузку и показывается на фоне картинки с крокодилами при каждом включения компьютера. 



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram ID: CrocodileSmile
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, IA, TG, AR
MD5: bc7d2982cf93e751f42e42e649856949 
SHA-1: 5d760bf9bacdd2dbb77c1c31af142025fe8a1a91 
SHA-256: 88003a5d7e92939d923369ef7d7a9d54230dd8aa1e97760a04df75b89aa62126 
Vhash: 24503615151f00b1911z37  
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744



Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: pcrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 3 апреля 2024 г.

Сделайте Добро!



Спасибо, что зашли к нам сегодня!

Станьте Добрым Волшебником, помогите детям! 

С 2016 года мы помогаем людям делать добрые дела вместе с проверенными фондами. Вы можете выбрать кому помочь сейчас. 

Просто знайте, что завтра проснётся ребёнок, которому вы помогли сегодня! Каждый пожертвованный рубль действительно решает судьбы детей. Поэтому, пожалуйста, не думайте, что ваши 50, 100, 500 рублей (долларов или евро) не спасут жизнь. 


Нажмите на ссылку и на открывшемся сайте выберите кому Вы хотите помочь. Любая денежная сумма пойдет на доброе дело, поможет людям или животным. Если люди еще могут как-то помочь друг другу, то животные, наши милые меньшие братья-сестры, сами себе не помогут. Наши предки говорили: «Вернее собаки зверя нет! Милее кошки зверя нет!»... И были тысячи раз правы.

Махатма Ганди говорил: «Величие и моральный прогресс нации можно измерить тем, как эта нация относится к животным». Ученые, мыслители, врачи разных эпох отмечали прямую взаимосвязь бесправия животных с бесправием людей: тому, кто спокойно убивает животное, не составит труда убить и человека. 

Всякий раз, когда Вы получаете зарплату или деньги за сделанную работу, пожертвуйте хоть 100 рублей (долларов или евро) на Доброе дело! И Добро вернётся к Вам сторицей! 






© Amigo-A (Andrew Ivanov) и Добро Mail.ru (Россия) 

вторник, 5 марта 2024 г.

REDCryptoApp

REDCryptoApp Ransomware

REDCryptoApp Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


REDCryptoApp Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует заплатить выкуп, чтобы украденные хакерами данные не были опубликованы. Оригинальное название: REDCryptoApp. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> REDCryptoApp


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце февраля - начале марта 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди пострадавших крупные компании в США и Европе. 

К зашифрованным файлам добавляется расширение: .REDCryptoApp

Записка с требованием выкупа называется: HOW_TO_RESTORE_FILES.REDCryptoApp.txt

REDCryptoApp Ransomware note, записка о выкупе

Содержание записки о выкупе:
Attention!
----------------------------
| What happened?
----------------------------
We hacked your network and safely encrypted all of your files, documents, photos, databases, and other important data with reliable algorithms.
You cannot access your files right now, But do not worry You can get it back! It is easy to recover in a few steps.
We have also downloaded a lot of your private data from your network, so in case of not contacting us these data will be release publicly.
Everyone has a job and we have our jobs too, there is nothing personal issue here so just follow our instruction and you will be ok.
Right now the key of your network is in our hand now and you have to pay for that.
Plus, by paying us, you will get your key and your data will be earse from our storages and if you want you can get advise from us too, in order to make your network more than secure before.
----------------------------
| How to contact us and get my files back?
----------------------------
The only method to decrypt your files and be safe from data leakage is to purchase a unique private key which is securely stored in our servers.
To contact us and purchase the key you have to get to the link below :
Onion Link : 
hxxx://33zo6hifw4usofzdnz74fm2zmhd3zsknog5jboqdgblcbwrmpcqzzbid.onion/99c0d8f3e55abe9594b665/v8GyukYzp3g2n/login
Hash ID : iuemspodbry***
!Important! : This is a unique link and hash for your network so don't share these with anyone and keep it safe.
----------------------------
| How to get access to the Onion link ?
----------------------------
Simple :
1- Download Tor Browser and install it. (Official Tor Website : torproject.org)
2- Open Tor Browser and connect to it.
3- After the Connection, Enter the Onion Link and use your Hash ID to login to your panel.
----------------------------
| What about guarantees?
----------------------------
We understand your stress and worry.
So you have a FREE opportunity to test a service by instantly decrypting for free some small files from your network.
after the payment we will help you until you get your network back to normal and be satesfy.
Dear System Administrators,
Do not think that you can handle it by yourself.
By hiding the fact of the breach you will be eventually fired and sometimes even sued.
Just trust us we've seen that a lot before.
----------------------------
| Follow the guidelines below to avoid losing your data:
----------------------------
!Important!
 -Do not modify or rename encrypted files. You will lose them.
 -Do not report to the Police, FBI, EDR, AV's, etc. They don't care about your business. They simply won't allow you to pay. As a result you will lose everything.
 -Do not hire a recovery company. They can't decrypt without the key. They also don't care about your business. They believe that they are smarter than us and they can trick us, but it is not. They usually fail. So speak for yourself.
 -Do not reject to purchase, Exfiltrated files will be publicly disclosed.
!Important!
-------------------------------------------------------------------------------

Перевод записки на русский язык:
Внимание!
----------------------------
| Что случилось?
----------------------------
Мы взломали вашу сеть и надежно зашифровали все ваши файлы, документы, фотографии, базы данных и другие важные данные с помощью надежных алгоритмов.
Вы не можете получить доступ к своим файлам прямо сейчас, но не волнуйтесь, вы можете получить их обратно! Легко восстановиться за несколько шагов.
Мы также загрузили много ваших личных данных из вашей сети, поэтому, если вы не свяжетесь с нами, эти данные будут опубликованы публично.
У каждого есть работа, и у нас тоже есть работа, здесь нет ничего личного, так что просто следуйте нашим инструкциям, и все будет в порядке.
Прямо сейчас ключ от вашей сети находится в наших руках, и вам придется за это заплатить.
Кроме того, заплатив нам, вы получите свой ключ, и ваши данные будут удалены из наших хранилищ, и, если вы хотите, вы также можете получить от нас консультацию, чтобы заранее сделать вашу сеть более чем безопасной.
----------------------------
| Как связаться с нами и вернуть мои файлы?
----------------------------
Единственный способ расшифровать ваши файлы и обезопасить себя от утечки данных — это приобрести уникальный закрытый ключ, который надежно хранится на наших серверах.
Чтобы связаться с нами и приобрести ключ, вам необходимо перейти по ссылке ниже:
Ссылка на Onion:
hxxx://33zo6hifw4usofzdnz74fm2zmhd3zsknog5jboqdgblcbwrmpcqzzbid.onion/99c0d8f3e55abe9594b665/v8GyukYzp3g2n/login
Hash ID: iuemspodbry***
!Важно! : это уникальная ссылка и хеш для вашей сети, поэтому никому не передавайте их и храните в безопасности.
----------------------------
| Как получить доступ к ссылке Onion?
----------------------------
Простой :
1- Загрузите Tor Browser и установите его. (Официальный сайт Tor: torproject.org)
2- Откройте браузер Tor и подключитесь к нему.
3. После подключения введите луковую ссылку и используйте свой хэш-идентификатор для входа в свою панель.
----------------------------
| А как насчет гарантий?
----------------------------
Мы понимаем ваш стресс и беспокойство.
Таким образом, у вас есть БЕСПЛАТНАЯ возможность протестировать сервис, мгновенно бесплатно расшифровав несколько небольших файлов из вашей сети.
после оплаты мы будем помогать вам, пока вы не вернете свою сеть в нормальное состояние и не будете удовлетворены.
Уважаемые системные администраторы,
Не думайте, что вы сможете справиться с этим самостоятельно.
Если вы скроете факт нарушения, вас в конечном итоге уволят, а иногда даже подадут в суд.
Просто поверьте нам, мы видели это много раз раньше.
----------------------------
| Следуйте приведенным ниже рекомендациям, чтобы не потерять свои данные:
----------------------------
!Важно!
  -Не изменяйте и не переименовывайте зашифрованные файлы. Вы потеряете их.
  - Не сообщайте в полицию, ФБР, EDR, AV и т. д. Им плевать на ваш бизнес. Вам просто не дадут заплатить. В результате вы потеряете все.
  - Не нанимайте компанию по восстановлению. Без ключа они не смогут расшифровать. Им также плевать на ваш бизнес. Они считают, что они умнее нас и могут нас обмануть, но это не так. Обычно они терпят неудачу. Так что говорите за себя.
  - Не отказывайтесь от покупки. Украденные файлы будут опубликованы.
!Важно!


Список жертв на сайте вымогателей:

Пострадавшие сообщают, что это список не менялся с конца февраля. 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE_FILES.REDCryptoApp.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://33zo6hifw4usofzdnz74fm2zmhd3zsknog5jboqdgblcbwrmpcqzzbid.onion/
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: alex_jvg Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *