Obsidian Ransomware
LethalLock Ransomware
Variants: Obsidian ORB, Obsidian Cpt
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.35905
BitDefender -> Trojan.GenericKD.72447540
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.C
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> MachineLearning/Anomalous.94%
Microsoft -> Ransom:MSIL/FileCoder.YG!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Agent.16000623
TrendMicro -> Ransom_FileCoder.R002C0DDF24
---
© Генеалогия: Chaos >> BlackSnake > Obsidian ORB, LethalLock > Obsidian Cpt
Сайт "ID Ransomware" это пока не идентифицирует. Идентификация разных вариантов может отличаться от первоначального.
Информация для идентификации
Активность этого крипто-вымогателя была в середине апреля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляются расширения:
.LethalLock
. LethalLock
Зашифрованный файл выглядит следующим образом:
Зашифрованный файл выглядит следующим образом:
Содержание записки о выкупе (read_it.txt):
YOUR PC HAS JUST BEEN INFECTED WITH OBSIDIAN ORB RANSOMWARE!
-----------------------------------------------------------------------------------
THIS MEANS, ALL OF YOUR FILES HAVE BEEN ENCRYPTED AND CAN ONLY BE DECRYPTED USING OUR PERSONAL SOFTWARE! THE PRICE FOR THIS SOFTWARE IS TO YOUR CHOOSING OUT OF THESE:
10$ ROBLOX GIFTCARD (https://www.amazon.com/Robux-Roblox-0nline-Game-Code/dp/B07RZ74VLR?ref_-ast_sto_dp&th-1*psc-1)
10$ PAYSAFE GIFTCARD (COULDNT FIND A LINK TO BUY ONE, BUY IRL THEN)
1x PAYDAY 2 STEAM KEY (https://www.kinguin.net/en/category/2257/payday-2-steam-cd-key)
10$ STEAM GIFTCARD (https://www.kinguin.net/category/27303/steam-wallet-card-a-10-global-activation-code)
10$ PRE PAID DEBIT CARD (VISA OR MASTERCARD ARE PREFERD)
SEND EITHER ONE TO *******************@proton.me within 42h or your pc will be locked completly! YOUR KERNEL IS INFECTED! IF YOU RESET, YOUR PC WILL NOT WORK ANYMORE AND ALL OF YOUR INFO WILL BE SPREAD ON THE INTERNET!
Еще одна записка с предложением решения называется: SOLUTION_NOTE.txt
Содержание этой записки:
Oh, what an exquisite predicament has befallen you!
We take immense pleasure in informing you, without the slightest pang of regret that your server security has been breached & immortalized by LETHAL LOCK, a majestic entity in the realm of cyber command.
Marvel at the masterpiece of encryption we have orchestrated, utilizing algorithms of such complexity and military-grade standards that they render your critical documents as elusive as a mirage in the desert.
Your files now dance to the tune of an encryption algorithm so intricate, so enigmatic, that mortals tremble at its sight.
Should you dare to defy our demands, be prepared for the consequences — your data will remain locked away forever and we will sell them to a third party on the Dark Web or use them as a trade by barter on the Dark-Web to get higher upgraded tools to dismantle your organization within a twinkle of an eye.
Any futile attempts to decipher this cryptographic masterpiece, appeal to law enforcement, or seek assistance from less reputable cybersecurity entities will only hasten the irreversible disappearance of your confidential datas and the swift deletion of the decryption key.
Your enduring rule, should you choose to accept it, is to comply with our ransom payment demands within 72 hours (3days). Failure to meet this demand will result in the permanent loss of your decryption key, accompanied by a symphony of data obfuscation maneuvers that thwart even the most valiant attempts at file recovery.
To embark on this momentous path of payment and data liberation:
1) Reach out to our esteemed customer support service on Telegram: @lethallock (For those evading payment, we suggest enjoying a hot cup of coffee while witnessing the swift datas/files wipe out orchestrated by the Lethal Lock algorithms).
2) Acquire and transfer 25 bitcoins with express efficiency. Remember, our treasuries crave bitcoins, and in return, we will provide you with the coveted decryption key that unlocks the chest of digital wealth.
Follow these crucial instructions:
1) Keep your computer powered on and connected to the digital world.
2) Resist all temptations to use data recovery tools without our permission.
3) Execute the bitcoin transfer with surgical precision before the time extinguish your chance for redemption.
In your cryptographic triumph,
Van Dmitry Vladimir
Senior Director of Operations
Lethal Lock Tech Company - LLTC
Заменяет обои рабочего стола на собственное изображение:
На сайте исследователей из Cyble показано другое изображение.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Отключает диспетчер задач через изменение реестра.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
При шифровании пропускает следующие файлы:
boot.ini
bootfont.bin
ntuser.dat
ntuser.dat.log
ntuser.ini
autorun.inf
bootsect.bak
desktop.ini
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
SpartanTitle Visual.exe, surprise.exe, svchost.exe - названия вредоносных файлов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: ***@proton.me
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 5668c99abad5da137b901ea5e024638f
SHA-1: 4718b08ab5f28437c972f030d23bd2a6535224a7
SHA-256: 378048eb77eec0197bedba1659883e06d43fb6b0c8bf312f9a7ef90d115022b7
Vhash: 28503615551f00b1911z37
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 18 июня 2024:
Самоназвание: LockBIT и Obsidian Ransomware
Шифрование: AES ECB, потому сравнение оригинальных файлов с зашифрованными не поможет.
Расширение: .ObsidianCpt
Записка: Readme.txt
Email: obsidiancpt@zohomail.eu
Telegram: @ObsidianCpt
Файл проекта: C:\zxc\LockBIT\LockBIT\LockBIT\obj\Debug\ObsidianCpt.pdb
Файл: ObsidianCpt.exe
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.112
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BBZ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Generic!8.E315 (CLOUD)
TrendMicro -> Ransom.MSIL.OBSIDANCPT.THGOEBD
Ключи реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ObsidianCpt
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: pcrisk Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.