Lotus Ransomware
Lotus NAS-Encrypt Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: Babuk >> Babuk for NAS >> Lotus
Ранняя активность этого крипто-вымогателя была замечена в начале мая 2024 г. и, видимо, продолжалась в течении месяца. Ориентирован на англоязычных пользователей, но может распространяться по всему миру. Среди первых пострадавших были российские пользователи NAS (сетевых хранилищ).
К зашифрованным файлам добавляется расширение: .lotus
Записка с требованием выкупа называется: README-LOTUS.txt
Записка с требованием выкупа называется: README-LOTUS.txt
Содержание записки о выкупе:
If you see this, your files were successfully encrypted.
We advice you not to search free decryption method.
It's impossible. We are using symmetrical and asymmetric encryption.
ATTENTION:
- Don't rename encrypted files.
- Don't change encrypted files.
- Don't use third party software.
To reach an agreement we offer you to contact with us.
How to contact with us:
* Download Tor Browser:
Visit torproject.org/download.
Download and install the Tor Browser.
* Launch Tor Browser:
Open the Tor Browser on your device.
* Connect to Tor Network:
Click "Establish a Connection."
* Enter onion Address:
Copy and paste address below in the address bar:
hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/***
* Purchase decrypter software from the page.
Перевод записки на русский язык:
Если вы видите это, ваши файлы были успешно зашифрованы.
Мы советуем вам не искать бесплатный метод расшифровки.
Это невозможно. Мы используем симметричное и асимметричное шифрование.
ВНИМАНИЕ:
- Не переименовывайте зашифрованные файлы.
- Не меняйте зашифрованные файлы.
- Не используйте стороннее программное обеспечение.
Для достижения соглашения мы предлагаем Вам связаться с нами.
Как связаться с нами:
* Загрузите Tor Browser:
Посетите torproject.org/download.
Загрузите и установите браузер Tor.
* Запустите браузер Tor:
Откройте браузер Tor на своем устройстве.
* Подключитесь к сети Tor:
Нажмите «Установить соединение».
* Введите луковый адрес:
Скопируйте и вставьте адрес ниже в адресную строку:
hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/***
* Приобретите программу для дешифрования со страницы.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию NAS-устройств, в том числе через RDP уязвимой операционной системы, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! NAS-устройства не защищены от атак программ-вымогателей, даже, если производители утверждают обратное.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Немного о шифровании:
Файлы размером более 20 мегабайт шифруются мегабайтными блоками через каждые 10 мегабайт. В файлах менее 20 мегабайт шифруется начальная часть файлов размером не более 4 мегабайта.
После шифрования данных файла в его конец добавляется блок метаданных размером 38 байтов (публичный ключ для файла + маркер, например AB BC CD DE EF F0).
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README-LOTUS.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***
Thanks: rivitna, quietman7 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.