Fog Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.39051
BitDefender -> Trojan.GenericKD.72709544
ESET-NOD32 -> Win32/Agent.AGMY
Kaspersky -> Trojan-Ransom.Win32.Agent.bbre
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Rapidstop.E!cl
Rising -> Trojan.Kryptik!8.8 (TFE:2:Ypv5fBuNKuN)
Tencent -> ***
TrendMicro -> Ransom.Win32.FOG.THEOFBD
---
© Генеалогия: родство выясняется >> Fog
Информация для идентификации
Активность этого крипто-вымогателя была замечена группой реагирования на инциденты Arctic Wolf с начала мая 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Был замечен в атаках на неназванных бизнес-пользователей в США.
К зашифрованным файлам добавляются расширения: .fog или .flocked
Записка с требованием выкупа называется: readme.txt
Оригинал записки не был предоставлен исследователями. Странные пошли исследователи...
Фраза с сайта вымогателей:
We call ourselves Fog and we take responsibility for this incident.
Перевод фразы на русский язык:
Мы называем себя Fog и берем ответственность за этот инцидент.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует известные свободно распространяемые инструменты PsExec, Metasploit, SoftPerfect Network Scanner, Advanced Port Scanner, SharpShares и файл PowerShell-скрипта Get-Creds.ps1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
Записка с требованием выкупа называется: readme.txt
Оригинал записки не был предоставлен исследователями. Странные пошли исследователи...
Фраза с сайта вымогателей:
We call ourselves Fog and we take responsibility for this incident.
Перевод фразы на русский язык:
Мы называем себя Fog и берем ответственность за этот инцидент.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует известные свободно распространяемые инструменты PsExec, Metasploit, SoftPerfect Network Scanner, Advanced Port Scanner, SharpShares и файл PowerShell-скрипта Get-Creds.ps1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
DbgLog.sys - специальный файл, используемый вымогателем для собственных целей;
Get-Creds.ps1 - скрипт PowerShell, используемый для получения паролей от Veeam Backup и Replication Credentials Manager;
locker_out.exe, lck.exe, fs.exe - названия вредоносных файлов в разных вариантах.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
locker_out.exe, lck.exe, fs.exe - названия вредоносных файлов в разных вариантах.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\locker_out.exe
C:\Users\User\AppData\Local\Temp\DbgLog.sys
C:\Users\User\Desktop\DbgLog.sys
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://xql562evsy7njcsngacphc2erzjfecwotdkobn3m4uxu2gtqh26newid.onion/
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://xql562evsy7njcsngacphc2erzjfecwotdkobn3m4uxu2gtqh26newid.onion/
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
MD5: 617d79c02ebac68b613d5b7cdbf001fd
SHA-1: 83f00af43df650fda2c5b4a04a7b31790a8ad4cf
SHA-256: e67260804526323484f564eebeb6c99ed021b960b899ff788aed85bb7a9d75c3
Vhash: 015066655d75155560a3z12z4ehz33z2fz
Imphash: 3aee5e872c96d4317cae38099830979c
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: ArcticWolf, MalwareHunterTeam, petik Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.