Если вы не видите здесь изображений, то используйте VPN.

суббота, 6 июля 2024 г.

ReturnBack

ReturnBack Ransomware

ReturnBackCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


ReturnBack Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать вымогателям, чтобы заплатить выкуп и узнать, как вернуть файлы. Оригинальное название: Locker и Crypt. На файле написано: Crypt_test, Crypt.exe и Copyright © 2024. В некоторых случаях расшифровка возможна. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.40845
BitDefender -> Gen:Variant.Ser.MSILHeracles.3989
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BES
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Filecoder.MSIL.Generic
Microsoft -> Ransom:MSIL/CryptLocker.YCB!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c022be
TrendMicro -> Ransom_CryptLocker.R002C0DGR24
---

© Генеалогия: ✂ BlackDream/BlackLegion + другой код >> 
ReturnBack


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце июля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random>, например: .lGiKf865

Записка с требованием выкупа называется: README.txt

ReturnBack Ransomware note, записка о выкупе

Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED!!!
All your files, documents, photos, databases and other important files are encrypted.
The only way to recover your files is to get a decryptor.
To get the decryptor, write to us by mail or telegram, specify the ID of the encrypted files in the letter:
Email: returnback@cyberfear.com
Telegram: https://t.me/returnbackcyberfearcom
Warning!!!
* Do not rename files.
* Do not attempt to decrypt data using third party software, as this may result in permanent data loss.
* Do not contact other people, only we can help you and recover your data.
Your personal decryption ID: ***

Перевод записки на русский язык:
!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.
Единственный способ восстановить ваши файлы — получить дешифратор.
Чтобы получить дешифратор, напишите нам на почту или в телеграмм, укажите в письме ID зашифрованных файлов:
Email: returnback@cyberfear.com
Telegram: https://t.me/returnbackcyberfearcom
Внимание!!!
* Не переименовывайте файлы.
* Не пытайтесь расшифровать данные с помощью стороннего ПО, так как это может привести к безвозвратной потере данных.
* Не обращайтесь к другим людям, только мы можем помочь вам и восстановить ваши данные.
Ваш персональный decryption ID: ***



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
Crypt.exe - название вредоносного файла; компиляция файла фальшивая (указан 2053 год).
Crypt.exe.log - видимо лог работы файла шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\60610c3e46cad3e438\README.txt
C:\Users\Administrator\Desktop\Lock\Locker\obj\Debug\Crypt.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: returnback@cyberfear.com
Telegram: returnbackcyberfearcom
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, IA, TG, AR
MD5: c9fc5ead99455414732c85614c676afa 
SHA-1: 99ae4a704b37bd1c3f190f99b52493f68bcbe3df 
SHA-256: aa99c913decb96133a013abe8d71a057862e3328e8297c959c8eeb063c283a66 
Vhash: 214036551511508aa1z78 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 9 июля или раньше:
Расширение: .7rd0ioOQ9
Записка: README.txt
Email: decryptor@cyberfear.com
Telegram: hxxxs://t.me/bit_decryptor






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
🔓🔑
Under certain conditions, decryption is possible. Write to Topic of Support. В некоторых случаях дешифровка возможна. Пишите в тему поддержки.

Thanks: quietman7, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 1 июля 2024 г.

CyberVolk

CyberVolk Ransomware

Aliases: CyberBytes, Cyb3r Bytes

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


CyberVolk Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+SHA-512+RSA-4096, а затем требует выкуп $1000 в BTC, чтобы вернуть файлы. Оригинальное название: CyberVolk. На файле написано: ransom.exe. Написан на C/C++. Группа называет себя CyberVolk. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.39187
BitDefender -> Trojan.GenericKD.73332128
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQW
Kaspersky -> HEUR:Trojan-Ransom.Win32.GenericCryptor.gen
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Ransom:Win32/CyberVolk.PA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c01876
TrendMicro -> Ransom_CyberVolk.R002C0DG524
---

© Генеалогия: родство выясняется >> 
CyberVolk


Сайт "ID Ransomware" идентифицирует это как CyberVolk с 5 июля 2024. 



Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .cvenc 

Записка с требованием выкупа называется: CyberVolk_ReadMe.txt

CyberVolk Ransomware note, записка о выкупе


Содержание записки о выкупе:
Greetings.
 All your files have been encrypted by CyberVolk ransomware.
 Please never try to recover your files without decryption key which I give you after pay. 
They could be disappeared� 
You should follow my words.
Pay $1000 BTC to below address.
My telegram : @hacker7
Our Team : https://t.me/cubervolk
We always welcome you and your payment.


Требования выкупа также написаны на экране блокировки, кроме того, меняются обои рабочего стола на собственные с тем же кибер-волком.  






✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CyberVolk_ReadMe.txt - название файла с требованием выкупа;
tmp.bmp - изображение, заменяющее обои рабочего стола; 
time.dat - специальный файл с цифрами; 
ransom.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\Rar$DRb3416.36390\ransom.exe
C:\Users\admin\AppData\Roaming\time.dat
C:\Users\admin\AppData\Local\Temp\tmp.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
Telegram: @hacker7
Telegram:  hxxxs://t.me/hackerk7
Telegram:  hxxxs://t.me/cubervolk
BTC: bc1q3c9pt084cafxfvyhn8wvh7mq04rq6naew0mk87

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VTIA, TG, AR 
MD5: 648bd793d9e54fc2741e0ba10980c7de 
SHA-1: f5d0c94b2be91342dc01ecf2f89e7e6f21a74b90 
SHA-256: 102276ae1f518745695fe8f291bf6e69856b91723244881561bb1a2338d54b12 
Vhash: 086046655d1567z90058hz12z1bfz 
Imphash: f032b4cc0eb4f2eac3f528efe4c73962


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыдущий вариант от 25 июня 2024:
Самоназвание: Cyb3r Bytes (Cyberbytes) Ransomware 
Группа хакеров: Cyb3r Bytes Team
Расширение: .cvenc
Записка: CyberVolk_ReadMe.txt
Telegram: @xpolarized
Team: hxxxs://t.me/cyb3rbytes
IOC-1: VT, IA
IOC-2: VTIA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.39188
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQWFortinet
Malwarebytes -> Ransom.CyberVolk
Microsoft -> Ransom:Win32/CyberVolk.PA!MTB
TrendMicro -> Ransom_CyberVolk.R011C0DG624






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Topic of Support ***

Thanks: S!Ri, petik, pcrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 22 июня 2024 г.

Wikipedia

Wikipedia Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Wikipedia Ransomware

Этот крипто-вымогатель шифрует данные пользователей и виртуальных машин с помощью комбинации алгоритмов AES-128 CTR и RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
Пострадавшие, сообщают, что дешифровщик, полученный после уплаты выкупа не работает с файлами больше 4 Гб и вымогатели не отвечают на претензии. Но, как показывает опыт, некоторые большие файлы могут быть повреждены после резета ПК, потому проблема может быть и не связана с дешифровщиком. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
Wikipedia


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в июне 2024 г. и продолжилась в июле 2024. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wikipedia


Записки с требованием выкупа могут называться: 
how_to_decrypt_files.txt 

Wikipedia Ransomware note, записка о выкупе

* Содержание записки, возможно частично изменено пострадавшим перед передачей файла. 

Содержание записки о выкупе:
ATTENTION !
All your files have been securely ENCRYPTED.
No third party decryption software EXISTS.
MODIFICATION or RENAMING encrypted files may cause decryption failure.
To start the decryption process, Contact me.
My email address: widosru39@tutamail.com
After the payment has been confirmed,
you will receive the decryptor for decryption!
Other information:
If you don't own bitcoin, you can buy it very easily here.
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com
You can find a larger list here:
https://bitcoin.org/en/exchanges



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
 VHD-файлы виртуальных машин.


Файлы, связанные с этим Ransomware:
read me.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: widosru39@tutamail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.





IN RUSSIAN: Для расшифровки файлов и исправления ошибок в шифровании обращайтесь в тему поддержки на форуме Bleeping Computer. Помощь предоставляется только пострадавшим, без посредников. 
---
IN ENGLISH: To decrypt files and fix files encryption errors, please contact the Support Topic on the Bleeping Computer forum. Assistance is provided only to affected users (extortion victims), without intermediaries.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Прямого родства пока не обнаружено. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 июля 2024:
Расширение: .wikipedia
Записка: how_to_decrypt_files.txt 
Email: itlomec2938@proton.me







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: quietman7, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 20 июня 2024 г.

Cicada3301

Cicada3301 Ransomware

Cicada3301 Extortion Group

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Cicada3301 Ransomware

Этот крипто-вымогатель, используемый группой хакеров-вымогателей, шифрует данные бизнес-пользователей Windows, Linux, NAS, VMware ESXi с помощью комбинации алгоритмов ChaCha20+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cicada3301. На файле написано: нет данных. Написан на языке программирования Rust. 
---
Обнаружения:
DrWeb -> Trojan.Dridex.864, Trojan.Dridex.863, Trojan.Encoder.41002
BitDefender -> ***
ESET-NOD32 -> A Variant Of Win32/Filecoder.ORN
Kaspersky -> Trojan-Ransom.Win32.Agent.bbut
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Trojan:Win32/Malgent!MSR, Ransom:Win32/Cicada.DA!MTB
QuickHeal > Ransom.Cicada.S34143970
Rising -> Trojan.Malgent!8.10C33 (CLOUD), Ransom.Agent!8.6B7
Tencent -> Malware.Win32.Gencirc.10c044db, Malware.Win32.Gencirc.10c04256, Malware.Win32.Gencirc.10c043e9
TrendMicro -> Ransom.Win32.CICADA.YXEID
---

© Генеалогия: ✂ ALPHV/BlackCat >> 
Cicada3301


Сайт "ID Ransomware" идентифицирует это как Cicada3301 с 7 августа 2024. 


Информация для идентификации

Активность этой группы вымогателей началась в начале-середине июня 2024 г., с момента публикации сообщения о первой жертве. Далее они стали себя продвигать на форуме RAMP в Даркнете. Ориентирован на англоязычных пользователей, средний и крупный бизнес. Может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .<random>

Записка с требованием выкупа называется: RECOVER-<extension>-DATA.txt



Содержание сайта хакеров-вымогателей:

Пострадавшие компании с 15 июня по 12 августа 2024. 









Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Впервые представители Cicada3301 стали рекламировать свое детище как RaaS и набирать аффилянтов 24 июня 2024 года, опубликовав сообщение на русском языке на форуме Даркнета, известном как RAMP. Аффилянтам запрещено атаковать объекты в станах СНГ. 


Вымогатели могут установить параметр сна, чтобы отложить выполнение шифрования и избежать немедленного обнаружения.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ На атакованных компьютерах и виртуальных машинах перед шифрованием данных удаляются теневые копии файлов и моментальные снимки, чтобы свести к минимуму возможности восстановления данных без уплаты выкупа. 

Список типов файлов, подвергающихся шифрованию:
.bmp, .doc, .docm, .docx, .dotm, .dotx, .gif, .jpeg, .jpg, .mdf, .odp, .ods, .odt, .pdf, .png, .potm, .ppsm, .ppsx, .pptm, .pptx, .psd, .ptox, .raw, .rtf, .sql, .tiff, .txt, .webp, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xltx, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов и пр.

Подробности о шифровании:  
Шифровальщик проверяет размер целевого файла. Если файл больше 0x6400000, то он будет шифровать файл по частям, а если меньше, то будет шифроваться весь файл. Файлы будут зашифрованы симметричным ключом, сгенерированным OsRng с использованием ChaCha20. После завершения шифрования программа-вымогатель шифрует ключ ChaCha20 с помощью предоставленного ключа RSA и записывает расширение в зашифрованный файл.

Файлы, связанные с этим Ransomware:
RECOVER-<extension>-DATA.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://cicadabv7vicyvgz5khl7v2x5yygcgow7ryy6yppwmxii4eoobdaztqd.onion/
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, IA, TG, AR
---
IOC: VT, IA, TG, AR
---
IOC: VT, IA, TG, AR


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support Added later: Write-up, Write-up

Thanks: TrueSec, JAMESWT Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *