Cloak

Cloak Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов шифрования, используемых в ARCrypt, а затем требует написать в чат на сайте вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41633
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Cloak
Microsoft -> Ransom:Win32/Babuk!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Babuk
Tencent -> Malware.Win32.Gencirc.10c075b9
TrendMicro -> Ransom_Babuk.R06CC0DCU25
---

© Генеалогия: ✂ Babuk + другой код >> Cloak

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в ноябре-декабре 2024 и продолжилась в 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .crYpt

Записка с требованием выкупа называется: readme_for-unlock.txt

Содержание записки о выкупе:

!!! ATTENTION !!!

Your network is hacked and files are encrypted.

Including the encrypted data we also downloaded other confidential information:

Data of your employees, customers, partners, as well as accounting and

other internal documentation of your company.

All data is stored until you will pay.

After payment we will provide you the programs for decryption and we will delete your data.

If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:

1) The personal information of your employees and customers may be used to obtain a loan or

purchases in online stores.

2) You may be sued by clients of your company for leaking information that was confidential.

3) After other hackers obtain personal data about your employees, social engineering will be

applied to your company and subsequent attacks will only intensify.

4) Bank details and passports can be used to create bank accounts and online wallets through

which criminal money will be laundered.

5) You will forever lose the reputation.

6) You will be subject to huge fines from the government.

You can learn more about liability for data loss here:

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

https://gdpr-info.eu/

Courts, fines and the inability to use important files will lead you to huge losses.

The consequences of this will be irreversible for you.

Contacting the police will not save you from these consequences,

but will only make your situation worse.

You can get out of this situation with minimal losses

To do this you must strictly observe the following rules:

DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.

Such actions may DAMAGE them and decryption will be impossible.

DO NOT use any third party or public decryption software, it may also DAMAGE files.

DO NOT Shutdown or Reboot the system this may DAMAGE files.

DO NOT hire any third party negotiators (recovery/police, etc.)

You need to contact us as soon as possible and start negotiations.

Instructions for contacting our team:

Download & Install TOR browser: https://torproject.org

For contact us via LIVE CHAT open our

> Website: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

> Login: CLIENT

> Password: D01EuXJTiTnWR5S*****

If Tor is restricted in your area, use VPN

Меняет обои Рабочего стола на собственное изображение с текстом. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает Брандмауэр Windows для всех сетей, отключает Диспетчер задач.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_for-unlock.txt - название файла с требованием выкупа;

wallpaper.bmp - файл изображения, заменяющий обои Рабочего стола; 
d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Programdata\wallpaper.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:

-A- -R- -C- -R- -Y- -P- -T- -E- -R-

Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Сетевые подключения и связи:
Tor-URL: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR 

MD5: a99e3627afb443440686fcb10491d954 

SHA-1: ff14a3919c9e4bd0dd4e1b964017de64a0298318 

SHA-256: d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8 

Vhash: 07403e0f7d1015z11z41z1dz1011z1fz 

Imphash: ec87726c07cd7d8c71e0d2c74f21ea77

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 24 декабря:

IOC: IA

=== 2025 ===

Вариант от 27 марта 2025: 

Сообщение >>

IOC: VT, IA, TG

MD5: 4b61967fdf02be7687b1490e15b9fd68 

SHA-1: fad1ec3f9014432f8bc878c1424c7a7e56d6d729 

SHA-256: f4ca0aaa779663297a6fb634fb3c9f775230e52a9fa733073fe8057b0e70a0f5 

Vhash: 01503e0f7d1bz4hz1lz 

Imphash: 394560d9c73b5168747c25caeda6ba9f

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41633

BitDefender -> Gen:Variant.Lazy.627266

ESET-NOD32 -> A Variant Of Win64/TrojanDropper.Agent.LQ

Malwarebytes -> Ransom.Cloak

TrendMicro  -> TROJ_GEN.R002H09CR25

---

Еще один:

IOC: VT, IA + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Killnet

Killnet Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует связаться с вымогателями через Telegram, чтобы узнать как заплатить выкуп и восстановить доступ к своим  файлом. Оригинальное название: Killnet. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41525
BitDefender -> Trojan.GenericKD.74882601
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Ransom.Killnet
Microsoft -> Ransom:Win64/LockFile.E!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c06cba
TrendMicro -> Ransom_LockFile.R002C0DKD24
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине ноября 2024 г. Ориентирован на российских и русскоязычных пользователей, может распространяться и дальше.

К зашифрованным файлам добавляется расширение: .encrypted

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Добрый день! Вас приветствует KILLNET. Вас взломали, все ваши данные теперь принадлежат нам. Ваши компьютеры зашифрованы, а доступ к ним заблокирован. Чтобы вернуть доступ к вашим данным, вам необходимо связаться с нами в мессенджере Telegram, указав в поиске наш ник: @killnet_admin1234. У вас есть 24 часа на связь, иначе все ваши данные будут удалены навсегда.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @killnet_admin1234

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 003a07edaa89b9eea34af223b4f41b49 

SHA-1: 8d849af2da15c5e276c82cc7387df6765f788055 

SHA-256: c669cb70d13fc719fdc4fc3f95666761558a51609eb03e60b8443b81ada25469 

Vhash: 076056656d156561a3z72z6dnz55z67z 

Imphash: 8375c8ffa7db6351deba403a7b77ea2a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PlayBoy

PlayBoy Ransomware

PlayBoy Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует перейти на сайт в сети Tor, чтобы узнать, как заплатить выкуп и вернуть свои файлы. Оригинальное название: PlayBoy LOCKER. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.41208
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.PlayBoy
Microsoft -> Ransom:Win32/Plboy.YAA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c0625d
TrendMicro -> Ransom.Win32.PLYBOY.THJBHBD
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .PLBOY

Записка с требованием выкупа называется: INSTRUCTIONS.txt

Содержание записки о выкупе:

PlayBoy LOCKER

Hi!

Your files have been stolen and encrypted. We are ready to publish your stolen data on our blog

You can buy our decrypt service, to decrypt your files and avoid data leakage.

We are waiting for you here!

URL: ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion/***

Login Password ***

Заменяет обои Рабочего стола собственным изображением с небольшим текстом.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS.txt - название файла с требованием выкупа;
e_win_2ba742c2c8309d404eec1844b9d7b2ac.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f33eb2cc612e2c0d369f0d444617f48e 

SHA-1: bdeb8e2e680e842fe5cd8459e293fa409f9b1297 

SHA-256: 3030a048f05146b85c458bcabe97968e5efdd81b224b96c30c83b74365839e7b 

Vhash: 045056655d1515616za00881z201bz2011z3fz 

Imphash: 1a0077923e0fb734384e59114b8265a3

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SafePay

SafePay Ransomware

SafePay Hacking Team

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов ChaCha20 + X25519, а затем требует написать на email, связаться через сайты в сети Tor и через децентрализованный мессенджер TON, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: SafePay, указано в записке и на сайтах вымогателей. На файле написано: нет данных. Хакеры-распространители: SafePay Team. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Variant.Adware.Barys.696
ESET-NOD32 -> A Variant Of Generik.LIMCAPV
Kaspersky -> Trojan.Win32.Agent.xbutvh
Malwarebytes -> Malware.AI.3907704461
Microsoft -> Trojan:Win32/Malgent!MSR
Rising -> Trojan.Undefined!8.1327C (CLOUD)
Tencent -> Malware.Win32.Gencirc.14253ea6
TrendMicro -> TROJ_GEN.R002H01AG25
---

© Генеалогия: ✂ из разного кода >> SafePay

Сайт "ID Ransomware" идентифицирует это как SafePay с 7 ноября 2024.  

Информация для идентификации

Активность этого крипто-вымогателя была замечена в октябре - ноябре 2024 г. Ориентирован на англоязычных пользователей. Нацелен на средний и крупный бизнес. Может распространяться по всему миру. Подтвержденные инциденты зафиксированы в Великобритании, США, Австралии, Италии, Новой Зеландии, Канаде, Аргентине, Бельгии, Барбадосе, Бразилии и Германии. В ноябре на сайтах вымогателей в списке было 22 жертвы. 

К зашифрованным файлам добавляется расширение: .safepay

Записка с требованием выкупа называется: readme_safepay.txt

Содержание записки о выкупе:

Greetings! Your corporate network was attacked by SafePay team.

Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.

It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.

ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.

Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.

Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.

We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.

In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.

In order to contact us, please use emails below:

1. ***@protonmail.com

2. ***@protonmail.com

Our blog: 

http://***.onion

Download and install Tor Browser https://www.torproject.org/

Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.

Our TON blog:

tonsite://safepay.ton

You can connect through your Telegramm account. 

Перевод записки на русский язык:

Приветствую! Ваша корпоративная сеть подверглась атаке со стороны команды SafePay.

Ваши ИТ-специалисты допустили ряд ошибок при настройке безопасности вашей корпоративной сети, поэтому мы смогли провести в ней довольно много времени и скомпрометировать вас.

Именно неправильная настройка вашей сети позволила нашим экспертам атаковать вас, поэтому относитесь к этой ситуации как к платному тренингу для ваших системных администраторов.

Мы потратили время на анализ ваших данных, включая всю конфиденциальную и конфиденциальную информацию. В результате все важные файлы были зашифрованы, а наиболее интересные для нас были украдены и теперь хранятся на защищенном сервере для дальнейшего использования и публикации в Интернете с открытым доступом.

Теперь у нас есть ваши файлы, такие как: финансовая отчетность, интеллектуальная собственность, бухгалтерские записи, иски и жалобы, файлы персонала и клиентов, а также файлы, содержащие информацию о банковских реквизитах, транзакциях и другой внутренней документации.

Кроме того, мы успешно заблокировали большинство серверов, которые имеют для вас жизненно важное значение, однако после достижения соглашения мы разблокируем их как можно скорее, и ваши сотрудники смогут возобновить свои ежедневные обязанности.

Мы предлагаем взаимовыгодное решение этой проблемы. Вы отправляете нам платеж, и мы сохраняем в тайне факт взлома вашей сети, удаляем все ваши данные и предоставляем вам ключ для расшифровки всех ваших данных.

В случае соглашения наша репутация является гарантией того, что все условия будут выполнены. Никто никогда не будет вести с нами переговоры позже, если мы не выполним свою часть, и мы это четко осознаем! Мы не являемся политически мотивированной группой и не хотим ничего, кроме денег. Если вы заплатите, мы выполним все условия, о которых договорились в процессе переговоров.

Чтобы связаться с нами, используйте адреса электронной почты ниже:

1. ***@protonmail.com

2. ***@protonmail.com

Наш блог:

http://***.onion

Скачайте и установите Tor Browser https://www.torproject.org/

Свяжитесь с нами и ждите ответа, мы гарантируем, что ответим как можно скорее и еще раз все вам объясним более подробно.

Наш блог TON:

tonsite://safepay.ton

Вы можете подключиться через свой аккаунт Telegramm.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

➤ С списке используемых для похищения данных и вымогательства приложения: PowerShell, FileZilla, WinRAR.

➤ Повышение привилегий

Для повышения привилегий SafePay использует технику UAC Bypass Privilege Escalation, тактику, ранее связанную с LockBit и ALPHV/BlackCat. Она включает эксплуатацию процесса DllHost.exe и злоупотребление функциональностью COM-объекта (в частности, CMSTPLUA) для выполнения вредоносных команд с повышенными привилегиями.

➤ Начало атаки

Атака начинается с эксплуатации открытых конечных точек RDP, используя плохо защищенные или неправильно настроенные параметры RDP, что позволяет злоумышленникам получить несанкционированный доступ к корпоративной среде. Затем используется Living Off the Land Binaries (LOLBins), такие как SystemSettingsAdminFlows.exe, чтобы отключить основные функции безопасности Windows Defender. Затем, выполняя ряд команд отключает защиту в реальном времени, отправку образцов и другие защитные механизмы, эффективно нейтрализуя встроенную защиту.

➤ Использование возможностей PowerShell

После успешного отключения средств безопасности SafePay развертывает вредоносный скрипт ShareFinder.ps1 для сканирования сети в поисках  доступных общих ресурсов, выявления конфиденциальных данных и составления карты потенциальных путей бокового перемещения. Это помогает идентифицировать высокоценные цели и подготовиться к эксфильтрации или шифрованию данных. Помимо ShareFinder.ps1, могут использоваться и другие скрипты, инструменты или тактики, чтобы углубить позиции злоумышленников и сохранить устойчивость в скомпрометированной сети.

➤ Процесс выполнения и прекращение обслуживания

SafePay нацеливается на критические процессы и службы. Используя функцию ZwTerminateProcess, завершает процессы, необходимые для баз данных, резервного копирования и приложений производительности. Основные цели: службы баз данных (sql, oracle, dbsnmp), инструменты резервного копирования (encsvc, xfssvccon) и приложения (word, excel, onenote, outlook).

SafePay останавливает критические службы, используя функцию ControlService. Фокусируется на отключении системных и резервных служб, (vss, sqlsvc),антивирусных решений (Sophos и пр.). Эта двухуровневая стратегия гарантирует нейтрализацию защитных механизмов, что значительно усложняет усилия по восстановлению и защите. 

➤ Эксфильтрация данных

В рамках своей работы SafePay включает фазу эксфильтрации данных для расширения возможностей вымогательства. Сначала злоумышленники архивируют конфиденциальные файлы с помощью WinRAR.exe, применяя определенные параметры для оптимизации процесса путем исключения некритических типов файлов, таких как .jpeg, .mov и .exe. Этот избирательный подход гарантирует, что фокус остается на ценных данных.

После фазы архивации злоумышленники переносят собранные данные на удаленные серверы с помощью FileZilla. Затем FileZilla удаляется. 

➤ Проверка локализации

SafePay проверяет, не запущен ли он в одной из стран Восточной Европы. Для этого вызывается GetSystemDefaultUILanguage и проверяется, что полученный идентификатор языка больше идентификаторов кириллического языка. 

➤ Шифрование

После завершения эксфильтрации SafePay шифрует файлы, добавляя расширение .safepay. Это делает критически важные файлы недоступными, оказывает давление на жертву, чтобы она выполнила требования выкупа. Для информирования в каталогах с зашифрованными файлами оставляется записка о выкупе readme_safepay.txt с инструкциями по уплате выкупа и  связи с вымогателями через Tor-сайты (.onion) и мессенджер TON, что обеспечивает анонимность контакта.

Список останавливаемых процессов: 

sql

oracle

ocssd

dbsnmp

synctime

agntsvc

isqlplussvc

xfssvccon

mydesktopservice

ocautoupds

encsvc

firefox

tbirdconfig

mydesktopqos

ocomm

dbeng50

sqbcoreservice

excel

infopath

msaccess

mspub

far

onenote

outlook

powerpnt

steam

thebat

thunderbird

visio

winword

wordpad

notepad

wuauclt

onedrive

sqlmangr

Список останаливаемых служб: 

vss

sqlsvc

memtas

mepocs

msexchange

Sophos

Veeam

backup

GxVss

GxBlr

GxFWD

GxCVD

GxCIMgr

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, некоторые типы изображений, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_safepay.txt - название файла с требованием выкупа;

ShareFinder.ps1 - PowerShell-скрипт; 
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 

xxxx://iieavvi4wtiuijas3zw4w54a5n2srnccm2fcb3jcrvbb7ap5tfphw6ad.onion

xxxx://qkzxzeabulbbaevqkoy2ew4nukakbi4etnnkcyo3avhwu7ih7cql4gyd.onion

TON: xxxsite://safepay.ton

Email: ***@protonmail.com, ***@protonmail.com
BTC: -

C2C: 45.91.201.247

77.37.49.40

80.78.28.63

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: d1f621b82822b544153f6b531e51a611 

SHA-1: 4278801d47b15c1e9ef94c28c599c3156fd65812 

SHA-256: a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526 

Vhash: 1150566d151d156bzenz7ez2 

Imphash: 37fbdf024566a44c7d1a9acd4db9607d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Huntress, Red Piranha, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.