RansomBoggs Ransomware
Sullivan Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> неизвестно
BitDefender -> неизвестно
ESET-NOD32 -> MSIL/Filecoder.Sullivan.A, MSIL/Filecoder.RansomBoggs.A
Kaspersky -> неизвестно
Malwarebytes -> неизвестно
Microsoft -> неизвестно
Rising -> неизвестно
Tencent -> неизвестно
TrendMicro -> неизвестно
---
© Генеалогия: предыдущие разработки >> RansomBoggs
Обнаружения:
DrWeb -> неизвестно
BitDefender -> неизвестно
ESET-NOD32 -> MSIL/Filecoder.Sullivan.A, MSIL/Filecoder.RansomBoggs.A
Kaspersky -> неизвестно
Malwarebytes -> неизвестно
Microsoft -> неизвестно
Rising -> неизвестно
Tencent -> неизвестно
TrendMicro -> неизвестно
---
© Генеалогия: предыдущие разработки >> RansomBoggs
Активность этого крипто-вымогателя была замечена в ноябре 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Так как компания ESET, описавшая этого вымогателя, как инструмент атаки ГРУ на Украину, находится в Словакии (член НАТО с 2004 года), много раз замечена в русофобском и антироссийском настроении, потому верить очередному "выплеску русофобии" нет необходимости. Антивирусные продукты ESET много лет занимаются шпионажем в пользу НАТО, потому должны быть удалены со всех компьютеров в России, Беларуси и изъяты из продаж в магазинах.
Здесь мы только суммируем информацию. Программа-вымогатель есть, угроза шифрования файлов существует, а кто её запускает — это другая тема.
К зашифрованным файлам добавляется расширение: .chsch
Записка с требованием выкупа называется: SullivanDecryptsYourFiles.txt
Записка с требованием выкупа называется: SullivanDecryptsYourFiles.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Для атаки используются технологии Microsoft, встроенные в Windows, в том числе PowerShell. Сама программа-вымогатель написана на языке .NET, который тоже является разработкой Microsoft. Это еще раз подтверждается их вредоносность.
Немного о шифровании:
Dear human life form!
This is James P. Sullivan, an employee of Monsters, Inc.
Recently our company has again expecienced great financial problems and we require some cash to move on with our electronic crap.
So we are relying on you in these hard times and are crying for help.
I am extremely sorry for the inconvenience but I am currently encrypting your documents using AES-128.
This key is encrypted using RSA public key and saved to aes.bin file:
[ C:\Users\Administrator\Desktop\aes.bin ]
Please, DO NOT WORRY! I have a decrypting functionality too.
Just don't delete aes.bin, please. You will need it!
==================================================
You just need to contact me:
m0nsters-tnc@proton.me
https://t.me/m0nsters_tnc
TOX 76F64AF81368A06D514A98C129F56EF09950A8C7DF19BB1B839C996436DCD36A6F27C4DF00A6
==================================================
Перевод записки на русский язык:
Дорогая человеческая форма жизни!
Это Джеймс П. Салливан, сотрудник Monsters, Inc.
Недавно наша компания снова получила большие финансовые проблемы и нам нужны деньги, продолжить работу с электронным дерьмом.
Поэтому мы надеемся на вас в эти трудные времена и просим помощи.
Приносим извинения за неудобства, но сейчас я шифрую ваши документы с помощью AES-128.
Этот ключ зашифрован с открытым ключом RSA и сохранен в файле aes.bin:
[ C:\Пользователи\Администратор\Рабочий стол\aes.bin ]
Пожалуйста, не беспокойся! У меня тоже есть функция расшифровки.
Только не удаляйте aes.bin, пожалуйста. Вам это понадобится!
==================================================
Вам просто нужно связаться со мной:
m0nsters-tnc@proton.me
https://t.me/m0nsters_tnc
TOX 76F64AF81368A06D514A98C129F56EF09950A8C7DF19BB1B839C996436DCD36A6F27C4DF00A6
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Для атаки используются технологии Microsoft, встроенные в Windows, в том числе PowerShell. Сама программа-вымогатель написана на языке .NET, который тоже является разработкой Microsoft. Это еще раз подтверждается их вредоносность.
Немного о шифровании:
RansomBoggs генерирует случайный ключ и шифрует файлы, используя AES-256 в режиме CBC (а не AES-128, как указано в записке), и добавляет к файлу расширение .chsch. Затем ключ шифруется RSA и записывается в aes.bin. В зависимости от варианта вредоносного ПО открытый ключ RSA может быть жестко запрограммирован в самом образце вредоносного ПО или предоставлен в качестве аргумента.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
aes.bin - специальный файл с открытым ключом RSA;
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
aes.bin - специальный файл с открытым ключом RSA;
SullivanDecryptsYourFiles.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Administrator\Desktop\aes.bin
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: m0nsters-tnc@proton.me
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: m0nsters-tnc@proton.me
Telegram: @m0nsters_tnc
TOX: 76F64AF81368A06D514A98C129F56EF09950A8C7DF19BB1B839C996436DCD36A6F27C4DF00A6 BTC: -
См. ниже в обновлениях другие адреса и контакты.
IOC: VT, HA, IA, TG, AR, VMR, JSB
VT: F4D1C047923B9D10031BB709AABF1A250AB0AAA2
VT: 021308C361C8DE7C38EF135BC3B53439EB4DA0B4
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***
Thanks: ESET research, BleepingComputer Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.