Cactus

Cactus Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует от своих жертв крупный выкуп, чтобы получить возможность вернуть файлы. Оригинальное название: Cactus, указано в записке. 

---
Обнаружения (нет раннего образца, см. Обновления):
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Cactus

Сайт "ID Ransomware" идентифицирует это как Cactus. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине марта 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

При подготовке файла к шифрованию Cactus меняет его расширение на .CTS0. После шифрования расширение становится .CTS1.

У Cactus также есть "быстрый режим", который похож на легкий проход шифрования. Последовательный запуск вредоносной программы в быстром и обычном режимах приводит к двойному шифрованию одного и того же файла и добавлению нового расширения после каждого процесса (например, .CTS1 - .CTS7).

Записка с требованием выкупа называется: cAcTuS.readme.txt

Содержание записки о выкупе:

Your systems were accessed and encrypted by Cactus.

To recover your files and prevent data disclosure contact us via eieail: cactus@mexicomail.com

Your unique 10 reference: ***

Backup contact: TOX (https://tox.chat/):

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Подробности атаки и шифрования: 

Cactus получает первоначальный доступ к сети крупных коммерческих организаций, используя известные уязвимости в устройствах Fortinet VPN.

Во всех расследованных инцидентах хакеры проникали внутрь с VPN-сервера, используя учетную запись службы VPN.

Использование шифрования для защиты двоичного файла программы-вымогателя отличает Cactus от других выомгателей. Используется пакетный сценарий для получения двоичного файла шифратора с помощью 7-Zip. Исходный ZIP-архив удаляется, а двоичный файл развертывается с особым флагом, разрешающим его выполнение. Весь процесс необычен и исследователи полагают, что он предназначен для предотвращения обнаружения шифровальщика-вымогателя.

По данным исследователей из компании Kroll, существует три основных режима выполнения, каждый из которых выбирается с помощью определенного параметра командной строки: настройка (-s) , чтение конфигурации ( -r ) и шифрование ( -i ).

Аргументы -s и -r позволяют злоумышленникам настроить постоянство и сохранить данные в файле C:\ProgramData\ntuser.dat, который позже будет прочитан шифровальщиком при запуске с аргументом командной строки -r .

Чтобы шифрование файла было возможным, необходимо предоставить уникальный ключ AES, известный только злоумышленникам, с использованием аргумента командной строки -i .

Этот ключ необходим для расшифровки файла конфигурации программы-вымогателя, а открытый ключ RSA необходим для шифрования файлов. Он доступен в виде шестнадцатеричной строки, жестко закодированной в двоичном файле шифратора.

Декодирование HEX-строки предоставляет фрагмент зашифрованных данных, который разблокируется с помощью ключа AES.

Cactus, по сути, шифрует себя, что затрудняет его обнаружение и помогает обойти антивирусные инструменты и инструменты сетевого мониторинга. 

Запуск двоичного файла с правильным ключом для  параметра -i  (шифрование) разблокирует информацию и позволяет вредоносному ПО искать файлы и запускать процесс многопоточного шифрования.

Процесс шифрования файла

Схема от Kroll объясняет процесс выполнения двоичного кода Cactus в соответствии с выбранным параметром.

Процесс выполнения двоичного кода

Схема работы программы-вымогателя

Использование легитимных инструментов: 

Попав в сеть, злоумышленник использовал запланированное задание для постоянного доступа с помощью бэкдора SSH, доступного с сервера управления и контроля (C2). В частности, используется SoftPerfect Network Scanner (netscan) для поиска интересных целей в сети. Для более глубокой разведки злоумышленники используют команды PowerShell для перечисления конечных точек, идентификации учетных записей пользователей путем просмотра успешных входов в систему в средстве просмотра событий Windows и проверки связи с удаленными хостами.

Cactus использует модифицированный вариант инструмента PSnmap Tool с открытым исходным кодом, который является эквивалентом PowerShell сетевого сканера nmap.

Для запуска различных инструментов, необходимых для атаки, Cactus Ransomware пробует несколько методов удаленного доступа с помощью легитимных инструментов (Splashtop, AnyDesk, SuperOps RMM), а также Cobalt Strike и прокси-инструмента Chisel на базе Go. После повышения привилегий на машине операторы Cactus запускают пакетный скрипт, который удаляет наиболее часто используемые антивирусные продукты.

Кража данных: 

Кроме этого Cactus крадет данные жертв. Для этого процесса злоумышленник использует инструмент Rclone для передачи файлов прямо в облачное хранилище. После кражи данных хакеры используют сценарий PowerShell под названием TotalExec, который часто встречается в атаках BlackBasta Ransomware, чтобы автоматизировать развертывание процесса шифрования.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cAcTuS.readme.txt - название файла с требованием выкупа;

TotalExec.ps1, psnb.ps1, f1.bat, f2.bat - вредоносные сценарии; 
a12b-e4fg-c12g-zkc2.exe, abc1-d2ef-gh3i-4jkl.exe - примерные названия вредоносного файла и его копии;

 conhost.exe - вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cactus@mexicomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 78aea93137be5f10e9281dd578a3ba73

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 24 апреля 2023:

IOC: VT, IA

MD5: 1add9766eb649496bc2fa516902a5965 

SHA-1: 48d1971ec7b17adaa8189089a97503afa705ae14 

SHA-256: 0933f23c466188e0a7c6fab661bdb8487cf7028c5cec557efb75fde9879a6af8 

Vhash: 04603e0f7d5019z401fz13z15z17z 

Imphash: 35bc16e5f49a914ec22a20433406e198

Обнаружения: 

DrWeb -> Trojan.Packed2.49146

BitDefender -> Generic.Ransom.Cactus.A.74FAA5BC

ESET-NOD32 -> A Variant Of Win64/Filecoder.Cactus.A

Kaspersky -> Trojan-Ransom.Win32.Cactus.a

Malwarebytes -> Ransom.Cactus.Generic

Microsoft -> Ransom:Win32/Cactus!rfn

Rising -> Ransom.Cactus!8.1825A (TFE:5:BuExtmWB5aO)

TrendMicro -> Ransom.Win64.KAKTOS.A

Вариант от 26 июля 2023:

IOC: VT, IA

MD5: 3dc738d44d0a5fe03568e09d59203a79 

SHA-1: 9cecac7e4cb7c0ae39a03f7e9e07d42239d04589 

SHA-256: 4e5e5eacd75cab2eee63c5ad53b368e8fdf23ac379c04de87ef4922146271ebc 

Vhash: 04603e0f7d5019z401fz13z15z17z 

Imphash: 35bc16e5f49a914ec22a20433406e198

Обнаружения: 

DrWeb -> Trojan.Packed2.49146

BitDefender -> Generic.Ransom.Cactus.A.825730FB

ESET-NOD32 -> A Variant Of Win64/Filecoder.Cactus.A

Kaspersky -> Trojan-Ransom.Win32.Cactus.z

Malwarebytes -> Ransom.Cactus.Generic

Microsoft -> Ransom:Win32/Cactus!rfn

Rising -> Ransom.Cactus!8.1825A (TFE:5:BuExtmWB5aO)

Tencent -> Malware.Win32.Gencirc.10beb4c6

TrendMicro -> TROJ_FRS.0NA103G324

Вариант от 14 декабря 2023:

IOC: VT, IA

MD5: 9a3d11b64e78895b8997fc7ad471655e 

SHA-1: 7d41bf2d9198334aeb4c7b3c0b6fa336750ae17d 

SHA-256: bc5c9d8699c0e66b3f38d5449aa661f5e0e8a5a406c78611eeb090aea96f299e 

Vhash: 04603e0f7d5019z401fz13z15z17z 

Imphash: 35bc16e5f49a914ec22a20433406e198

Обнаружения: 

DrWeb -> Trojan.Encoder.38567

BitDefender -> Generic.Ransom.Cactus.A.8A56EA94

ESET-NOD32 -> A Variant Of Win64/Filecoder.Cactus.A

Kaspersky -> Trojan-Ransom.Win32.Cactus.w

Malwarebytes -> Ransom.Cactus.Generic

Microsoft -> Ransom:Win32/Cactus!rfn

Tencent -> Malware.Win32.Gencirc.10bf750e

TrendMicro -> Ransom_Cactus.R002C0DDM25

Вариант от 14 декабря 2023:

IOC: VT, IA

MD5: 977fe7712d2c2d8592c094a9de88170c 

SHA-1: ac0b980aacf96913aa8650c265c4e773e2c3f6d5 

SHA-256: 5434c0b08a511f6913b9eb1702a481e7feb76d4c38123d8b78f195c047f4706c 

Vhash: 04603e0f7d5019z4019z13z13z15z17z 

Imphash: daded6775a8b352b79134b7639b1b4f1

Обнаружения: 

DrWeb -> Trojan.Encoder.38567

BitDefender -> Generic.Ransom.Cactus.A.5B0352E6

ESET-NOD32 -> A Variant Of Win64/Filecoder.Cactus.A

Kaspersky -> Trojan-Ransom.Win32.Cactus.o

Malwarebytes -> Ransom.Cactus.Generic

Microsoft -> Ransom:Win32/Cactus!rfn

Rising -> Ransom.Cactus!8.1825A (TFE:5:MslNkMRuzfJ)

Tencent -> Malware.Win32.Gencirc.10bf7511

TrendMicro -> Ransom_Cactus.R002C0DH325

Обновление от 1 декабря 2023:

Статья на сайте BC >>

Обновление от 29 января 2024:
Статья на сайте BC >>

Вариант от 19 апреля 2024:

IOC: VT, IA

MD5: d996db1d2481bb287b2adb466beba234 

SHA-1: 6d84750e42c242ab2461c673ac8b2ca2d766ca41 

SHA-256: 44f40b79a12c1665987fe0d6158731d79e7ec9662dd7b30b9e0c63a2c56667ec 

Vhash: 0950a76d1555555c0d1d1028z343d1z2bz1021z2fz 

Imphash: 54047facc5e73f904435ab194951fc26

Обнаружения: 

DrWeb -> Trojan.Encoder.41244

BitDefender -> Generic.Trojan.Havokiz.Marte.E.DC6F819C

ESET-NOD32 -> A Variant Of Win64/Filecoder.LT

Kaspersky -> Trojan-Ransom.Win32.Gen.azms

Malwarebytes -> Malware.AI.116917922

Microsoft -> HackTool:Win64/CobaltStrike.CQ!ldr

Rising -> Ransom.Agent!8.6B7 (CLOUD)

Tencent -> Malware.Win32.Gencirc.10bfda69

TrendMicro -> Ransom.Win64.EBANUL.THFBHBD

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 Kroll, BleepingComputer
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Cylance

Cylance Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов (возможно с использованием: Curve25519,  ChaCha20), а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Crypter.exe. Целевые ОС: Windows и Linux.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37373

BitDefender -> Trojan.Ransom.Cylance.A

ESET-NOD32 -> Win32/Filecoder.ONI

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Malware.AI.2206475733

Microsoft -> Ransom:Win32/CylanCrypt.PAA!MTB

Rising -> Ransom.Agent!8.6B7 (TFE:5:TSJC4RSwT7I)

Tencent -> Malware.Win32.Gencirc.10be3b36

TrendMicro -> Ransom.Win32.CELANCYC.THCCABC

---

© Генеалогия: более ранние варианты >> Proxima >> BTC-azadi, BTC-azadi NG, Cylance, Lattice > BlackShadow и другие похожие варианты

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине марта 2023 г. и позже. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Cylance


Записка с требованием выкупа называется: CYLANCE_README.txt

Содержание записки о выкупе:

[[=== Cylance Ransomware ===]]

[+] What's happened?

All your files are encrypted, and currently unsable, but you need to follow our instructions. otherwise, you cant return your data (NEVER).

[+] What guarantees?

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.

To check the ability of returning files, we decrypt one file for free. That is our guarantee.

If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. time is much more valuable than money.

[+] How to cantact with us?

Please write an email to: D4nte@onionmail.org and Backup@cyberfear.com

Write this U-ID in the subject: DAF1C7E763E7BDA1

-----------------------------------------------------------------------------------------

!!! DANGER !!!

DON'T try to change files by yourself, DON'T use any third party software for restoring your data or antivirus solutions - its may entail damage of the private key and, as result, The Loss all data.

!!! !!! !!!

ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.

!!! !!! !!!

Перевод записки на русский язык:
[[=== Cylance Ransomware ===]]

[+] Что случилось?

Все ваши файлы зашифрованы и теперь недоступны, но вам нужно следовать нашим инструкциям. в противном случае вы не сможете вернуть свои данные (НИКОГДА).

[+] Какие гарантии?

Это просто бизнес. Нам абсолютно плевать на вас и ваши сделки, кроме получения выгоды. Если мы не выполним свою работу и обязательства – с нами никто сотрудничать не будет. Это не в наших интересах.

Для проверки возможности возврата файлов мы бесплатно расшифровываем один файл. Это наша гарантия.

Если вы не будете сотрудничать с нашим сервисом – для нас это не имеет значения. Но вы потеряете свое время и данные, ведь приватный ключ есть только у нас. время гораздо ценнее денег.

[+] Как с нами связаться?

Пожалуйста, напишите email по адресу: D4nte@onionmail.org и Backup@cyberfear.com.

В теме напишите этот U-ID: DAF1C7E763E7BDA1

-------------------------------------------------- ---------------------------------------

!!! ОПАСНОСТЬ !!!

НЕ пытайтесь изменить файлы самостоятельно, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.

!!! !!! !!!

ЕЩЕ РАЗ: В ваших интересах вернуть свои файлы. Мы со своей стороны (лучшие специалисты) делаем все для восстановления, но просьба не мешать.

!!! !!! !!!

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Некоторые варианты Cylance Ransomware могут содержать функционал стирателя файлов (wiper), но использовался ли он в атаках, нам неизвестно. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключений по раширению: 

.exe, .dll, .sys, .msi, .lnk, .drv, .efi, .Cylance

Список исключений по файлам: 

CYLANCE_README.txt 

autorun.inf

bootmgr, BOOTNXT, bootsect.bak, bootfont.bin, boot.ini 

desktop.ini

iconcache.db, thumbs.db, 

LPW5.tmp, LLKFTP.bmp

MSVC150.dll 

Ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini

Список исключений по файлам и директориям: 

$RECYCLE.BIN 

$Windows.~bt 

$windows.~ws 

All Users 

Boot 

Config.Msi 

Default 

Google 

Intel 

Microsoft 

MSOCache 

PerfLogs 

Public 

System Volume Information 

tor browser 

Windows 

windows nt 

windows.old 

Yandex

Файлы, связанные с этим Ransomware:
CYLANCE_README.txt - название файла с требованием выкупа;
Crypter.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\CylanceMutex

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: D4nte@onionmail.org, Backup@cyberfear.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 31ed39e13ae9da7fa610f85b56838dde

SHA-1: ff602997ce7bdd695a282bd373daf57bea7a051f

SHA-256: 7a5e813ec451cde49346d7e18aca31065846cafe52d88d08918a297196a6a49f

Vhash: 015056655d155560d8z731z23z4035z4031z21z5bz

Imphash: 4cd23d66c8d8b98e270477f817f6b6f7

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023

BTC-azadi Ransomware - январь 2023

Cylance Ransomware - март 2023

BTC-azadi NextGen Ransomware - с марта 2023

BlackShadow Ransomware - май-июль 2023

BlackBerserk (BlackRecover) - с июля 2023

Lambda (LambdaCrypter) Ransomware - октябрь 2023

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 24 марта 2023: 

Расширение: .Cylance

Записка: CYLANCE_README.txt

Для Windows

IOC: VT

Обнаружения: 

DrWeb -> Trojan.FSWiper.1

BitDefender -> Dropped:Trojan.Ransom.Cylance.C

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Microsoft -> Ransom:Win32/CylanCrypt.PAB!MTB

Rising -> Trojan.Generic@AI.100 (RDML:5TU9qxUM8nr4tep6sP4k5w)

Tencent -> Malware.Win32.Gencirc.10be83a9

TrendMicro -> Ransom.Win32.CELANCYC.THDOGBC

Вариант от 30 марта 2023: 

Для UNIX - Linux (на основе Babuk для ESXi).

Алгоритм шифрования: ChaCha20/8 с нестандартными константами "hardcore blowjob".

IOC: VT

Обнаружения: 

DrWeb -> Linux.Encoder.332

BitDefender -> Trojan.Ransom.Cylance.B

ESET-NOD32 -> Linux/Filecoder.Babyk.K

Kaspersky -> HEUR:Trojan-Ransom.Linux.Babuk.e

Microsoft -> Ransom:Linux/Babuk.E!MTB

Panda -> ELF/TrojanGen.A

Rising -> Ransom.Babuk/Linux!8.1361A (CLOUD)

Tencent -> Linux.Trojan-Ransom.Babuk.Rimw

TrendMicro -> Ransom.Linux.CELANCYC.THCCABC

Вариант без указания времени распространения и родства:

Доп. название Lattice Ransomware

Расширение: .Lattice

Записка: LATTICE_README.txt

Дополнительное сообщение на экране. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Sandor, rivitna
 Andrew Ivanov (article author)
 Cyble, F.A.C.C.T.
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Medusa Stealer

Medusa Stealer Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель не распространяется отдельным файлом. Он является частью функционала ботнета Medusa и шифрует файлы с помощью библиотеки Python, которая позволяет шифровать файлы с помощью AES-256. При этом системные и зашифрованные файлы пропускаются. Затем модуль-вымогатель требует выкуп в 0.5 BTC за расшифровку файлов. Оригинальное название: Medusa Stealer Malware, Medusa-Stealer и MedusaRansomware. 

---
Обнаружения:
DrWeb -> Python.Stealer.707
BitDefender -> ***
ESET-NOD32 -> Python/Agent.VM
Kaspersky -> ***
Malwarebytes -> Spyware.MedusaStealer
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Trojan.Generic@AI.81 (RDML:l1cDUB***
Tencent -> Win32.Trojan.Dropper.Rwhl
TrendMicro -> TROJ_FRS.VSNTK622
---

DrWeb -> Linux.DownLoader.37

BitDefender -> Trojan.GenericFCA.Agent.70624

Kaspersky -> HEUR:Trojan-Downloader.Shell.Agent.p

McAfee -> Linux/Downloader.p

Microsoft -> TrojanDownloader:SH/Medusa.A!MTB

Rising -> Downloader.Agent!8.B23 (TOPIS:E0:bYEpUz0QOWI)

Tencent -> Win32.Trojan-Downloader.Agent.Lajl

TrendMicro -> Possible_BASHDLOD.SMLBO2

---

© Генеалогия: Medusa более ранний вариант >> Medusa Stealer

Сайт "ID Ransomware" идентифицирует это как Medusa Stealer. 

Информация для идентификации

Предыдущие образцы были найдены в середине октября 2022. Активность этого крипто-вымогателя пока не наблюдается, но информация об использовании функционала в ботнете была получена в начале февраля 2023 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .medusastealer 

Записка с требованием выкупа выводится на экране: 

Содержание записки о выкупе:

Your files have been encrypted with Medusa Stealer

To decrypt your files, send 0.5 BTC to the following address: 1Jw***

After sending the BTC, send an email to medusa-stealergprotonmail.com with the following ID: 

Your files will be decrypted within 24 hours

If you do not send the BTC, your files will be deleted within 24 hours

Medusa Stealer Malware

Перевод записки на русский язык:

Ваши файлы зашифрованы с Medusa Stealer

Чтобы расшифровать ваши файлы, пошлите 0,5 BTC на следующий адрес: 1Jw***

После отправки BTC отправьте email на medusa-stealergprotonmail.com со следующим ID: ***

Ваши файлы будут расшифрованы в течение 24 часов

Если вы не отправите BTC, ваши файлы будут удалены в течение 24 часов.

Medusa Stealer Malware

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 


Скриншот страниц сайта вымогателей

Текст на сайте на французском языке:

HTTP Monitoring Tool

Security Experts

Medusa Stealer's est un outil de contrôle d'accès à distance en ligne axé sur la récupération et l'extraction de données destiné aux développeurs et aux analystes en cybersécurité pour tester leurs applications. Nous sommes la nouvelle ère de la surveillance basée sur le cloud.

Fonctions riches & dynamiques

Nous disposons d'un panneau de contrôle incroyablement riche qui vous permet de personnaliser vos contrôles à votre guise, en maximisant votre champ d'essai, ce qui se traduira par une expérience optimale.

Перевод на русский (от Google):

Инструмент мониторинга HTTP 

Эксперты по безопасности 

Medusa Stealer — это онлайн-инструмент управления удаленным доступом, ориентированный на восстановление и извлечение данных для разработчиков и аналитиков по кибербезопасности для тестирования своих приложений. Мы — новая эра облачного мониторинга.

Богатые и динамичные функции

У нас есть невероятно богатая панель управления, которая позволяет вам настраивать элементы управления по своему вкусу, максимизируя ваше тестовое поле, что приведет к наилучшему опыту.

 

Технические детали + IOC

Распространяется с помощью ботнета Mirai как часть функционала с модулем, предназначенным для вымогательства. При запуске ботнет Mirai подключается к C&C серверу и извлекает файл medusa_stealer.sh, который затем выполняется. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

На рисунке ниже показан фрагмент кода функции MedusaRansomware(), используемой для шифрования файлов.

По данным исследователей из Cyble, первыми изучившими функционал вымогателя, данный функционал содержит ошибку и, вероятно, пока находится в разработке. Неизвестно, насколько распространяется его активность и в каких странах применяется. 

После шифрования файлов на устройстве вредоносное ПО засыпает на 86 400 секунд (24 часа), а затем удаляет все файлы на системных дисках. После удаления файлов оно отображает записку о выкупе, в которой требует заплатить 0,5 BTC (11 400 долларов США), что нелогично для получения выкупа. Cyble считает, что это ошибка в коде, поскольку удаление файлов на системных дисках делает невозможным использование жертвами своих систем и чтение записки о выкупе. Эта ошибка также указывает на то, что новый вариант или, по крайней мере, эта функция все еще находится в разработке.

Функция send_data () используется для сбора различной информации о системе и отправки её на удаленный сервер по адресу hxxps://medusa-stealer[.]cc/add/bot. Функция send_data () вызывает внутреннюю функцию all_data_system() , которая собирает такую ​​информацию, как имя пользователя, имя хоста, IP-адрес, ОС, использование ЦП и ОЗУ, общее количество ядер ЦП и уникальный идентификатор системы. Собранная информация сохраняется в словарной переменной data и возвращается функцией. 

На рисунке выше показан фрагмент кода функции send_data(), используемой для эксфильтрации данных. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию: 

.bat, .c, .cpp, .cs, .css, .docb, .docm, .dotm, .go, .html, .inf, .java, .js, .lnk, .mfl, .mht, .mhtml, .mof, .mrb, .mrc, .msh, .msh1, .msh1xml, .msh2, .msh2xml, .mshxml, .php, .pl, .potm, .ppam, .ppsm, .pptm, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .psd1, .psm1, .psrc, .rb, .reg, .scf, .sh, .sldm, .svg, .svgz, .wsc, .wsf, .wsh, .xlam, .xlsm, .xltm, .xml, .xsd, .xsl, 

Это документы и шаблоны MS Office, файлы веб-страниц, PowerShell-файлы, векторная графика и пр.

Файлы, связанные с этим Ransomware:
medusa_stealer.sh - извлеченный и исследованный вредоносный файл; 

<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://medusa-stealer.cc - адрес сайта и C&C-сервера

Email: medusa-stealer@protonmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: bdc0920c0aa76ce2b09eeb18d76fdc63

SHA-1: 4910858e175eb8b22f5821e2555e6aa6a0f143c2

SHA-256: 2a0047fe9748f2a45196dbf75e4f1a951d249daad380cbc9eab85ff66fb35814

Vhash: 086056656d1575604013z3005emz11fz

Imphash: fa2936ff523bbe01bb11c81e10c9ad2d

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e3a08ffb7106ece9612d3aa8078a8287

SHA-1: c059eec897c48b81cfc6a6765e176cc88231c31e

SHA-256: 87b5ba7da8aa64721baca0421a01e01bb1f1ca8a2f73daa3ca2f5857e353c182

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 AuCyble, BleepingComputer, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.