Lambda Ransomware
Lambda Ransomware (2023)
LambdaCrypter Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.38085
BitDefender -> Gen:Variant.ClipBanker.180
ESET-NOD32 -> Win32/Filecoder.OPB
Kaspersky -> HEUR:Trojan-Ransom.Win32.Gen.gen
Malwarebytes -> Malware.AI.1027041180
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.100 (RDML:h7*
Tencent -> Malware.Win32.Gencirc.11b74af6
TrendMicro -> Ransom.Win32.CELANCYC.THJOFBC
---
© Генеалогия: ✂ Proxima >> ✂ BTC-azadi, BTC-azadi NG, BlackShadow, BlackRecover и другие > Lambda (2023)
Информация для идентификации
Активность этого крипто-вымогателя была в начале октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .Lambda
Записка с требованием выкупа называется: LAMBDA_README.txt
Записка с требованием выкупа называется: LAMBDA_README.txt
Содержание записки о выкупе:
[[=== Lambda Ransomware ===]]
[+] What's happened?
All your files are encrypted and stolen, but you need to follow our instructions. otherwise, you cant return your data (NEVER).
[+] What guarantees?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, we decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. time is much more valuable than money.
[+] Instructions:
a) Download and install Tor Browser from this site: https://www.torproject.org/
b) Open our website: hxxx://nn5ua7gc7jkllpoztymtfcu64yjm7znlsriq3a6v5kw7l6jvirnczyyd.onion
c) Enter this UID in the input: ****************
!!! DANGER !!!
DON'T try to change files by yourself, DON'T use any third party software for restoring your data or antivirus/edr solutions - its may entail damage of the private key and, as result, The Loss all data.
SPEAK for yourself. Since no one else has the private key, any interfere of third party companies/individuals is tantamount to scamming you.
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!
Перевод записки на русский язык:
[[=== Lambda Ransomware ===]]
[+] Что случилось?
Все ваши файлы зашифрованы и украдены, но вам нужно следовать нашим инструкциям. иначе вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии?
Это просто бизнес. Нам абсолютно плевать на вас и ваши сделки, кроме получения выгоды. Если мы не выполним свою работу и обязательства – с нами никто сотрудничать не будет. Это не в наших интересах.
Для проверки возможности возврата файлов мы бесплатно расшифруем один файл. Это наша гарантия.
Если вы не будете сотрудничать с нашим сервисом – для нас это не имеет значения. Но вы потеряете свое время и данные, ведь приватный ключ есть только у нас. время гораздо ценнее денег.
[+] Инструкции:
а) Загрузите и установите Tor Browser с этого сайта: https://www.torproject.org/
б) Откройте наш сайт: hxxx://nn5ua7gc7jkllpoztymtfcu64yjm7znlsriq3a6v5kw7l6jvirnczyyd.onion
в) Введите этот UID во входные данные: ****************
!!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменить файлы сами, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные/EDR-решения - это может повлечь за собой повреждение закрытого ключа и приведет к потере всех данных.
Говори за себя. Поскольку никто больше не имеет закрытого ключа, любое вмешательство сторонних компаний/частных лиц равносильно мошенничеству.
ЕЩЕ РАЗ: В ваших интересах вернуть свои файлы. Мы со своей стороны (лучшие специалисты) делаем все для восстановления, но просьба не мешать.
!!! !!! !!!
Добавляет текст на экран входа Windows:
All of your files are stolen and encrypted!Find LAMBDA_README.txt and follow instructions
Интересные "Hello Kitty" и "hot-dog" в коде:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Препятствует восстановлению файлов:
Удаляет теневые копии файлов, очищает журналы системы, очищает корзины от удаленных файлов.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, бэкапы, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
LAMBDA_README.txt - название файла с требованием выкупа;
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, бэкапы, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
LAMBDA_README.txt - название файла с требованием выкупа;
LLTKTPF.bmp, LPW10.tmp, 0F3LWP.tmp - вспомогательные временные файлы;
LambdaDebug.txt - файл записи отладочной информации;
LambdaCrypter.exe - название вредоносного файла.
LambdaCrypter.exe - название вредоносного файла.
Скриншоты из pestudio:
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
SOFTWARE\Classes\.Lambda\DefaultIcon
См. ниже результаты анализов.
Мьютексы:
Мьютексы:
Global\ClickToRunPackageLocker
Global\LambdaMutex
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://nn5ua7gc7jkllpoztymtfcu64yjm7znlsriq3a6v5kw7l6jvirnczyyd.onion
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 6c292c92e703a155612fe50ea96161d1
SHA-1: e6ea7c6f564a2fbe15beaf3419dc334d536f250c
SHA-256: a1bcb4ceb586cd9dc78323ce2888080ea88a58708a3a95e546bff46d74fc13c8
Vhash: 025056655d15556155zc00771z3041z4045z4061z51z71zf7z
Imphash: 1c948a2965f69dde54a4b06b3846df84
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Proxima Ransomware - январь 2023
BTC-azadi Ransomware - январь 2023
Cylance Ransomware - март 2023
BTC-azadi NextGen Ransomware - с марта 2023
другие варианты - март-апрель-май 2023
BlackShadow Ransomware - май-июль 2023
BlackBerserk (BlackRecover) Ransomware - с июля 2023
другие варианты - август-ноябрь 2023
Lambda (LambdaCrypter) Ransomware - октябрь 2023
Synapse Ransomware (Exotic) Ransomware - февраль 2024
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 10 февраля 2024:
Самоназвание: SynapseCrypter Ransomware
Доп. название: Exotic Ransomware
Расширение: .Synapse
Записка: RO9qk5Nq7.README.txt
Tor-URL: hxxx://ugoakjk3v6hop3epjhdgn4num43ndb5glgixhraeg2xm455gxqtu2qid.onion
Файл: SynapseCrypter.exe
MD5: 4b33216a968a3a12895b87b9ee258637
SHA-1: 1667d33737263cfe955429bd704b1190070026db
SHA-256: aaf01487c83e889aae33f7e8874f1f96eb3ed50b894af513872c10812bff983f
Vhash: 025056655d15556265zc00841z7051z4043z204081z51z500117z
Imphash: a7865d61935a63d927451a29461faab5
Обнаружения:
DrWeb -> Trojan.Encoder.38619
ESET-NOD32 -> A Variant Of Win32/Filecoder.LambdaCrypter.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Tencent -> Win32.Trojan.Filecoder.Rimw
TrendMicro -> TROJ_GEN.R002H09BC24
---
Шифровальшик пропускает папки:
$recycle.bin, config.msi, $windows.~bt, $windows.~ws, windows, windows nt, windows.old, boot, programdata, system volume information, tor browser, intel, msocache, perflogs, public, all users, default, microsoft, Microsoft Visual Studio 16.0
Шифровальшик пропускает файлы:
autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db, GDIPFONTCACHEV1.DAT, d3d9caps.dat
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***
Thanks: Michael Gillespie, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.