Werewolves Extortion Group
Werewolves Ransomware
Werewolves Doxware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: LockBit3 (Black) >> Werewolves
Информация для идентификации
Активность этого крипто-вымогателя против российских компаний и предприятий была замечена с июня по ноябрь 2023 г. Группа ориентирована против русскоязычных бизнес-пользователей (среди них — банки, микрофинансовые организации, предприятия нефтегазового сектора, отели, IT-компании и пр.), но может распространяться по всему миру. Есть сообщения об единичных атаках против иностранных компаний (по странам: Италия, Голландия и пр.), но пока нет документального подтверждения в виде записок о выкупе и образцов вредоносных файлов.
К зашифрованным файлам добавляется расширение: *нет данных*.
Записка с требованием выкупа называется: *нет данных*.
Содержание записки о выкупе:
Записка с требованием выкупа называется: *нет данных*.
Содержание записки о выкупе:
***WEREWOLVES***WEREWOLVES***WEREWOLVES***WEREWOLVES
ВНИМАНИЕ!НЕ ЗАКРЫВАЙТЕ СООБЩЕНИЕ,ПОКА НЕ ОЗНАКОМИТЕСЬ С ИНФОРМАЦИЕЙ.
***ВСЕ ВАШИ ДАННЫЕ УКРАДЕНЫ И ЗАШИФРОВАНЫ***
Отнеситесь к ситуации серьезно.Вся важная конфиденциальная информация из корпоративной сети будет опубликована в сети ТОК,если вы не заплатите.Кроме того будет проведена таргетированная рассылка по базам (учитывая сферу вашей деятельности)со ссылкой на ваши данные,любой желающий сможет скачать и использовать их.Стойкость алгоритма шифрования такова,что используется спецслужбами и военными по всему миру,без ключа вы никогда не сможете дешифровать данные.Каждый ключ уникален.
Обращаем ваше внимание!
Некоторые данные ваших клиентов выгружены и похищены.
В случае не оплаты информация будет точечно предана огласке,что безусловно отразится на вашей репутации.
В случае консенсуса никакая информация не будет разглашена и использована.
***НАШИ ГАРАНТИИ***
Наша группа не имеет отношение к политике-нас интересуют только финансы.
Обращаем Ваше внимание,что дешифровка информации при наличии ключа очень проста,доступна любому пользователю и занимает в среднем менее минуты на одном компьютере-на другой чаше весов ущерб от простоя в работе бизнеса,потеря и разглашение важной информации,ущерб репутации,и прочее...
К моменту,когда вы читаете эти строки у нас есть исчерпывающая информация(в том числе документально подтвержденная) о финансовой составляющей вашей организации,численности персонала,партнерских связях,контактах,бухгалтерской отчетности, личностях руководящего состава и их долях в бизнесе,а так же прочая конфиденциальная информация личного характера.
Мы так же уделяем внимание темным сторонам деятельности компаний при соответсвующем анализе.
Свяжитесь с нами и вы получаете дешифратор,так же мы удаляем всю конфиденциальную информацию.
Дополнительно по запросу вы получите короткие,но профессиональные рекомендации по защите ваших систем от проникновения(что тоже стоит денег).Мы бережем свою репутацию и всегда направляем декриптор после оплаты.
В качестве доказательства мы можем бесплатно дешифровать один файл любого объема.
***ВНИМАНИЕ!
При обращении просим называть имя компании
***ПАРТНЕРСКАЯ ПРОГРАММА***
Наша уважаемая организация работает по всему миру,за исключением стран,непосредственно пострадавших от войн и природных катаклизмов.
Мы атакуем все организации коммерческого спектра,за исключением критической инфраструктуры(такой как больницы,госпитали,прочие медицинские учреждения).
Вы можете стать партнером программы,предоставив нам доступы к К0Р,$МТР и т.д.Вы можете сделать это тайно, запустив предоставленный файл на компьютере партнера.Компании платят нам за расшифровку данных и предотвращение утечки.
Сайт вымогателей (Data Leak Site)
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: F.A.C.C.T. Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.