Если вы не видите здесь изображений, то используйте VPN.

среда, 1 ноября 2023 г.

Werewolves

Werewolves Extortion Group

Werewolves Ransomware

Werewolves Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Werewolves Extortion Group

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов, а затем требует выкуп от $100.000 до $1.000.000 и угрожает опубликовать или продать украденные данные, чтобы вернуть файлы. Вымогатели используют  методы двойного вымогательства с угрозой публикации (продажи) украденных данных. Оригинальное название: Werewolves. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: LockBit3 (Black) >> 
Werewolves


Сайт "ID Ransomware" вероятно, это идентифицирует как LockBit 3.0 (не проверено). 



Информация для идентификации

Активность этого крипто-вымогателя против российских компаний и предприятий была замечена с июня по ноябрь 2023 г. Группа ориентирована против русскоязычных бизнес-пользователей (среди них — банки, микрофинансовые организации, предприятия нефтегазового сектора, отели, IT-компании и пр.), но может распространяться по всему миру. Есть сообщения об единичных атаках против иностранных компаний (по странам: Италия, Голландия и пр.), но пока нет документального подтверждения в виде записок о выкупе и образцов вредоносных файлов. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.



Содержание записки о выкупе:
***WEREWOLVES***WEREWOLVES***WEREWOLVES***WEREWOLVES
ВНИМАНИЕ!НЕ ЗАКРЫВАЙТЕ СООБЩЕНИЕ,ПОКА НЕ ОЗНАКОМИТЕСЬ С ИНФОРМАЦИЕЙ.
***ВСЕ ВАШИ ДАННЫЕ УКРАДЕНЫ И ЗАШИФРОВАНЫ***
Отнеситесь к ситуации серьезно.Вся важная конфиденциальная информация из корпоративной сети будет опубликована в сети ТОК,если вы не заплатите.Кроме того будет проведена таргетированная рассылка по базам (учитывая сферу вашей деятельности)со ссылкой на ваши данные,любой желающий сможет скачать и использовать их.Стойкость алгоритма шифрования такова,что используется спецслужбами и военными по всему миру,без ключа вы никогда не сможете дешифровать данные.Каждый ключ уникален.
Обращаем ваше внимание!
Некоторые данные ваших клиентов выгружены и похищены.
В случае не оплаты информация будет точечно предана огласке,что безусловно отразится на вашей репутации.
В случае консенсуса никакая информация не будет разглашена и использована.
***НАШИ ГАРАНТИИ***
Наша группа не имеет отношение к политике-нас интересуют только финансы.
Обращаем Ваше внимание,что дешифровка информации при наличии ключа очень проста,доступна любому пользователю и занимает в среднем менее минуты на одном компьютере-на другой чаше весов ущерб от простоя в работе бизнеса,потеря и разглашение важной информации,ущерб репутации,и прочее...
К моменту,когда вы читаете эти строки у нас есть исчерпывающая информация(в том числе документально подтвержденная) о финансовой составляющей вашей организации,численности персонала,партнерских связях,контактах,бухгалтерской отчетности, личностях руководящего состава и их долях в бизнесе,а так же прочая конфиденциальная информация личного характера.
Мы так же уделяем внимание темным сторонам деятельности компаний при соответсвующем анализе.
Свяжитесь с нами и вы получаете дешифратор,так же мы удаляем всю конфиденциальную информацию.
Дополнительно по запросу вы получите короткие,но профессиональные рекомендации по защите ваших систем от проникновения(что тоже стоит денег).Мы бережем свою репутацию и всегда направляем декриптор после оплаты.
В качестве доказательства мы можем бесплатно дешифровать один файл любого объема.
***ВНИМАНИЕ!
При обращении просим называть имя компании
***ПАРТНЕРСКАЯ ПРОГРАММА***
Наша уважаемая организация работает по всему миру,за исключением стран,непосредственно пострадавших от войн и природных катаклизмов.
Мы атакуем все организации коммерческого спектра,за исключением критической инфраструктуры(такой как больницы,госпитали,прочие медицинские учреждения).
Вы можете стать партнером программы,предоставив нам доступы к К0Р,$МТР и т.д.Вы можете сделать это тайно, запустив предоставленный файл на компьютере партнера.Компании платят нам за расшифровку данных и предотвращение утечки.


Сайт вымогателей (
Data Leak Site)





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: F.A.C.C.T. Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 24 октября 2023 г.

Cataka

Cataka Ransomware

CATAKA Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Cataka Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в $1500 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: clip.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38146
BitDefender -> Generic.Ransom.Small.D5A61D14
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.B
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Chaos.MSIL
Microsoft -> Trojan:Win32/ScarletFlash.A
Rising -> Ransom.HakunaMatata!1.E7BF (CLASSIC)
Tencent -> Malware.Win32.Gencirc.13f35a47
TrendMicro -> Ransom.MSIL.HAKUNAMATATA.THJBEBC
---

© Генеалогия: ✂ Chaos + другой код >>



Сайт "ID Ransomware это не идентифицирует. 



Информация для идентификации

Активность этого крипто-вымогателя была в середине — конце октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется случайное расширение: .<random>

Примеры таких расширений: 
.qMQea
.yPkJX
.5TgUi

Записка с требованием выкупа называется: Readme.txt

Cataka Ransomware note, записка о выкупе


Содержание записки о выкупе:
--- CATAKA RANSOMWARE---
Oops sorry your file has been encrypted using a very strong algorithm.
It might be impossible to open it without a special key from me.
But don't worry, because you can still recover all files that have been encrypted using my key.
To get the key, you can buy it for $1500 using Bitcoin currency.
If you are interested in making a payment, 
Contact email: itsevilcorp90@hotmail.com

Перевод записки на русский язык:
--- CATAKA RANSOMWARE---
К сожалению, ваш файл зашифрован с очень надежным алгоритмом.
Возможно, его невозможно открыть без моего специального ключа.
Но не волнуйтесь, вы можете восстановить все файлы, зашифрованные с помощью моего ключа.
Чтобы получить ключ, вы можете купить его за $1500 в валюте Биткойн.
Если вы заинтересованы в совершении платежа,
Пишите на email: itevilcorp90@hotmail.com


Записка с указанием на прочтение текстового файла написана на изображении, заменяющем обои Рабочего стола: 


Текст на экране:
All your files are stolen and encrypted
Find readme.txt and follow the instruction


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Прибивает приложения, чтобы не мешали шифровать файлы:
agntsvc, CNTAoSMgr, code, dbeng50, dbsnmp, encsvc, excel, firefoxconfig, infopath, isqlplussvc, mbamtray msaccess, msftesql, mspub, mydesktopqos, mydesktopservice, mysqld, mysqld-nt, mysqld-opt, Ntrtscan, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, PccNTMon, powerpnt, ProcessHacker, sqbcoreservice, sqlagent, sqlbrowser, sqlservr, sqlwriter, steam, synctime, tbirdconfig, thebat, thebat64, thunderbird, tmlisten, VBoxSVC, VirtualBoxVM, visio, vmplayer, winword, wordpad, wps, xfssvccon, zoolz 

Список типов файлов, подвергающихся шифрованию:
.1c, .1cd, .3ds, .3fr, .3g2, .3gp, .7z, .7zip, .accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .ace, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .amv, .apk, .arj, .arw, .ascx, .asm, .asmx, .asp, .aspx, .avi, .avs, .backup, .bak, .bay, .bin, .bk, .blob, .bmp, .bz2, .c, .cab, .cer, .cfm, .ckp, .config, .contact, .core, .cpp, .crt, .cs, .css, .csv, .cub, .cvs, .dacpac, .dae, .dat, .db, .db3, .dbc, .dbf, .dbs, .dbt, .dbv, .dbx, .dc3, .dcm, .dcr, .dib, .dic, .dif, .divx, .djvu, .dmg, .doc, .docm, .docx, .dot, .dotx, .dt, .dwg, .dwt, .epsp, .exif, .exr, .f4v, .flv, .frm, .geo, .gif, .gz, .gzip, .htm, .html, .ibank, .ico, .iff, .inc, .indd, .ini, .iso, .jar, .java, .jpe, .jpeg, .jpg, .js, .json, .json, .jsp, .jsp, .jsx .key, .kmz, .kwm, .lnk, .log, .lzh, .lzma, .lzo, .m1v, .m4a, .m4p, .m4v, .max, .mda, .mdb, .mde, .mdf, .mdw, .mht, .mhtml, .mka, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrg, .mrg, .msg, .mwb, .myd, .myi, .ndf, .nef, .nrw, .obj, .odc, .odm, .odp, .ods, .odt, .oft, .onepkg, .onetoc2, .opt, .oqy, .orf, .ova, .p12, .p7b, .p7c, .pam, .pas, .pdb, .pdf, .pfx, .php, .pict, .pl, .pls, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppt, .pptm, .pptx, .ps, .psb, .psd, .pst, .py, .qry, .r3d, .rar, .raw, .rb, .rgbe, .rss, .rtf, .safe, .sdb, .sdf, .settings, .sie, .slk, .sln, .sql, .sqlite, .sqlite3, .stm, .sum, .svg, .svgz, .swf, .swift, .tab, .tar, .tar.gz, .tar.xz, .tbi, .tgz, .tif, .tmd, .torrent, .txt, .txz, .udl, .uxdc, .vb, .vbox, .vbs, .vdi, .vmdk, .vmx, .vob, .vsdx, .vss, .wallet, .wav, .wdb, .webm, .wim, .wma, .wmf, .wmv, .wpd, .wps, .xhtml, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp2, .xz, .z, .zip, .zipx

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, изображения, фотографии, чертежи, 1С-файлы, веб-файлы, музыка, видео, файлы образов, архивы и пр.

Пропускает файлы и папки: 
$recycle.bin,
autorun.inf, 
boot.ini, bootfont.bin, bootmgr, bootmgr.efi, bootmgfw.efi, 
.bat, .bat.exe, clip.exe и другие exe-файлы, 
desktop.ini, iconcache.db, 
ntuser.dat, ntuser.ini, 
thumbs.db, 
windows, windows.old, windows.old.old, 
amd, boot, games, msocache, nvidia, 
documents and settings, intel, perflogs, 
program files, program files (x86), programdata, 


Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;
clip.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: itsevilcorp90@hotmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Скриншоты из pestudio:



Скриншоты из dnSpy:

notes

targeted extensions

RSA key

kill apps


exceptional files

exceptional path

note name

wallpaper message

run bat file

random string RNG

string combo


Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 1974b3efe52893678a024e9fe8ff07a0
SHA-1: 4d5b9d7b81cf7e38e65d402bf30a3b90f7271022
SHA-256: 38e48171841e732efe6ce8b4713c315a805a6cbb347eb98b9a6e4daeb230b095
Vhash: 22403655151d00812b0017
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: PCrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 18 октября 2023 г.

Secles

Secles Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Secles Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями через Telegram, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Secles. На файле написано: нет данных.
---
Обнаружения (публичные образцы самого раннего варианта отсутствуют):
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Secles (2023)
© Генеалогия: TeslaRVNG >> Secles (2024)

Родство подтверждается с образцами, замеченными в 2024 году. Было ли родство изначально, точно пока не подтверждено. 


Сайт "ID Ransomware" идентифицирует это как Secles (c 13 января 2024). 


Информация для идентификации

Активность этого крипто-вымогателя была в середине октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .secles

Фактически для зашифрованных файлов используется не только расширение, но 
составное имя файла по шаблону:
.id[victim_ID].[contact].Original_file_name.doc.secles

Пример зашифрованного файла: 
 .id[iVqVdOay].[t.me_seclesbot].Document.doc.secles

В корне диска создается папка C:\secles

Записка с требованием выкупа называется: ReadMe.txt

Secles Ransomware note, записка о выкупе

Содержание записки о выкупе:
to recover your data install telgram messanger at @seclesbot ( https://t.me/seclesbot ) you will talk with support using the bot , admin will be monitoring
if for any reason bot is not avaiable you can find link and id of new bot at our onion site 
2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion  
you will need to install tor browser for that ( https://www.torproject.org/download/ ) you dont need to install tor if our telegram bot is working
you id is : iVqVdOay
you will get two sample decryption (decoding) before any payment for free 
this is strong ransomware, any day you waste without paying is one business day you waste
our price is reasonable,the wasted days will cost you more 
some notes:
1-although illegal and bad but this is business,you are our client after infection and we will treat you like respectfully like a client and we have reputation 
2-do not delete files at c:\seles , if you want to change os take a backup of the folder 
3-do not play with encrypted file, take a backup if you want to waste some time playing with them
4-if you take a middleman do deal with us directly , take one with good reputation ,we always provide decryptor after payment and only ask for one payment , if you take a random middle man from interner he may take you money and not pay as and disappear or lie to you

Перевод записки на русский язык:
*** Текст записки содержит много ошибок, поэтому переводить его нет смысла. ***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\secles

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @seclesbot
Tor-URL: hxxx://2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion 


Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Публичные образцы 2023 года никем не были предоставлены. 

=== 2024 ===

Вариант от 26 января 2024 или раньше: 
Записка: ReadMe.txt
Telegram: @secles1bot
Tor-URL: 2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion
Файл: Windows Services Logon.vexe



По данным исследователей из F.A.C.C.T. этот образец является вариантом TeslaRVNG (Tesla Revenge) Ransomware v.4.06
Сервис Intezer подтверждает некоторое родство, но более близкое пока не подтверждено, т.к. требуется расширенный анализ и идентификация промежуточных и дополнительных образцов. Непубличные образцы не являются доказательством и не рассматриваются. Доказательства должны быть видимыми и легко проверяемыми. 
IOC: VT, IA, TG
MD5: cbd091cac452f86c94499f712c7fb79b 
SHA-1: 01d48986d1edfdcca9c2585325f37888b2b3ec84 
SHA-256: 5cf6d2669348a6d1652a6cc16734b8ad9d8684658da92236194a939542242df5 
Vhash: 01603e0f7d1013z1011z401013z11z19z15z17z 
Imphash: 02c9446864488a40a05cf42aa61e6228
---
Обнаружения: 
DrWeb > Trojan.Encoder.38545
BitDefender > Trojan.GenericKD.71358850
ESET-NOD32 > A Variant Of Win64/Filecoder.Teslarvng.B
Microsoft > Ransom:Win32/Filecoder.AC!MTB
TrendMicro > Ransom.Win64.SECLESBOT.THABIBD


Вариант от 14 апреля 2024 или ранее: 
Записка: ReadMe.txt
Telegram: @secles1bot
Tor-URL: 2kksm7oobarkoedfnkihgsa2qdvfgwvr4p4furcsopummgs5y37s6bid.onion.ly



По данным исследователей из F.A.C.C.T. этот образец является вариантом TeslaRVNG (Tesla Revenge) Ransomware v.4.14
Сервис Intezer подтверждает некоторое родство, но более близкое пока не подтверждено, т.к. требуется расширенный анализ и идентификация промежуточных и дополнительных образцов. Непубличные образцы не являются доказательством и не рассматриваются. Доказательства должны быть видимыми и легко проверяемыми. 
IOC: VT, IA, TG
MD5: f5eca9408d0f7e66bf8686fc6f322dea 
SHA-1: c5d3cb9c5bf02dc74ace0b6b3dfbfc7460141a3a 
SHA-256: 5eeb5d3ee576daedae9f3bd64671c002a0d5b80313f78678df449b82335c1130 
Vhash: 01603e0f7d1015z11z401013z11z19z15z17z 
Imphash: 20e5d027176fb4031e5c53138d027f5d
---
Обнаружения: 
BitDefender -> Trojan.GenericKD.72373399
DrWeb -> Trojan.Siggen28.31549
ESET-NOD32 -> A Variant Of Win64/Filecoder.Teslarvng.B
Kaspersky -> Trojan-Ransom.Win32.TeslaRvng.w
Microsoft -> Trojan:Win64/Filecoder!MTB
TrendMicro -> Ransom_TeslaRvng.R023C0XDK24





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***

Thanks: Sandor, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 10 октября 2023 г.

GhostLocker

GhostLocker Ransomware

GhostLocker 2.0 Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)

Translation into English


GhostLocker Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в #BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Распространяется группой GhostSec. 
---
Обнаружения (нет файла ранней версии):
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
GhostLocker


Сайт "ID Ransomware" GhostLocker пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя началась в начале октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .ghost

Записка с требованием выкупа называется: lmao.html


Содержание записки о выкупе:
GhostLocker
We run shit because we can
ALL YOUR IMPORTANT FILES ARE STOLEN AND ENCRYPTED
YOUR PERSONAL ENCRYPTION ID: *** (SAVE THIS)
All your important files have been stolen and encrypted with RSA-2048 and AES-128 military grade ciphers. That means that no matter how much you were to try, the only way to get your files back is working with us and following our demands.
You have 48 hours (2 days) to contact us. If you do not make an effort to contact us within that time-frame, the ransom amount will increase.
If you do not pay the ransom, your files will be destroyed forever.
---
You can contact us on the following
***
---
Attention
DO NOT pay the ransom to anyone else than the top contact information mentioned up there.
DO NOT rename the encrypted files
DO NOT try to decrypt your data using third party software, it may cause permanent data loss
Any involvement of law enforcement/data recovery teams/third party security vendors will lead to permanent loss of data and a public data release immediately



✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
lmao.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла




Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 139D210C68BD57025DF70D94570DECB5


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новости от 16-17 октября 2023:
Группа вымогателей Stormous объявила, что в дополнение к StormousX они будут использовать GhostLocker Ransomware в сотрудничестве с GhostSec.





Вариант от 19 ноября 2023:
Новый вариант: GhostLocker 2.0 
Расширение: .ghost
Записка: lmao.html или RansomNote.html


---
IOC: VT, IA, TG + TG
MD5: 8ad67a1b7a5f2428c93f7a13a398e39c 
SHA-1: d4f71fc5479a02c8ff57c90fc67b948adb5604e0 
SHA-256: 8b758ccdfbfa5ff3a0b67b2063c2397531cf0f7b3d278298da76528f443779e9 
Vhash: 0760f6655d55551555757az2d!z 
Imphash: 4f2f006e2ecf7172ad368f8289dc96c1
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.38480
BitDefender -> Generic.Ransom.Snatch.26EF41A1
ESET-NOD32 -> A Variant Of WinGo/Filecoder.FE
Kaspersky -> Trojan-Ransom.Win32.Crypren.ajpw
Malwarebytes -> Ransom.GhostLocker
Microsoft -> Ransom:Win64/GhostLocker.YAA!MTB
Symantec -> Trojan.IcedID
Tencent -> Win32.Trojan-Ransom.Crypren.Udkl
TrendMicro -> Ransom.Win64.GHOSTLOCKER.THKBOBC





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message + Message Write-up, Topic of Support ***

Thanks: S!Ri, FalconFeedsio, Dark Web Intelligence, Brute Bee Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *