Если вы не видите здесь изображений, то используйте VPN.

понедельник, 6 мая 2024 г.

Lotus

Lotus Ransomware

Lotus NAS-Encrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные на сетевых хранилищах (NAS) с помощью комбинации алгоритмов, а затем требует связаться с вымогателями через сайт в сети Tor, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Lotus. На файле написано: нет данных. Написан на Golang. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Babuk >> 
Babuk for NAS >> Lotus


Сайт "ID Ransomware" это пока отдельно не идентифицирует. 


Информация для идентификации

Ранняя активность этого крипто-вымогателя была замечена в начале мая 2024 г. и, видимо, продолжалась в течении месяца. Ориентирован на англоязычных пользователей, но может распространяться по всему миру. Среди первых пострадавших были российские пользователи NAS (сетевых хранилищ). 

К зашифрованным файлам добавляется расширение: .lotus

Записка с требованием выкупа называется: README-LOTUS.txt


Содержание записки о выкупе:
If you see this, your files were successfully encrypted.
We advice you not to search free decryption method.
It's impossible. We are using symmetrical and asymmetric encryption.
ATTENTION:
- Don't rename encrypted files.
- Don't change encrypted files.
- Don't use third party software.
To reach an agreement we offer you to contact with us.
How to contact with us: 
* Download Tor Browser:
Visit torproject.org/download.
Download and install the Tor Browser.
* Launch Tor Browser:
Open the Tor Browser on your device.
* Connect to Tor Network:
Click "Establish a Connection."
* Enter onion Address:
Copy and paste address below in the address bar:
hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/***
* Purchase decrypter software from the page.

Перевод записки на русский язык:
Если вы видите это, ваши файлы были успешно зашифрованы.
Мы советуем вам не искать бесплатный метод расшифровки.
Это невозможно. Мы используем симметричное и асимметричное шифрование.
ВНИМАНИЕ:
 - Не переименовывайте зашифрованные файлы.
 - Не меняйте зашифрованные файлы.
 - Не используйте стороннее программное обеспечение.
Для достижения соглашения мы предлагаем Вам связаться с нами.
Как связаться с нами:
 * Загрузите Tor Browser:
 Посетите torproject.org/download.
 Загрузите и установите браузер Tor.
 * Запустите браузер Tor:
 Откройте браузер Tor на своем устройстве.
 * Подключитесь к сети Tor:
 Нажмите «Установить соединение».
 * Введите луковый адрес:
 Скопируйте и вставьте адрес ниже в адресную строку:
 hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/***
  * Приобретите программу для дешифрования со страницы.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию NAS-устройств, в том числе через RDP уязвимой операционной системы, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! NAS-устройства не защищены от атак программ-вымогателей, даже, если производители утверждают обратное. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Немного о шифровании:
Файлы размером более 20 мегабайт шифруются мегабайтными блоками через каждые 10 мегабайт. В файлах менее 20 мегабайт шифруется начальная часть файлов размером не более 4 мегабайта.
После шифрования данных файла в его конец добавляется блок метаданных размером 38 байтов (публичный ключ для файла + маркер, например AB BC CD DE EF F0).

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-LOTUS.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx


Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: rivitna, quietman7 Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 21 апреля 2024 г.

Embargo

Embargo Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Embargo Ransomware


Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Embargo. На файле написано: что попало. Распространитель: EMBARGO Team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.38947
BitDefender -> Gen:Variant.Ser.Babar.7654
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQO
Kaspersky -> Trojan.Win32.Renamer.ch
Malwarebytes -> Malware.AI.4072450021
Microsoft -> Trojan:Win32/Trickbot
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bfece7
TrendMicro -> Ransom.Win32.EMBARGO.THEAFBD
---

© Генеалогия: родство выясняется >> 
Embargo


Сайт "ID Ransomware" идентифицирует это как Embargo. 



Информация для идентификации

Активность этого крипто-вымогателя была в середине апреля и мае 2024 г. Первая пострадавшая компания, судя по дате на сайте вымогателей, была в апреле. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .<random>

В рассмотренном образце расширение было: .564ba1

Записка с требованием выкупа называется: HOW_TO_RECOVER_FILES.txt

Embargo Ransomware note, записка о выкупе

Содержание записки о выкупе:
Your network has been chosen for Security Audit by EMBARGO Team.
We successfully infiltrated your network, downloaded all important and sensitive documents, files, databases, and encrypted your systems.
You must contact us before the deadline 2024-05-21 06:25:37 +0000 UTC, to decrypt your systems and prevent your sensitive information from disclosure on our blog:
hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion/
Do not modify any files or file extensions. Your data maybe lost forever.
Instructions:
1. Download torbrowser: https://www.torproject.org/download/
2. Go to your registration link:
=================================
hxxx://5ntlvn7lmkezscee2vhatjaigkcu2rzj3bwhqaz32snmqc4jha3gcjad.onion/#/37f1061d6f6281a4598f130979ad77c8
=================================
3. Register an account then login
If you have problems with this instructions, you can contact us on TOX:
9500B1A73716BCF40745086F7184A33EA0141B7D3F852431C8FDD2E1E8FAF9277E9FDC117B47
After payment for our services, you will receive:
- decrypt app for all systems
- proof that we delete your data from our systems
- full detail pentest report
- 48 hours support from our professional team to help you recover systems and develop Disaster Recovery plan
IMPORTANT: After 2024-05-21 06:25:37 +0000 UTC deadline, your registration link will be disabled and no new registrations will be allowed.
If no account has been registered, your keys will be deleted, and your data will be automatically publish to our blog and/or sold to data brokers.
WARNING: Speak for yourself. Our team has many years experience, and we will not waste time with professional negotiators.
If we suspect you to speaking by professional negotiators, your keys will be immediate deleted and data will be published/sold.


Перевод записки на русский язык:
*** не производится ***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVER_FILES.txt - название файла с требованием выкупа;
21353d65b457518570bffc8a03038ee0_NeikiAnalytics.exe -  название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion/
Tor-URL: hxxx://5ntlvn7lmkezscee2vhatjaigkcu2rzj3bwhqaz32snmqc4jha3gcjad.onion/
TOX: 9500B1A73716BCF40745086F7***
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 





Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 21353d65b457518570bffc8a03038ee0 
SHA-1: b0c2e8ff737a4d3c331a5a581f7042eed4f69a9d 
SHA-256: 98cc01dcd4c36c47fc13e4853777ca170c734613564a5a764e4d2541a6924d39 
Vhash: 0660976d15555c0d5d1d0128z912002041z1055z1az197z 
Imphash: 34773aa4f6cf4d8f1a14b905cdde38e1


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: Dark Web Informer, PCrisk, petikvx Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 15 апреля 2024 г.

Obsidian ORB, LethalLock

Obsidian Ransomware

LethalLock Ransomware

Variants: Obsidian ORB, Obsidian Cpt

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 10$ Roblox Giftcard, чтобы вернуть файлы. Оригинальное название: Obsidian ORB Ransomware и LETHAL LOCK. На файле написано: surprise.exe. В разных вариантах могут использоваться разные шифровальщики (см. "Обновления" внизу статьи). 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35905
BitDefender -> Trojan.GenericKD.72447540
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.C
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> MachineLearning/Anomalous.94%
Microsoft -> Ransom:MSIL/FileCoder.YG!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Agent.16000623
TrendMicro -> Ransom_FileCoder.R002C0DDF24
---

© Генеалогия: Chaos >> 
BlackSnake > Obsidian ORB, LethalLock > Obsidian Cpt


Сайт "ID Ransomware" это пока не идентифицирует. Идентификация разных вариантов может отличаться от первоначального. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине апреля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляются расширения:
.LethalLock
. LethalLock

Зашифрованный файл выглядит следующим образом:


Записка с требованием выкупа называется: read_it.txt



Содержание записки о выкупе (read_it.txt):
YOUR PC HAS JUST BEEN INFECTED WITH OBSIDIAN ORB RANSOMWARE!
-----------------------------------------------------------------------------------
THIS MEANS, ALL OF YOUR FILES HAVE BEEN ENCRYPTED AND CAN ONLY BE DECRYPTED USING OUR PERSONAL SOFTWARE! THE PRICE FOR THIS SOFTWARE IS TO YOUR CHOOSING OUT OF THESE:
10$ ROBLOX GIFTCARD (https://www.amazon.com/Robux-Roblox-0nline-Game-Code/dp/B07RZ74VLR?ref_-ast_sto_dp&th-1*psc-1)
10$ PAYSAFE GIFTCARD (COULDNT FIND A LINK TO BUY ONE, BUY IRL THEN)
1x PAYDAY 2 STEAM KEY (https://www.kinguin.net/en/category/2257/payday-2-steam-cd-key)
10$ STEAM GIFTCARD (https://www.kinguin.net/category/27303/steam-wallet-card-a-10-global-activation-code)
10$ PRE PAID DEBIT CARD (VISA OR MASTERCARD ARE PREFERD)
SEND EITHER ONE TO *******************@proton.me within 42h or your pc will be locked completly! YOUR KERNEL IS INFECTED! IF YOU RESET, YOUR PC WILL NOT WORK ANYMORE AND ALL OF YOUR INFO WILL BE SPREAD ON THE INTERNET!


Еще одна записка с предложением решения называется: SOLUTION_NOTE.txt

Содержание этой записки:
Oh, what an exquisite predicament has befallen you!
We take immense pleasure in informing you, without the slightest pang of regret that your server security has been breached & immortalized by LETHAL LOCK, a majestic entity in the realm of cyber command.
Marvel at the masterpiece of encryption we have orchestrated, utilizing algorithms of such complexity and military-grade standards that they render your critical documents as elusive as a mirage in the desert.
Your files now dance to the tune of an encryption algorithm so intricate, so enigmatic, that mortals tremble at its sight.
Should you dare to defy our demands, be prepared for the consequences — your data will remain locked away forever and we will sell them to a third party on the Dark Web or use them as a trade by barter on the Dark-Web to get higher upgraded tools to dismantle your organization within a twinkle of an eye.
Any futile attempts to decipher this cryptographic masterpiece, appeal to law enforcement, or seek assistance from less reputable cybersecurity entities will only hasten the irreversible disappearance of your confidential datas and the swift deletion of the decryption key.
Your enduring rule, should you choose to accept it, is to comply with our ransom payment demands within 72 hours (3days). Failure to meet this demand will result in the permanent loss of your decryption key, accompanied by a symphony of data obfuscation maneuvers that thwart even the most valiant attempts at file recovery.
To embark on this momentous path of payment and data liberation:
1) Reach out to our esteemed customer support service on Telegram: @lethallock (For those evading payment, we suggest enjoying a hot cup of coffee while witnessing the swift datas/files wipe out orchestrated by the Lethal Lock algorithms).
2) Acquire and transfer 25 bitcoins with express efficiency. Remember, our treasuries crave bitcoins, and in return, we will provide you with the coveted decryption key that unlocks the chest of digital wealth.
Follow these crucial instructions:
1) Keep your computer powered on and connected to the digital world.
2) Resist all temptations to use data recovery tools without our permission.
3) Execute the bitcoin transfer with surgical precision before the time extinguish your chance for redemption.
In your cryptographic triumph,
Van Dmitry Vladimir
Senior Director of Operations
Lethal Lock Tech Company - LLTC


Заменяет обои рабочего стола на собственное изображение:




На сайте исследователей из Cyble показано другое изображение. 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Отключает диспетчер задач через изменение реестра.


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускает следующие файлы
:
boot.ini
bootfont.bin
ntuser.dat
ntuser.dat.log
ntuser.ini
autorun.inf
bootsect.bak
desktop.ini

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
SpartanTitle Visual.exe, surprise.exe, svchost.exe - названия вредоносных файлов. 






Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ***@proton.me 
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 5668c99abad5da137b901ea5e024638f 
SHA-1: 4718b08ab5f28437c972f030d23bd2a6535224a7 
SHA-256: 378048eb77eec0197bedba1659883e06d43fb6b0c8bf312f9a7ef90d115022b7 
Vhash: 28503615551f00b1911z37 
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 18 июня 2024:
Самоназвание: LockBIT и Obsidian Ransomware
Шифрование: AES ECB, потому сравнение оригинальных файлов с зашифрованными не поможет. 
Расширение: .ObsidianCpt
Записка: Readme.txt
Email: obsidiancpt@zohomail.eu
Telegram: @ObsidianCpt
Файл проекта: C:\zxc\LockBIT\LockBIT\LockBIT\obj\Debug\ObsidianCpt.pdb
Файл: ObsidianCpt.exe
IOC: VT, IA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.112
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BBZ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Generic!8.E315 (CLOUD)
TrendMicro -> Ransom.MSIL.OBSIDANCPT.THGOEBD
Ключи реестра: 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ObsidianCpt






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: pcrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 9 апреля 2024 г.

Risen

Risen Ransomware

Risen Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы вернуть файлы. В случае отказа, угрожает продать или опубликовать украденную информацию.  Оригинальное название: Risen. На файле написано: Risen.exe.
---
Обнаружения:
DrWeb -> Trojan.Siggen28.22418
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win32/Filecoder.BlackHunt.B
Kaspersky -> Trojan.Win32.Diztakun.cdhg
Malwarebytes -> Ransom.Risen
Microsoft -> Ransom:Win32/ContiCrypt.PADD!MTB
Rising -> Ransom.Destructor!1.B060 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bfd320
TrendMicro -> Ransom.Win32.RISNE.THDAGBD
---

© Генеалогия: ✂ BlackHunt >> 
Risen


Сайт "ID Ransomware" идентифицирует это как Risen (с 16.4.2024). 




Информация для идентификации

Активность этого крипто-вымогателя была в марте-апреле 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random_ID>
Фактически используется составное расширение по шаблону: 
.[ransom_email, TELEGRAM:ID].random_ID

Пример такого расширения: 
.[dectokyo@onionmail.org, TELEGRAM:@tokyosupp].IKA1UBO0IZ

Записки с требованием выкупа называются: 
$Risen_Note.txt
$Risen_Guide.hta


Содержание записки о выкупе (файл txt):
RisenNote :
Read this text file carefully.
We have penetrated your whole network due some critical security issues.
We have encrypted all of your files on each host in the network within strong algorithm.
We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
the only way to stop this process is successful corporation.
We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
The only situation for recovering your files is our decryptor,
there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
so be aware of them.
Remember, you can send Upto 3 test files for decrypting, before making payment,
we highly recommend to get test files to prevent possible scams.
In order to contact us you can either use following email :
Email address : dectokyo@onionmail.org , TELEGRAM:@tokyosupp
Or If you weren't able to contact us whitin 24 hours please Email : dectokyo@cock.li
Leave subject as your machine id : IKA1UBO0IZ
If you didn't get any respond within 72 hours use our blog to contact us, 
therefore we can create another way for you to contact your cryptor as soon as possible.
 BLOG : http://s2wk77h653qn54csf4gp52orhem4y72dgxsquxulf255pcymazeepbyd.onion/


Содержание записки о выкупе (файл hta):





Изображение, заменяющее обои Рабочего стола:



Скриншоты с сайта вымогателей: 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
$Risen_Note.txt - название файла с требованием выкупа;
$Risen_Guide.hta - название файла с требованием выкупа;
Risen_ID.txt - файл с ID жертвы; 
$Risen[IKA1UBO0IZ].Private, $Risen[GL6MNBAZEJ].Private - примеры специальных файлов; 
$Risen[IKA1UBO0IZ].Public, $Risen[GL6MNBAZEJ].Public - примеры специальных файлов;  
RisenBackGround.JPG - оригинальное изображение вымогателя, заменяющее обои Рабочего стола; 
Risen.exe - название вредоносного файла;
Risen.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
E:\repos\Risen\Release\Risen.pdb
C:\$Risen[GL6MNBAZEJ].Private

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://s2wk77h653qn54csf4gp52orhem4y72dgxsquxulf255pcymazeepbyd.onion
Email: dectokyo@onionmail.org, dectokyo@cock.li
Telegram: @tokyosupp
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, IA, TG, AR 
MD5: 0444b3d690823924667302cfae1f0655 
SHA-1: 737d0d001e60ce20c8f35a2bbac0f4d525b96174 
SHA-256: 3b685f4a59211225997256a5cd900f44953bba276b6eb92545966b35b6ef89b5 
Vhash: 01503e0f7d1019z47z1015z1011z1fz 
Imphash: fab4e9a968fb3915529500556d72d8c6


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 30 июля 2024: 
Записки: $Risen_Note.txt, $Risen_Guide.hta
Email-1: Default@firemail.de
Email-2: default1@tutamail.com 
Специальный файл: $Risen[WMWHP614XE].Private
C:\ProgramData\$Risen[WMWHP614XE].Private
IOC: VT, IA, TG








=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: Threat Intelligence, MalwareHunterTeam Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *