WastedLocker

WastedLocker Ransomware

Alieases: Wasted, Launchy, BinADS, BinLocker

Variants: Easy2lock, Hades, SecCrypt, Phoenix Cryptolocker, PayloadBin, Macaw

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные компаний, бизнес-пользователей, содержимое их сайтов и серверов с помощью AES-256 (режим CBC) + RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название в записке не указано, а на файле написано: Launchy и Launchy.exe. Подписан сертификатами X509. В других вариантах может быть что-то другое. Используется только в целевых атаках на организации и предприятия. Разработка группы Evil Corp (Indrik Spider), которую зарубежные исследователи считают российской или пророссийской.  

---

Для справки: 

Ранее группу Evil Corp (Indrik Spider) США обвинили в разработке и распространении вредоносной программы Dridex, предназначенной для заражения компьютеров банков и компаний более чем в 40 странах, заочно осудили и наложили санкции на всех перечисленных. Спустя неделю оказалось, что часть информации недостоверна и из санкционного списка можно смело исключить некоторые российские компании и несколько человек. Написание некоторых фамилий "обвиненных" искажены и могут относиться к вымышленным лицам. Более того, найдено немало вбросов со стороны украинских и антироссийских СМИ, которые усиленно муссируют недостоверную информацию. Сколько недостоверностей мы ещё узнаем и как можно верить заказным и муссированным "расследованиям" с картинками из социальных сетей? 

... Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на членов кибергруппировки Evil Corp в декабре 2019 года после того, как им было предъявлено обвинение в использовании Dridex для причинения финансового ущерба в более 100 миллионов долларов. Теперь пострадавшие компании и организации, которые решат заплатить выкуп вымогателям, а также финансовые учреждения, фирмы киберстрахования и даже компании, занимающиеся цифровой криминалистикой и реагированием на инциденты, фактически рискуют нарушить правила OFAC и тоже попасть под финансовые санкции. 

... Согласно закону и постановлению о санкциях, администрируемых OFAC, эта самая OFAC может налагать гражданско-правовые санкции за нарушение санкций на основе строгой ответственности, т.е. лицо, подпадающее под юрисдикцию США, может быть привлечено к гражданской ответственности, даже если оно не знало или не имело оснований знать, что оно совершает транзакцию с лицом, которое находится под запретом. Cсылка на статью >>

... Чтобы обойти санкции OFAC и получать выкуп от вымогательства Evil Corp выпустили измененные версии на основе WastedLocker. Таким образом, пока их связь с новыми вариантами крипто-вымогателя не расследована и не подтверждена, а санкции не расширены, новые варианты криптовымогателя WastedLocker способствуют выкупному финансированию Evil Corp. 

---

Обнаружения:
DrWeb -> Trojan.Encoder.31904, Trojan.Encoder.31951, Trojan.Encoder.32261, Trojan.Encoder.32802, Trojan.Encoder.32876

ALYac -> Trojan.Ransom.WastedLocker
Avast/AVG -> Win32:DangerousSig [Trj]
Avira (no cloud) -> TR/Crypt.Agent.dsidt, TR/Crypt.Agent.ujiiq
BitDefender -> Gen:Variant.Fugrafa.45363, Trojan.GenericKD.34029721
ESET-NOD32 -> A Variant Of Win32/Kryptik.HDVS, Win32/Filecoder.WastedLocker.A
Kaspersky -> HEUR:Backdoor.Win32.Mokes.vho
Malwarebytes -> Ransom.BinADS
McAfee -> GenericRXKY-IH!13E623CDFB75
Microsoft -> Trojan:Win32/Gozi.RA!MTB, Trojan:Win32/Ymacco.AA5C
Qihoo-360 -> Win32/Backdoor.588, Win32/Trojan.236
Rising -> Backdoor.Mokes!8.619 (CLOUD), Spyware.Ursnif!8.1DEF (CLOUD)
Symantec -> Ransom.WastedLocker
TrendMicro -> TrojanSpy.Win32.QAKBOT.SMTHA.hp, Ransom.Win32.WASTEDLOCKER.AA
VBA32 -> BScope.Malware-Cryptor.Hlux, BScope.TrojanRansom.Shade
---

© Генеалогия: IEncrypt, Bitpaymer или другой из предыдущих >> WastedLocker > Hades и другие

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: 
.<abbreviated_company_name>wasted
.<org_name>wasted

Таким образом, используется сокращенное название компании или организации (аббревиатура), например, 
от "Email Server" сокращение будет ES, а расширение .eswasted
от "BBA" сокращение будет BBA, а расширение .bbawasted

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на вторую половину мая и первую половину июня 2020 г. Штамп даты на разных файлах: 15 апреля, 16, 26, 29, 31 мая 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Проанализированные образцы в основном принадлежат крупным организациям и компаниям из США. 

Записка с требованием выкупа называется по шаблону encrypted_file_info и создается для каждого зашифрованного файла.

Записка не имеет расширения .txt, но открыть её можно с помощью Блокнота. 

Таким образом:
1.jpg.eswasted - зашифрованный файл в нашем примере
1.jpg.eswasted_info - записка для зашифрованного файла

Содержание записки о выкупе:
***
YOUR NETWORK IS ENCRYPTED NOW
USE *****@PROTONMAIL. COM | *****@TUTANOTA.COM TO GET THE PRICE FOR YOUR DATA
DO NOT GIVE THIS EMAIL TO 3RD PARTIES
DO NOT RENAME OR MOVE THE FILE
THE FILE IS ENCRYPTED WITH THE FOLLOWING KEY:
[begin_key]***
***[end_key]
KEEP IT

Перевод записки на русский язык:
***
ВАША СЕТЬ СЕЙЧАС ЗАШИФРОВАНА
ИСПОЛЬЗУЙТЕ *****@PROTONMAIL.CОМ | *****@TUTANOTA.COM, ЧТОБЫ ПОЛУЧИТЬ ЦЕНУ НА ВАШИ ДАННЫЕ
НЕ ПЕРЕДАВАЙТЕ ЭТИ EMAIL ТРЕТЬИМ ЛИЦАМ
НЕ ПЕРЕИМЕНОВЫВАЙТЕ И НЕ ПЕРЕМЕЩАЙТЕ ФАЙЛ
ФАЙЛ ЗАШИФРОВАН СЛЕДУЮЩИМ КЛЮЧОМ:
[begin_key]***
***[end_key]
СОХРАНИТЕ ЭТО

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ WastedLocker использует документированный метод обхода UAC. После запуска он выбирает случайный файл (EXE или DLL) в папке C:\Windows\System32, копирует его в папку %APPDATA% под другим скрытым именем файла без расширения. Затем он создает альтернативный поток данных (ADS), прикрепляет его к bin-файлу, копирует в него исполняемый файл шифровальщика и выполняет. Затем WastedLocker копирует winsat.exe и winmm.dll во вновь созданную папку, расположенную в Temp-папке Windows. После загрузки перехваченная DLL (winmm.dll) исправляется для выполнения вышеупомянутых ADS.

 

Например, берет имя от файла Pn.exe из системной папки и выполняет Pn:bin в папке %AppData%. 
Полный путь файлов из примера: 
C:\Windows\SysWOW64\Pn.exe
C:\Users\Admin\AppData\Roaming\Pn:bin

➤ WastedLocker использует "RSAREF" - общедоступную эталонную реализацию RSA-алгоритма.

➤ Ключ AES, IV, хэш MD5 исходного содержимого, а также некоторая вспомогательная информация зашифрованы с помощью открытого ключа RSA, встроенного в тело шифровальщика.

➤ Подробности шифрования: 
После выполнения Wasted Locker пытается зашифровать файлы на всех найденных дисках, пропуская файлы в определенных папках и с  определёнными расширениями. Каждый файл шифруется с использованием алгоритма AES с вновь сгенерированным ключом AES и IV (256-бит в режиме CBC) для каждого файла. Ключ AES и IV шифруются с помощью встроенного открытого ключа RSA (4096 бит). Полученный результат преобразуется в base64 и затем сохраняется в записке с требованием выкупа.

➤ Предпринимает попытки отключить средства защиты, такие как Symantec Endpoint Protection, Защитник Windows и Cisco AMP для конечных точек.

➤ Удаляет теневые копии файлов, получает права владельца каталогов с файлами и управляет ими. Это видно на примере следующих процессов, в том числе и на скриншоте.
⏩ Созданные процессы:
C:\Users\<USER>\AppData\Roaming\Still:bin -r 
C:\Windows\system32\vssadmin.exe Delete Shadows /All /Quiet 
C:\Windows\system32\takeown.exe /F C:\Windows\system32\Still.exe 
C:\Windows\system32\icacls.exe C:\Windows\system32\Still.exe /reset 
C:\Users\<USER>\AppData\Roaming\Service:bin -r
⏩ Завершенные процессы:
C:\Windows\system32\vssadmin.exe Delete Shadows /All /Quiet 
C:\Windows\system32\takeown.exe /F C:\Windows\system32\Still.exe 
C:\Windows\system32\icacls.exe C:\Windows\system32\Still.exe /reset

➤ WastedLocker использует Windows Cache Manager (диспетчер кэша), чтобы избежать обнаружения. Если подробнее, то ОС Windows, чтобы повысить производительность часто используемые файлы или файлы, указанные приложением, считывает и сохраняет в кэше Windows, который использует системную память. Если программе требуется доступ к файлу, ОС проверит, находится ли он в кэше, и, если это так, загрузит его оттуда. Поскольку данные кэшируются в памяти, доступ к их содержимому намного быстрее, чем при чтении с диска.
WastedLocker, чтобы обойти обнаружение средствами защиты от программ-вымогателей, использует Windows Cache Manager, который открывает файл, считывает его в диспетчер кэша Windows, а затем закрывает исходный файл. Так как данные после этой процедуры хранятся в диспетчере кэша, WastedLocker будет шифровать содержимое файла, хранящегося в кэше, а не файл, хранящийся в файловой системе.
Когда содержимое файла, хранящегося в кэше Windows, изменяется, оно становится "грязным". Когда будет достаточно данных "загрязнено", диспетчер кэша запишет зашифрованные кэшированные данные обратно в их исходные файлы. Поскольку диспетчер кэша работает как системный процесс, программа безопасности будет видеть запись зашифрованных данных из разрешенного и легитимного процесса Windows. Из-за этого поведенческое обнаружение в защитном программном обеспечении увидит разрешенный процесс записи зашифрованных данных и не обнаруживает подозрительные действия. Подробнее см. в статье >>

Список файловых расширений, подвергающихся шифрованию:
Вместо списка целевых расширения WastedLocker использует список каталогов и расширений, которые нужно исключить из процесса шифрования. Файлы размером менее 10 байт также игнорируются, а большие файлы шифрует блоками по 64Мб. Наверняка будут зашифрованы документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые расширения: 
.<abbreviated_company_name>wasted
.386, .adv, .ani, .bak, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .dat, .diagcab, .diagcfg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ics, .idx, .ini, .key, .lnk, .mod, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .ps1, .rom, .rtp, .scr, .sdi, .shs, .sys, .theme, .themepack, .wim, .wpx

Пропускаемые директории (папки): 
\$recycle.bin
\appdata
\bin
\boot
\caches
\dev
\etc
\initdr
\lib
\programdata
\run
\sbin
\sys
\system volume information
\users\all users
\var
\vmlinuz
\webcache
\windowsapps
c:\program files (x86)
c:\program files
c:\programdata
c:\recovery
c:\users\%USERNAME%\appdata\local\temp
c:\users\%USERNAME%\appdata\roaming
c:\windows

Пропускаемые файлы: 
encrypted_file_info
bootmgr
grldr
ntldr

Файлы, связанные с этим Ransomware:
encrypted_file_info - название файла с требованием выкупа
%AppData%\Lsa:bin - пример созданного процесса
%AppData%\Pin:bin - пример созданного процесса
lck.log - файл журнала
aa05e7a187ddec2e11fc1c9eafe61408d085b0ab6cd12caeaf531c9dca129772.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: *****@PROTONMAIL. COM
*****@TUTANOTA.COM
*****@ECLIPSO.CH
За "*****" находятся 5 цифр, в каждой записке они разные
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bitpaymer Ransomware - июль 2017

IEncrypt Ransomware - ноябрь 2018

WastedLocker Ransomware - июня 2020

Hades Ransomware - декабрь 2020

Phoenix Cryptolocker - март 2021

PayloadBin Ransomware - июнь 2021 

и другие

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

➤ Коллекция ссылок на образцы, помеченные разной датой выпуска:
Creation Time: 2020-04-15 (15 апреля): VT + VMR + HA + IA + TG
Creation Time: 2020-05-16 (16 мая): VT + VMR + HA
Creation Time: 2020-05-26 (26 мая): VT + VMR + HA
Creation Time: 2020-05-29 (29 мая): VT + VMR + IA
Creation Time: 2020-06-11 (11 июня): VT + VMR + AR + IA + TG

➤ Коллекция ссылок на образцы и анализы на сайте Intezer Analyze:

Общая ссылка: IA (5 образцов). 


Вариант от 24 июля 2020:
Сообщение >>
Статья на сайте BC >>

Статья на сайте Securelist (31 июля 2020) >>

Статья на сайте BC (1 августа 2020) >>

Расширение .garminwasted
Записка-шаблон: <filename>.garminwasted_info
Записка-пример для файла Image_2020.jpg: Image_2020.jpg.garminwasted_info

Файл EXE: Hivelist.exe
Результаты нализов: VT + HA + IA + IA + AR + TG + VMR + JSB 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32185
ALYac -> Trojan.Ransom.WastedLocker
BitDefender -> Trojan.GenericKD.43531595
ESET-NOD32 -> Win32/Filecoder.WastedLocker.A
McAfee -> Packed-GCI!2CC4534B0DD0
Microsoft -> Ransom:Win32/Garmin.SK!MTB
Rising -> Ransom.Garmin!8.11E81 (CLOUD)
Symantec -> Downloader
TrendMicro -> Ransom.Win32.WASTEDLOCKER.THGBGBO
---
Файл и поток: 
C:\Users\User\AppData\Roaming\Arbiter:bin
C:\Windows\SysWOW64\Arbiter.exe

---
Команда: 
cmd /c choice /t 10 /d y & attrib -h "C:\Users\admin\AppData\Roaming\Port" & del "C:\Users\admin\AppData\Roaming\Port"
---

Видеообзор этого варианта. 

Вариант от 30 июля 2020:

Сообщение >>

Расширение: .bbawasted

Результаты нализов: VT

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.32261

ALYac -> Trojan.Ransom.WastedLocker

ESET-NOD32 -> A Variant Of Win32/Packed.EnigmaProtector.J Suspicious

Malwarebytes -> Ransom.BinADS

TrendMicro -> TROJ_GEN.R002C0DKD20

Обновление от 7 октября 2020: 

Сообщение >>

WastedLocker Decrypter

Вариант от 14 октября 2020: 

Сообщение >>

Расширение: .easy2lock

Записка (шаблон названия): <filename>.eask2lock_read_me

Записка-пример для файла Image_2020.jpg: Image_2020.jpg.easy2lock_read_me

Email: leroy3564@protonmail.com

donovan4039@airmail.cc

darryl8227@msgsafe.io

Результаты нализов: VT + AR + IA + TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.32802

ALYac -> Trojan.Ransom.WastedLocker

ESET-NOD32 -> Win32/Filecoder.WastedLocker.A

Microsoft -> Ransom:Win32/WastedLocker.B!cert

TrendMicro -> Ransom.Win32.WASTEDLOCKER.AB

---

➤ Содержание записки: 

Your network has been penetrated.

All files on each host in the network have been encrypted with a strong algorythm.

Backups were either encrypted or deleted.

Do not rename or move the encrypted files.

To get the files back contact us at:

leroy3564@protonmail.com

donovan4039@airmail.cc

darryl8227@msgsafe.io

Store the encryption key:

[begin_key]YF/23+ygd9YG1bzuinY3XxpU***LXVfD=[end_key] [всего 684 знака]

Вариант от 16 октября 2020: 

Расширение: .easy2lock

Записка (шаблон названия): <filename>.eask2lock_read_me

Результаты нализов: VT + AR + IA 

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.32876

ALYac -> Trojan.Ransom.WastedLocker

ESET-NOD32 -> Win32/Filecoder.WastedLocker.A

Malwarebytes -> Ransom.WastedLocker

Microsoft -> Ransom:Win32/WastedLocker.A!cert

Обновление от 23 октября 2020: 

Статья на сайте BC >>

Вариант от 17 декабря 2020:

Самоназвание: Hades Ransomware (отдельная статья) >>

Расширение: .<random{5}>

Записка: HOW-TO-DECRYPT-xxxxx.txt

=== 2021 ===

Вариант от 14 марта 2021:

Сообщение >>

Расширение: .seccrypt

Записка: .howto_seccrypt

Пример файла с текстом записки: UseTrace.mpeg.howto_seccrypt

Email: 16675@PROTONMAIL.CH

Файл: idconfig:bin

Результаты анализов: VT + TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33621

BitDefender -> Trojan.Agent.EUGC

ESET-NOD32 -> A Variant Of Win32/Kryptik.HGSP

Malwarebytes -> Trojan.MalPack.TRE

Microsoft -> Ransom:Win32/WastedLocker.MA!MTB

Qihoo-360 -> Win32/Ransom.WastedLocker.HxQBVjUA

Rising -> Ransom.WastedLocker!8.11D3E (CLOUD)

Tencent -> Win32.Trojan.Delshad.Ebgy

TrendMicro -> Ransom_WastedLocker.R007C0DBF21

Вариант от 25 марта 2021:

Самоназвание: Phoenix Cryptolocker

Сообщение >>

Статья >>

Расширение: .phoenix

Записка: PHOENIX-HELP.txt

Результаты анализов: VT + IA + IA

Вариант от 4 мая 2021:

Сообщение >>

Расширение: .saverswasted

Записка для каждого файла: [original_filename].saverswasted_info 

Результаты анализов: VT

➤ Обнаружения:

DrWeb -> Trojan.Encoder.33901

BitDefender -> Trojan.Mint.Zamg.O

ESET-NOD32 -> A Variant Of Win32/Kryptik.HFDU

Malwarebytes -> Ransom.WastedLocker

Microsoft -> Ransom:Win32/WastedLocker.MA!MTB

TrendMicro -> Ransom_WastedLocker.R002C0CE421

Вариант от 2 июня 2021:

Самоназвание: PAYLOADBIN Ransomware

Сообщение >>

Сообщение >>

Статья, где всё подробно рассказано >>

Расширение: .PAYLOADBIN

Записка: PAYLOADBIN-README.txt

Email: rickhood@armormail.net, meredithpatrick@protonmail.com

Результаты анализов: VT + JSB + IA

➤ Обнаружения:

DrWeb -> Trojan.Encoder.33999

Avira (no cloud) -> TR/Redcap.grcqg

BitDefender -> Trojan.GenericKD.46428899

ESET-NOD32 -> Win64/Filecoder.Conti.B

Kaspersky -> Trojan.Win32.Bingoml.bsxp

Microsoft -> Ransom:Win32/Filecoder!MSR

Symantec -> Downloader

TrendMicro -> Ransom_Filecoder.R002C0DF621

---

➤ Содержание записки: 

The network is LOCKED with PAYLOADBIN ransomware. Don't try to use other software.

For decryption KEY write HERE: #1 rickhood@armormail.net | #2 meredithpatrick@protonmail.com

Вариант от 20 октября 2021:

Новый вариант / ребрендинг: Macaw (Macaw Locker)

Сообщение >>

Сообщение >>

Статья на сайте BleepingComputer >>

Записка: macaw_recover.txt

Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage
 ID Ransomware (1st ID as Wasted, 2nd ID as WastedLocker)
 Write-up, Write-up, Write-up, Write-up, Topic of Support
 * 

Additional articles: 
Hijacking DLLs in Windows
Almost 300 Windows 10 executables vulnerable to DLL hijacking
WastedLocker Goes "Big-Game Hunting" in 2020 *
WastedLocker: technical analysis by Kaspersky (July 31, 2020)

 Thanks: 
 NccGroup, Michael Gillespie, Lawrence Abrams, Petrovic
 Andrew Ivanov (author)
 to authors of research and analysis
 to victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sapphire-LAG

Sapphire Ransomware

LAG Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $250 BTC, чтобы вернуть файлы. Оригинальное название: Sapphire. На файле написано: GachaLife_Update.exe. Написан на языке .NET . 

---
Обнаружения: 
DrWeb -> Trojan.MulDrop12.44928
BitDefender -> Gen:Heur.Ransom.MSIL.1
ALYac -> Trojan.Ransom.Stupid
Avira (no cloud) -> TR/Ransom.nwhkp
ESET-NOD32 -> A Variant Of MSIL/Filecoder.FG

McAfee -> RDN/Ransom
Malwarebytes -> Ransom.Sapphire

Microsoft -> Ransom:MSIL/Sapphire.DEA!MTB
Symantec -> Trojan Horse

Tencent -> Msil.Trojan.Diztakun.Dzah
TrendMicro -> Ransom.Win32.SAPPHIRE.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: Stupid >> LAG

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .VIVELAG


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце мая 2020 г. Ориентирован на франкоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе: 

Vos Fichiers, Photos, Video on été oncrypté par Dystic ot toute la ligue anti gacha : (

Vus que je me suis levé du bon pied: je n'ai pas (encore) suprimé les données, ils sont juste crypté dans un format illisible.

Pour les décrypter. Payer la ligue anti gacha 250$ en bitoina pour reÇevoir une clé de déchiffrement unique et fidèle u ce pc viu discord.

Si vous payez pas/utilisez un anti-virus/redénarrer le pc/Supriner le logiciel, vos fichiers et données seront cry

Перевод записки на русский язык: 

Ваши файлы, фото, видео зашифрованы Dystic от всей лиги анти-гача: (

Увидев, что я встал на правильную ногу: я (еще) не удалил данные, они просто зашифрованы в нечитаемый формат.

Расшифровать их. Заплатите лиге анти-гача 250$ в битойнах, чтобы получить уникальный и точный ключ дешифрования на этом компьютере в Discord.

Если вы не платите / используете антивирус / перезапускаете компьютер / удалите программу, будете плакать по вашим файлам и данным 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Код дешифрирования: 052250058205075025075207820

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
GachaLife_Update.exe - название вредоносного файла

GachaLife_Update.pdb - название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

D:\Sapphire-Ransomware-master\Sapphire Ransomware\obj\Debug\GachaLife_Update.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая. 
Подробные сведения собираются регулярно. Присылайте образцы. 

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Zorab

Zorab Ransomware

Aliases: Zorba, ZRB, Dependent, SarCov

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Zorab. На файле написано: dependent.exe или что-то еще. 

Обнаружения:
DrWeb -> Trojan.Encoder.31931
BitDefender -> DeepScan:Generic.Ransom.SarCov.416D, Trojan.GenericKD.33924719
Avira (no cloud) -> TR/Dropper.Gen
ESET-NOD32 -> A Variant Of Generik.HYCLOTV
Malwarebytes -> Ransom.Zorab, Ransom.Zorba
Microsoft -> Ransom:Win32/Zorba.AA!MTB
Symantec ->  Downloader, Trojan.Gen.MBT
Tencent -> Msil.Trojan.Dothetuk.Akos, Msil.Trojan.Dothetuk.Wtod
TrendMicro -> Ransom_Zorba.R011C0DEU20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Jigsaw? >> Zorab

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ZRB


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец мая 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: --DECRYPT--ZORAB.txt

Содержание записки о выкупе:
-+-= ZORAB =-+-
Attention! Attention! Attention!
Your documents, photos, databases and other important files are encrypted and have the extension: .ZRB
Don't worry, you can return all your files!
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files,
if you want to decrypt your files
The only method of recovering files is to purchase decrypt tool
This tool will decrypt all your encrypted files.
To get this software you need write on our e-mail: zorab28@protonmail.com
What guarantees do we give to you?
Its just a business, we absolutely do not care about you and your deals, except getting benefits.
You can send 2 your encrypted file from your PC and we decrypt it for free.
+--Warning--+
DONT try to change files by yourself, DONT use any third party software for restoring your data
Your personal id: ***

Перевод записки на русский язык:
-+-= ZORAB =-+-
Внимание! Внимание! Внимание!
Ваши документы, фотографии, базы данных и другие важные файлы зашифрованы и имеют расширение: .ZRB
Не волнуйтесь, вы можете вернуть все свои файлы!
Единственный способ восстановления файлов - приобрести для вас инструмент дешифрования и уникальный ключ.
Эта программа расшифрует все ваши зашифрованные файлы,
если вы хотите расшифровать ваши файлы
Единственный способ восстановления файлов - это приобрести инструмент расшифровки
Этот инструмент расшифрует все ваши зашифрованные файлы.
Чтобы получить эту программу, вам надо написать на наш email: zorab28@protonmail.com
Какие гарантии мы даем вам?
Это просто бизнес, нам абсолютно безразличны вы и ваши сделки, кроме получения льгот.
Вы можете отправить 2 ваших зашифрованных файла с вашего компьютера, и мы расшифруем их бесплатно.
+-- Предупреждение --+
НЕ пробуйте изменить файлы самостоятельно, НЕ используйте любую стороннюю программу для восстановления ваших данных
Ваш личный id: ***

Технические детали

Распространяется под видом дешифровщика для файлов, зашифрованных STOP-Djvu Ransomware. Он называется Decrypter DJVU. 

Разумеется, он не расшифровывает файлы, а наоброт шифрует уже зашифрованные и все другие файлы жертвы другим шифровальщиком. Когда пострадавший о STOP Ransomware пользователь вводит свои данные в фальшивый расшифровщик и нажимает "Start Scan", фальшивый дешифровщик извлекает другой исполняемый файл crab.exe и сохраняет его в папке "Temp". 

Кроме этого Zorab может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
--DECRYPT--ZORAB.txt - название файла с требованием выкупа
dependent.exe - исполняемый файл вымогателя
crab.exe (Decryptor Djvu mlagham.exe) - извлекаемый файл шифровальщика
Decryptor Djvu mlagham.pdb - название оригинального проекта вымогателя
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\files_Now2\files_Now2\Project_Zorab-Default\Project_decryptor\Project_decryptor\Project_decryptor\obj\x86\Debug\Decryptor Djvu mlagham.pdb
C:\Users\User\AppData\Local\Temp\crab.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\ShortCutInfection
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: zorab28@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>  IA>>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 августа 2020:
Пост в Твиттере >>
Расширение: .ZRB
Записка: --DECRYPT--ZORAB.txt
Email: zorab28@protonmail.com
Файл: Decryptor Djvu mlagham.exe
Результаты анализов: VT + AR + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Скачайте Emsisoft Decryptor for Zorab по этой ссылке >>

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Zorab)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.