Disco

Disco Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает видд, что шифрует данные пользователей, а затем требует выкуп в денежной сумме с подарочных карт Discord Nitro. Оригинальное название: в записке не указано. Использует Discord для вымогательства. На файле написано: DiscoRansomware.exe. Выдает себя за Discord Nitro Generator.  
---
Обнаружения:
DrWeb -> Trojan.Encoder.33916
BitDefender -> Gen:Heur.Ransom.MSIL.1, Trojan.GenericKD.36899063
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.csjvw
ESET-NOD32 -> MSIL/Filecoder.AIB
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DV!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Agent.Ljjp
TrendMicro -> Trojan.MSIL.ZYX.USMANE521, Trojan.MSIL.DISCO.THEADBA
---

© Генеалогия: Nitro Ransomware >> Disco Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random> или .<name_PC>

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает затемнённый экран блокировки: 

Содержание записки о выкупе:

Dear ***

All of your important documents, desktop, images & videos have been locked and encrypted. There is no other way to open it unless you have trhe decryption key. You have under 5 hours to give us Discord Nitro. If you fail to do so, all of your data will get lost forever.

How do I get the decryptoin key? But a Discord Nitro gift subscription and paste the gift link in the text box. After sumitting a vaild gift link, you should be able to see the decryption key. Copy the decryption key and click on decrpypt files. When decrypting, makesure Windows Defender / any anti-virus is off. If you don't turn it off, not all files will be able to decrypt correctly. Do not rename the files or try guessing the decryption key. If you do so your files may get corrupted.

Перевод записки на русский язык:

Дорогой ***

Все ваши важные документы, рабочий стол, изображения и видео заблокированы и зашифрованы. Нет другого способа открыть его, если у вас нет ключа дешифрования. У вас есть меньше 5 часов, чтобы передать нам Discord Nitro. Если вы этого не сделаете, все ваши данные будут потеряны навсегда.

Как мне получить ключ дешифрования? С подписки Discord Nitro вставьте ссылку в текстовое поле. После отправки действующей подарочной ссылки вы должны увидеть ключ дешифрования. Скопируйте ключ дешифрования и щелкните файлы. При расшифровке убедитесь, что Защитник Windows / любой антивирус выключен. Если вы не отключите его, не все файлы правильно расшифруются. Не переименовывайте файлы и не пытайтесь угадать ключ дешифрования. Иначе ваши файлы могут быть повреждены.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
DiscoRansomware.exe - название вредоносного файла;

DiscoRansomware.pdb - название файла проекта.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\source\repos\DiscoRansomware\DiscoRansomware\obj\Debug\DiscoRansomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a41528ac976373f58a96f3185c48ce61

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 25 мая 2021:

Сообщение >>

Файл проекта: C:\Users\User\source\repos\DiscoRansomware\DiscoRansomware\obj\Debug\Release.pdb

IOC: VT + IA: 0f2f3aa144c479200a65620100598829

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33916

BitDefenderGeneric.Malware.SDB.FAAD66A8

ESET-NOD32A Variant Of MSIL/Filecoder.AID

MicrosoftRansom:MSIL/Cryptolocker.DV!MTB

RisingRansom.Cryptolocker!8.4617 (CLOUD)

SymantecML.Attribute.HighConfidence

TrendMicroPossible_SMHPCRYPTOLOCKER

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, GrujaRS, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Homemade, Henry217

Homemade Ransomware

Aliases: Henry217, LGoGo

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем сообщает пароль 12345678, чтобы пострадавший мог расшифровать файлы. На файле написано: 自制勒索V2.0.exe. Оригинальное название: в записке не указано. В переводе слова 自制勒索 на ангийский: Homemade ("самодельный"). 

---
Обнаружения:
DrWeb -> Trojan.Encoder.33891, Trojan.Encoder.34019
BitDefender -> Trojan.GenericKD.46231706
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.qhspp
ESET-NOD32 -> MSIL/Filecoder.AIE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DS!MTB
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom_Cryptolocker.R06EC0DE621
---

© Генеалогия: предыдущие варианты >> Homemade, Henry217

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .henry217


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2021 г. Ориентирован на китайскоязычных пользователей, может распространяться по всему миру. 

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе:

勒索信

你好。你的所有文件都完蛋了。

加密密码:“12345678”

Перевод записки на английский язык:

Blackmail letter

Hello there. All your files are dead.

Encryption password: "12345678"

Перевод записки на русский язык:

Письмо с шантажом

Привет. Все твои файлы мертвы.

Пароль шифрования: "12345678"

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
自制勒索V2.0.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 944e9ab9ed997f96a302cba5527dce55

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 17 июня 2021:

Сообщение >>

Расширение: .hen_ry_217

Файл: SysdiagRelease.exe

Результаты анализов: IOC: VT, AR,  IA

MD5: 33b9a63922a14410d8333b2f29624f73

➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34048

BitDefender -> Trojan.GenericKD.37118489

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJC

Malwarebytes -> Malware.AI.996170931

TrendMicro -> Ransom_HencryCrypt.R002C0DFK21

Вариант от 24 июня 2021: 

Сообщение >>

Расширение: .uz

Файл: VID-20140907-WA0001.mp4.exe

Результаты анализов: VT + AR + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34077

ESET-NOD32Win32/Filecoder.OHP

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Michael Gillespie >>

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CryBaby

CryBaby Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп $500 в BTC, чтобы вернуть файлы, но битвоин-адрес фиктивный, оплата невозможна. Оригинальное название: CryBaby Ransomware. На файле написано: AAAFAKEVIRUSZZZ.exe. 
---
Обнаружения:
DrWeb -> Trojan.FakeEncoder.3
Avira (no cloud) -> JOKE/FakeFilecoder.ohxws
BitDefender -> Gen:Heur.Ransom.RTH.1

ESET-NOD32 -> MSIL/Hoax.FakeFilecoder.HG
Kaspersky -> HEUR:Hoax.MSIL.Agent.gen
Malwarebytes -> ***
Microsoft -> Trojan:MSIL/CryBabyCrypt.PA!MTB
Rising -> Trojan.CryBabyCrypt!8.127C8 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> TROJ_GEN.R03BH09DO21
---

© Генеалогия: ??? >> CryBaby

Изображение — логотип статьи

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы нормально открываются. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Запиской с требованием выкупа выступает экран блокировки: 

Содержание текста на экране:

Oh no!

You have been infected With CryBaby Ransomware

What does this mean?

Your personal files are enctypted and will be deleted in 2 hours unless you pay 500$ in bitcoin

If you pay in under 15 minutes your fee will be 250$

After payment your files will be unlocked and this ransomware will be deleted as well.

---

How do i pay?

Only supperted payment method is via Bitcoin

Transfer your money to this bitcoin wallet address: AhfwiK26hCmX

Перевод текста на русский язык:

О нет!

Вы заражены CryBaby Ransomware

Что это значит?

Ваши личные файлы зашифрованы и будут удалены через 2 часа, если вы не заплатите 500$ в биткойнах.

При оплате менее 15 минут плата составит 250$.

После оплаты ваши файлы будут разблокированы, и этот вымогатель будет удален.

---

Как я могу платить?

Только поддерживается оплата в биткойнах

Переведите деньги на этот адрес биткойн-кошелька: AhfwiK26hCmX

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
AAAFAKEVIRUSZZZ.exe - название вредоносного файла; 

AAAFAKEVIRUSZZZ.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\thor0\source\repos\AAAFAKEVIRUSZZZ\obj\Debug\AAAFAKEVIRUSZZZ.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: AhfwiK26hCmX - фиктивный
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

N3TW0RM, NetWorm

N3TW0RM Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компьютерных систем некотоых израильских компаний, а затем требует выкуп в 3-4 BTC или больше, чтобы вернуть файлы. Иначе вымогатели угрожают опубликовать украденные данные этих компаний. Оригинальные названия: N3TW0RM, N3tw0rm (фактически: NetWorm), указано в заголовке записки и её тексте. Начало атаки: 18 апреля 2021. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33897
BitDefender -> Trojan.GenericKD.46208382
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.nwhkv
ESET-NOD32 -> Win32/Filecoder.N3TW0RM.A, A Variant Of Win32/Filecoder.N3TW0RM.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen
Malwarebytes -> Trojan.Crypt
Microsoft -> Ransom:Win32/Rolsig.A
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> ***
TrendMicro -> Ransom.Win32.NETWORM.A
---

© Генеалогия: Pay2Key? > N3TW0RM

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .n3tw0rm

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Этимология названия и подоплека атаки. 

Эта атака является ответом на израильскую кибератаку на ядерный объект Ирана и другие агрессивные военные действия, произошедшие в первой половине апреля 2021. Завуалированное название NetWorm ("сетевой червь") является отголоском функционала сетевого червя Stuxnet, который в 2010 году готовился спецслужбами Израиля и США и использовался кибергруппами  против ядерного проекта Ирана. За прошедшие годы иранский хактивизм и киберактивность во многом продвинулись, их кибервойска и отдельные кибергруппы теперь могут проводить не менее разрушительные кибератаки. Но если бы все ограничивалось кибератакими... Безбашенная военщина Израиля продолжает стрелять по объектам в Иране и Сирии без какого-то либо предупреждения, не считаясь с жизнями людей. Справедливый гнев и жажда мести заставляют отдельные иранские кибергруппировки проводить ответные меры, среди которых и подобные хакерские атаки с использованием Ransomware и Doxware. И хотя эти атаки не проливают человеческую кровь, они тоже являются преступлением. 

Информация из статей...

По словам израильских специалистов, иранские кибервымогатели выдают себя за русских (используя ник N3tw0rm). Они атакуют израильские фирмы, участвующие в цепочке поставок. Взлом этих компаний, предоставляющих  услуги большому количеству других компаний, позволит получить доступ к информации множества пострадавших. Хактивисты NetWorm идеологически мотивированы, но при этом всё же требуют выкуп, вероятно не имея реального намерения разглашать данные. 

Израильские эксперты полагают (нет доказательств), что N3tw0rm связана с иранскими операторами Pay2key Ransomware, которые в прошлом году заявили о взломе Israel Aerospace Industries и израильской ИБ-компании Portnox. Или группа Pay2key просто сменила название. 

Судя по информации, опубликованной вымогателями на своем сайте в Darknet, объектами атак NetWorm стали израильские компании H&M Israel и Veritas Logistic. Вымогатели разместили на сайте их логотипы. Хакеры угрожают опубликовать 110 гигабайт данных H&M Israel и 9 гигабайт данных Veritas, включая информацию о клиентах, счетах, данных о сотрудниках, платежную информацию, в том числе кредитные карты, если выкуп не будет выплачен. По данным Veritas, к 3 мая хакеры требовали с них 3 биткойна (почти $170 000). Позже стало известно, что мишенью кибервымогателей N3TW0RM стали четыре израильские компании и одна неправительственная фирма Ecolog Engineering Ltd.

---

Записка с требованием выкупа называется: N3TW0RM_MESSAGE.TXT

Содержание записки о выкупе:

--== Dear users! ==--

N3tw0rm is talking to you...

N3tw0rm provides enterprise-level of ransomware attacks!

Don't worry about your network because you're not the first and of course not the last!

[+] What is Ransomware?[+]

Ransomware is a type of malware from cryptovirology that threatens to publish the victim's data or perpetually block access to it unless a ransom is paid.

It encrypts the victim's files, making them inaccessible, and demands a ransom payment to decrypt them.

(https://en.wikipedia.org/wiki/Ransomware)

[+] What's Happened? [+]

Your entire company network has been encrypted! yes, your whole network!

By the way, everything is possible to recover (restore), but you need to follow the instructions. Otherwise, you can't return your data (NEVER).

N3tw0rm extracted some of your important information as a deal guarantee, everything is moving better when you have a guarantee in your hands absolutely!

[+] Trial decryption [+]

You can send 5 random files from any computers and receive decrypted data to make sure that N3tw0rm decryptor works. 

[+] How to restore your files back? [+]

Simple and easy!

You should pay 4 BTC to receive your network decryptor.

Wallet: ***

E-Mail: n3tw0rm@tuta.io

Your Computer Unique ID: ***

Your Network Identifier ID: ***

[!] NOTICE [!]

You should make your payment before 05/04/2021, otherwise your price will be doubled and your data going to leak on N3tw0rm onion directory!

Check the N3tw0rm onion site:

http://***hra4wthvlgyeyd.onion/

[!] Don't try to change files by yourself, Don't use any third party software for restoring your data or antivirus solutions.

[!] Don't modify encrypted files or you can damage them and decryption will be impossible!

Перевод записки на русский язык:

-== Дорогие е пользователи! ==-

N3tw0rm с вами говорит...

N3tw0rm обеспечивает защиту корпоративного уровня отransomware!

Не беспокойтесь о своей сети, потому что вы не первый и, конечно, не последний!

[+] Что есть Ransomware? [+]

Ransomware - это тип вредоносного ПО из криптовирологии, которое угрожает опубликовать данные жертвы или постоянно блокирует доступ к ним, если не будет уплачен выкуп.

Он шифрует файлы жертвы, делая их недоступными, и требует выкуп за их расшифровку.

(https://en.wikipedia.org/wiki/Ransomware)

[+] Что случилось? [+]

Вся ваша корпоративная сеть зашифрована! да, вся ваша сеть!

Кстати, все можно вернуть (восстановить), но нужно следовать инструкции. Иначе вы не сможете вернуть свои данные (НИКОГДА).

N3tw0rm извлек часть вашей важной информации как гарантию сделки, все идет лучше, когда у вас есть абсолютная гарантия!

[+] Пробная расшифровка [+]

Вы можете прислать 5 случайных файлов с любых компьютеров и получить расшифрованные данные, чтобы убедиться, что дешифратор N3tw0rm работает.

[+] Как вернуть файлы назад? [+]

Просто и легко!

Вы должны платить 4 BTC, чтобы получить сетевой дешифратор.

Кошелек: ***

E-Mail: n3tw0rm@tuta.io

Уникальный ID вашего компьютера: ***

Ваш ID сетевого идентификатора: ***

[!] УВЕДОМЛЕНИЕ [!]

Вы должны произвести оплату до 05.04.2021, иначе ваша цена удвоится, и ваши данные утекут на onion-сайте N3tw0rm!

Посетите onion-сайт N3tw0rm:

http: //***hra4wthvlgyeyd.onion/

[!] Не пытайтесь сами изменять файлы, не используйте сторонние программы для восстановления ваших данных или антивирусные решения.

[!] Не изменяйте зашифрованные файлы, иначе вы можете повредить их и расшифровка будет невозможна!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
N3TW0RM_MESSAGE.TXT - название файла с требованием выкупа;  
<random>.exe - случайное название вредоносного файла; 

slave.exe - название вредоносного файла; 

N3TW0RM_IOC.xlsx

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://***hra4wthvlgyeyd.onion/

Email: n3tw0rm@tuta.io
BTC: скрыт
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis N3TW0RM_IOC.xlsx >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as N3TW0RM)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer, Haaretz 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Orion

Orion Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English

Этот шифровальщик шифрует данные после того, как пользователь сам запустит вредоносную программу и согласится с тем, что она может причинить вред. Затем вымоагтель даже не требует выкуп, но показывает несколько ключей, которые могут помочь вернуть файлы. Оригинальное название: OrionRansomware. На файле написано: OrionRansomware.exe. Разработчик: BadSam#1224. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33857
BitDefender -> Gen:Variant.Strictor.257713
Avira (no cloud) -> HEUR/AGEN.1134366
ESET-NOD32 -> A Variant Of Win32/Packed.Themida.Gen.BJU
Kaspersky -> UDS:Trojan.Win32.Delf.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Hynamer.A!ml
Rising -> Trojan.Delf!8.67 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Delf.Piab
TrendMicro -> TROJ_GEN.R002H07DO21
---

© Генеалогия: ??? >> OrionRansomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .XXXXX


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя не наблюдалась, образец был найден на во второй половине апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Информатором жертвы выступает следующий экран: 

Содержание текста с экрана:

Orion Ransomware

Warning!!!

All your files and databases have been encrypted.

If you want your files back, you have to get the correct key.

If you have chosen the wrong key or closed this window, your computer will DIE

KEY 1=> mUSBAukTeNU6

KEY 2=> h4BZkq6XoCSg

KEY 3=> rbdijkwjsdpa

KEY 4=> Tf7fljcRq7u6

KEY 5=> ijk89hSfm1ZH

Перевод текста на русский язык:

Предупреждение!!!

Все ваши файлы и базы данных зашифрованы.

Если вы хотите вернуть свои файлы, вы должны получить правильный ключ.

Если вы выбрали неправильный ключ или закрыли это окно, ваш компьютер ВЫРУБИТСЯ

КЛЮЧ 1 => mUSBAukTeNU6

КЛЮЧ 2 => h4BZkq6XoCSg

КЛЮЧ 3 => rbdijkwjsdpa

КЛЮЧ 4 => Tf7fljcRq7u6

КЛЮЧ 5 => ijk89hSfm1ZH

Какой из ключей правильный не сообщается, видимо его нужно угадать. 

Появлению этого экрана предшествует диалоговое окно, в котором сообщается о вредоносном файле, который может причинить вред  компьютеру. 

Содержаниие текста из этого окна:

Do you really want to run this?

Warning this is a malware!

This program will harm your computer!

Don't run this program on a real computer.

Click [yes] if you want to continue...

Written by BadSam#1224

[Yes] [No]

Перевод текста на русский язык: 

Вы правда хотите запустить это?

Предупреждаю, это вредоносная программа!

Эта программа навредит вашему компьютеру!

Не запускайте эту программу на реальном компьютере.

Нажмите [Да], если хотите продолжить ...

Автор BadSam#1224

[Да] [Нет]

Таким образом, шифрование начинается после нажатия кнопки "Да". 

После этого начнется шифрование найденных файлов и появится следующий экран с надписью "Orion". 

Технические детали

Ничего неизвестно о его распространении. Вероятно находится на стадии испытаний или сделан для изучения вредоносных программ. 

После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это могут быть популярные типы файлов, например, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
OrionRansomware.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.