Если вы не видите здесь изображений, то используйте VPN.

четверг, 3 июня 2021 г.

Mcburglar, MCB

Mcburglar Ransomware 

MCB Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные локальной сети бизнес-пользователей с помощью AES+RSA, а затем требует связаться через Tor-сайт, чтобы узнать. как заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Mcburglar и MCB. На файле написано: MCB.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.33994, Trojan.Encoder.34011
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tutlf
BitDefender -> Trojan.GenericKD.46417837
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIZ
Malwarebytes -> Ransom.FileLocker, Ransom:Win32/Cobra
Microsoft -> Ransom:Win32/GandCrab.BG, 
Symantec -> ML.Attribute.HighConfidence, Trojan Horse, Ransom.Burglar
Tencent -> Msil.Trojan.Gen.
TrendMicro -> Ransom_Gen.R049C0PF621
---

© Генеалогия: ??? >> Mcburglar (MCB) 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .mcburglar

Записка с требованием выкупа называется: README-MCBURGLAR.txt


Содержание записки о выкупе:
  ___                              ___  
 (o o)                             (o o) 
(  V  ) !!! ATTENTION !!! (  V  )
--m-m-----------------------m-m--
You have been breached
by ***

✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐡𝐚𝐩𝐩𝐞𝐧𝐞𝐝 ?▁▂▃▅▆▓▒░✩

YOUR NETWORK HAS BEEN INFILTRATED, AND WE HAVE ACCESSED ALL YOUR DATA
✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐝𝐨𝐞𝐬 𝐭𝐡𝐢𝐬 𝐦𝐞𝐚𝐧?▁▂▃▅▆▓▒░✩

IT MEANS THAT SOON YOUR PARTNERS, CLIENTS, BOARD AND MASS MEDIA WILL KNOW OF YOUR PROBLEM
✩░▒▓▆▅▃▂▁𝐡𝐨𝐰 𝐜𝐚𝐧 𝐢𝐭 𝐛𝐞 𝐚𝐯𝐨𝐢𝐝𝐞𝐝 ?▁▂▃▅▆▓▒░✩

IN ORDER TO AVOID ISSUE
YOU ARE TO CONTACT US NO LATER THAN 3 DAYS AND CONCLUDE DATA RECOVERY AND AGREEMENT✩░▒▓▆▅▃▂▁𝐰𝐡𝐚𝐭 𝐢𝐟 𝐢 𝐝𝐨 𝐧𝐨𝐭 𝐜𝐨𝐧𝐭𝐚𝐜𝐭 𝐲𝐨𝐮?▁▂▃▅▆▓▒░✩

IF YOU DO NOT CONTACT US IN THE NEXT 3 DAYS WE WILL BEGIN DATA PUBLICATION
✩░▒▓▆▅▃▂▁𝐡𝐨𝐰 𝐝𝐨 𝐢 𝐜𝐨𝐧𝐭𝐚𝐜𝐭 𝐲𝐨𝐮 ?▁▂▃▅▆▓▒░✩

WIZE CHOICE, THERE IS FEW WAY TO DO THIS
I. RECOMMENDED (MOST SECURE METHOD)
a) DOWNLOAD TOR BROWSER (https://www.torproject.org/download/)
b) INSTALL THE TOR BROWSER
c) OPEN OUR WEBSITE WITH LIVE CHAT IN THE TOR BROWSER (http://XXXXXXXXXXXXXXXXXXXX.onion)
d) FOLLOW THE INSTRUCTIONS ON THIS PAGE
II. IF THIS METHOD IS NOT SUITABLE FOR YOU OR TOR IS BLOCKED IN YOUR COUNTRY
a) OPEN OUR WEBPAGE WITH LIVE CHAT (https://XXXXXXXXXXXXXXXXXX.onion)
b) FOLLOW INSTRUCTION ON PAGE


Перевод записки на русский язык:
Вы были нарушены
 ***
что случилось?
В ВАШУ СЕТЬ ПРОНИКЛИ, И МЫ ПОЛУЧИЛИ ДОСТУП КО ВСЕМ ВАШИМ ДАННЫМ
Что это значит?
ЭТО ЗНАЧИТ, ЧТО СКОРО ВАШИ ПАРТНЕРЫ, КЛИЕНТЫ, ПРАВЛЕНИЕ И СМИ УЗНАЮТ О ВАШЕЙ ПРОБЛЕМЕ.
как этого избежать?
ВО ИЗБЕЖАНИЕ ПРОБЛЕМ ВАМ НАДО НАПИСАТЬ НАМ НЕ ПОЗДНЕЕ 3 ДНЕЙ И ДОГОВОРИТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ
если я не свяжусь с вами?
ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В БЛИЖАЙШИЕ 3 ДНЯ, МЫ НАЧНЕМ ПУБЛИКАЦИЮ ДАННЫХ
как с вами связаться?
МУДРЫЙ ВЫБОР, ЕСТЬ НЕСКОЛЬКО СПОСОБОВ СДЕЛАТЬ ЭТО
I. РЕКОМЕНДУЕТСЯ (САМЫЙ БЕЗОПАСНЫЙ МЕТОД)
А) СКАЧАТЬ TOR-БРАУЗЕР (HTTPS://WWW.TORPROJECT.ORG/DOWNLOAD/)
Б) УСТАНОВИТЬ TOR-БРАУЗЕР
В) ОТКРЫТЬ НАШ САЙТ С ЖИВЫМ ЧАТОМ В TOR-БРАУЗЕРЕ (HTTP://XXXXXXXXXXXXXXXXXXXX.ONION)
Г) СЛЕДОВАТЬ ИНСТРУКЦИЯМ НА ЭТОЙ СТРАНИЦЕ
II. ЕСЛИ ЭТОТ СПОСОБ ВАМ НЕ ПОДХОДИТ ИЛИ В ВАШЕЙ СТРАНЕ TOR ЗАБЛОКИРОВАН
А) ОТКРОЙТЕ НАШУ ВЕБ-СТРАНИЦУ С ЧАТОМ (HTTPS://XXXXXXXXXXXXXXXXXX.ONION)
Б) СЛЕДУЙТЕ ИНСТРУКЦИЯМ НА СТРАНИЦЕ



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-MCBURGLAR.txt - название файла с требованием выкупа;
MCB.exe - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Administrator\Desktop\mcdump-main\MCB\obj\Debug\MCB.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IATG, AR, MS
MD5: d3d0035a769e6ef98b1433160b2c8333
SHA-1: be1d0aed32308166721d4756e2216dc44c2d0baa
SHA-256: 6b6158f74dbd43b8c839d5ae65d33ae9a11c9e3cef5fa52d86105983a67cdc4f
Vhash: 21503655151a084560021
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 2 июня 2021 г.

TaRRaK

TaRRaK Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: TaRRaK. На файле написано: TaRRaK.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33988
ALYac
-> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/Ransom.vwiqt
BitDefender -> Trojan.GenericKD.37017710
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIY
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.StartPage
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Dbj
TrendMicro -> Ransom_TarkCrypt.R011C0DF321
---

© Генеалогия: ??? >> TaRRaK


Сайт "ID Ransomware" это идентифицирует как TaRRaK.


Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .TaRRaK

Зашифрованные файлы ассоциируются со значком. 


Также используется маркер файлов TaRRaK, которые добавляется в начало  зашифрованного файла. 


Записка от вымогателей называется: Note_fom_TaRRaK.txt


Содержание записки о выкупе:
You've been hacked!
Your #FILECOUNT# file(s) was encrypted by TaRRaK Rasomware
Your System ID is #SYSTEMID#

Перевод записки на русский язык:
Вы взломаны!
Ваши *** файлы зашифрованы TaRRaK Rasomware
Ваш системный ID ***

Сообщение от вымогателей также есть на изображении, заменяющем обои Рабочего стола: 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
.3ds, .7z, .7zip, .acc, .accdb, .ai, .aif, .apk, .asc, .asm, .asf, .asp, .aspx, .avi, .backup, .bak, .bat, .bin, .bmp, .c, .cdr, .cer, .cfg, .cmd, .cpp, .crt, .crw, .cs, .csproj, .css, .csv, .cue, .db, .db3, .dbf, .dcr, .dds, .der, .dmg, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .epub, .erf, .flac, .flv, .gif, .gpg, .h, .html, .ico, .img, .iso, .java, .jpe, .jpeg, .jpg, .js, .json, .kdc, .key, .kml, .kmz, .litesql, .log, .lua, .m3u, .m4a, .m4u, .m4v, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .part, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .pptm, .pptx, .ps, .ps1, .psd, .pst, .ptx, .pub, .pri, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rm, .rtf, .rwl, .sav, .sh, .sln, .suo, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .thm, .tif, .tiff, .tmp, .torrent, .txt, .vbs, .vcf, .vlf, .vmx, .vmdk, .vdi, .vob, .wav, .wma, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (175 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, бэкапы, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых папок с файлами в них:
$Recycle.BinAll Users\Microsoft
Windows
Program Files
ProgramData
Temporary Internet Files
Local\Microsoft


Файлы, связанные с этим Ransomware:
Note_fom_TaRRaK.txt - название файла с требованием выкупа;
TaRRaK.exe - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"TaRRaK"="\"<PATH-TO-SAMPLE>\""
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, MS
MD5: 080faae20204b657a4fe38ea6cb54160
SHA-1: c1709bd4571ceafebcc20ee80dd7aa5715e9c5af
SHA-256: af760d272c64a9258fab7f0f80aa2bba2a685772c79b1dec2ebf6f3b6738c823
Vhash: 215036551511f07b1110012
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + Message + Message
 Write-up, Topic of Support
 *** 
Внимание! 
Файлы можно расшифровать. 
Скачайте дешифровщик от Avast по ссылке >> 
Подробная инструкция прилагается. 
 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 1 июня 2021 г.

SplinterJoke

SplinterJoke Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SplinterJoke Ransomware. На файле написано: SplinterJoke.exe. 
Согласно тексту преподносит себя как POC от SentinelOne. Странно, что  антивирусный движок SentinelOne обнаруживает исполняемый файл как  вредоносный. К тому же в текстовой записке название компании написано с ошибкой — SetinelOne. Таким образом непонятно, кем это было сделано, реальные антивирусные обнаружения см. ниже. 
---
Обнаружения: 
DrWeb
-> Trojan.EncoderNET.20

ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dropper.Gen
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIV
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Malware.AI.4175874279
Microsoft -> Trojan:Win32/Tiggre!rfn
SentinelOne (Static ML) -> Static AI - Malicious PE
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Dropper.Wmsw
TrendMicro -> TROJ_GEN.R049C0WEU21
---

© Генеалогия: ??? >> SplinterJoke


Сайт "ID Ransomware" это идентифицирует как SplinterJoke.


Информация для идентификации

Образец этого крипто-вымогателя был найден в конце мая - начале июня 2021 г., но был сделан ранее, 22 октября 2020. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Предоставлен исследователем из Китая. 

К зашифрованным файлам добавляется расширение: .SplinterJoke

Записка с требованием выкупа называется: ransom_note.txt


Содержание записки о выкупе:
This is just a SetinelOne PoC Demo
!!! YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email SplinterJoke and decrypt one file for free. But this file should be of not valuable!
Do you really want to restore your files?

---
Ошибки в тексте указаны красным цветом
При внимательном прочтении можно заметить, что в тексте нет никаких адресов для уплаты выкупа, кроме названия компании SentinelOne с предложением отправить им email, а это уже можно считать контактом. 
Трудно представить, что программист американской компании мог сделать две ошибки в тексте так, как это обычно делают вымогатели, для которых  английский язык неродной. 


Перевод записки на русский язык:
Это лишь демонстрация PoC SetinelOne
!!! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы.
Вы не сможете расшифровать их сами! Единственный способ восстановления файлов - это покупка уникального закрытого ключа.
Только мы можем предоставить вам этот ключ и только мы можем восстановить ваши файлы.
Чтобы убедиться, что у нас есть дешифратор и он работает, вы можете отправить email в SplinterJoke и бесплатно расшифровать один файл. Но этот файл не должен быть ценным!
Вы действительно хотите восстановить свои файлы?

---
Кроме того есть ещё одно сообщение, которое может быть изображением, заменяющим обои Рабочего остола. 


Содержание текста:
Pc infected by
SplinterJoke Ransomware
This is just a POC for
SentinelOne Demo

Перевод на русский язык:
Пк заражен
SplinterJoke Ransomware 
Это лишь POC для
SentinelOne Demo



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию: 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware: 
ransom_note.txt - название файла с требованием выкупа; 
SplinterJoke.exe - название вредоносного файла. 


Расположения: 
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware: 
См. ниже результаты анализов.

Мьютексы: 
См. ниже результаты анализов.

Сетевые подключения и связи: 
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, MS
MD5: 671ad98a0e0c83defa386673bed208c4
SHA-1: f90e106afe7a980137313a758cf90ab343a73e6c
SHA-256: 67628a5f04c7099346dd18957a4bc5179f5c3a07b41ca0d2a9e708dcab54d16d
Vhash: 225036151515001240020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 30 мая 2021 г.

BlackCocaine

BlackCocaine Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BlackCocaine. На файле написано: COCO.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34493
BitDefender -> Trojan.Agent.FIQL
ESET-NOD32 -> A Variant Of Generik.NTLQLUW
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.4263530856
Symantec -> Ransom.Gen
Tencent -> Win32.Trojan.Generic.Edxy
TrendMicro -> TROJ_FRS.VSNTF421
---

© Генеалогия: ??? >> BlackCocaine


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .BlackCocaine


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в конце мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первая атака была нацелена на индийскую ИТ-компанию Nucleus Software Exports, работающую в секторе банковских и финансовых услуг.

Записка с требованием выкупа называется: 
HOW_TO_RECOVER_FILES.BlackCocaine.txt


Содержание записки о выкупе:
***

Перевод записки на русский язык:
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Имеет несколько методов защиты от виртуальных машин и отладки, чтобы защитить себя от анализа и захвата средствами автоматического анализа.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVER_FILES.BlackCocaine.txt - название файла с требованием выкупа;
COCO.exe - название вредоносного файла.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://blackcocaine.top
Email: 
BTC: 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 
---
IOC (payload): VT, HA, IA, TG, AR, VMR, JSB
MD5: 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Cyble Research
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 28 мая 2021 г.

Epsilon Red

Epsilon Red Ransomware 

EpsilonRed PowerShellScript Ransomware 

EpsilonRed PSS-Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные в атакованной корпоративной сети с помощью AES+RSA, а затем требует выкуп в несколько BTC, чтобы вернуть файлы. Оригинальное название: Epsilon Red. На файле написано: Red.exe. Написан на языке Go. Включает в себя набор уникальных PowerShell-скриптов, подготавливающих ПК к шифрованию файлов.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: заимствования из других проектов >> Epsilon Red

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .epsilonred


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине - конце мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: ***нет данных***


Содержание записки о выкупе:
[+] What's Happened? [+]
Your files have been encrypted and currently unavailable. You can check it. All files in your system have "EpsilonRed" extension. By the way, everything is possible to recover (restore) but you should follow our instructions. Otherwise you can NEVER return your data.
[+] What are our guarantees? [+]
It's just a business and we care only about getting benefits. If we don't meet our obligations, nobody will deal with us. It doesn't hold our interest. So you can check the ability to restore your files. For this purpose you should come to talk to us we can decrypt one of your files for free. That is our guarantee.
It doesn't metter for us whether you cooperate with us or not. But if you don't, you'll lose your time and data cause only we have the private key to decrypt your files, time is much more valuable than money.
[+] Data Leak [+]
We uploaded your data and if you dont contact with us then we will publish your data.
Example of data:
- Accounting data
- Executive data
- Sales data
- Customer support data
- Marketing data
- And more other ...
[+] How to Contact? [+]
You have two options :
1. Chat with me :
-Visit our website: http://epsilons.red/***
-When you visit our website, put the following KEY into the input form.
-Then start talk to me.
2. Email me at : ***@protonmail.com

Перевод записки на русский язык:
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете это проверить. Все файлы в вашей системе имеют расширение "EpsilonRed". Кстати, все можно вернуть (восстановить), но вы должны следовать нашим инструкциям. В противном случае вы НИКОГДА не сможете вернуть свои данные.
[+] Какие у нас гарантии? [+]
Это просто бизнес и мы заботимся только о выгоде. Если мы не будем выполнять обязательства, с нами никто не будет иметь дело. Это нам неинтересно. Таким образом, вы можете проверить возможность восстановления ваших файлов. Для этого вам следует поговорить с нами, мы бесплатно расшифруем один из ваших файлов. Это наша гарантия.
Нам не важно, сотрудничаете вы с нами или нет. Но если вы этого не сделаете, вы потеряете свое время и данные, потому что только у нас есть закрытый ключ для расшифровки ваших файлов, время гораздо дороже денег.
[+] Утечка данных [+]
Мы загрузили ваши данные и если вы не свяжетесь с нами, мы их опубликуем.
Пример данных:
- Данные бухгалтерского учета
- Исполнительные данные
- Данные о продажах
- Данные поддержки клиентов
- Маркетинговые данные
- И многое другое ...
[+] Как связаться? [+]
У вас есть два варианта:
1. Пообщайтесь со мной:
-Посетите наш сайт: http://epsilons.red/***
-При посещении нашего сайта введите следующий КЛЮЧ в форму ввода.
-Тогда начнете со мной разговаривать.
2. Напишите мне на адрес: ***@protonmail.com


Содержание записки вероятно заимствовано из записки Sodinokibi (REvil) Ransomware.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Начальной точкой проникновения злоумышленников в корпоративную сеть являются непропатченные серверы Microsoft Exchange. Далее, используя возможности WMI (Windows Management Instrumentation), злоумышленники получают доступ  к другим машинам корпоративной сети и возможность установки на них другого вредонсоного ПО. 

Список типов файлов, подвергающихся шифрованию:
Списка нет. Шифруются все найденные файлы внутри папок, включая другие исполняемые файлы и DLL, что может сделать программы или всю систему неработоспособными. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
1.ps1 - 12.ps1, C.ps1. S.ps1, RED.ps1 - PowerShell-сценарии, используемые зломышленниками во время атаки и шифрования; 
P.exe - файл, приостаналивающий некоторые процессы, которые могут помешать шифрованию файлов (вероятно модифицированная версия инструмента EventCleaner); 
RED.ps1 - скрипт, выполняющий выполняет 12 из 14 скриптов PowerShell, добавляя их в Планировщик заданий; 
Red.exe - программа-вымогатель (исполняемый файл 64-битной Windows, написанный на языке Go, скомпилированный с помощью инструмента MinGW и упакованный модифицированной версией упаковщика UPX; 


rutserv.exe - файл установщика, созданный с помощью Remote Utilities, который зломышленники загружают на несколько компьютеров в сети цели, чтобы потом запустить на выполнение.


Описание действий некоторых вышеназванных файлов:
Сценарий red.ps1 распаковывает архив RED.7z в директорию %SYSTEM%\RED, а затем создает запланированные задачи, которые запускают распакованные сценарии. Затем он ждет один час и выполняет команды, которые изменяют правила брандмауэра Windows таким образом, чтобы брандмауэр блокировал входящие соединения на всех TCP-портах, кроме 3389/tcp протокола удаленного рабочего стола и коммуникационного порта 5650/tcp, используемого коммерческим инструментом Remote Utilities. Как ни странно, он сначала блокирует входящий трафик на порты 80 и 443, а затем избыточно блокирует все большие диапазоны портов, которые включают 80 и 443, но также исключают порты RDP и Remote Utilities: 1-3388, 3390-5649, and 5651-65352. 

1.ps1 ищет процессы, содержащие любую из следующих строк в имени, и пытается их прервать: sql, Sql, SQL, BASup, Titan, SBAM, sbam, vipre, Vipre, Cylance, cylance, Senti, senti, sql, backup, veeam, outlook, word, excel, office, ocomm, dbsnmp, onenote, firefox, xfssvccon, infopath, wordpa, isqlplussvc, sql, dbeng50, mspub, mydesktopqos, ocautoupds, thunderbird, encsvc, oracle, mydesktopservice, thebat, agntsvc, steam, ocssd, tbirdconfig, synctime, visio, sqbcoreservice, winword, msaccess, powerpnt, mepocs, memtas, svc$, vss, sophos, crm, quickbooks, pos, qb, sage, SQL, prc, w3wp, java, store, ax32, dbs, wordpad, VeeamAgent, Backup, Cloud, Mbae, MB3, WRSA, rsa, wrsa

2.ps1 удаляет все тома теневых копии системы, выполняя только одну команду vssadmin.exe delete shadows /all /quiet 

3.ps1 отключает автоматическое восстановление, которое Windows может попытаться запустить после перезагрузки; 

4.ps1 пытается удалить теневые копии другим способом: 
wmic shadowcopy delete /nointeractive
Get-WmiObject Win32_ShadowCopy | % { $_.Delete() }
Get-WmiObject Win32_ShadowCopy | Remove-WmiObject
Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }
Get-CimInstance Win32_ShadowCopy | Remove-CimInstance 

5.ps1 выполняет две команды, которые удаляют журналы событий Windows Windows Event Logs), что затрудняет расследование инцидентов; 

6.ps1 пытается завершить службы, на основе следующего списка строк, которые могут появиться в именах этих служб:  
sql, Sql, SQL, BASup, Titan, Cylance, cylance, Defend, NisSvc, Veeam, veeam, backup, Backup, rsa, wrsa, WRSA, RSA
Кроме того, он отключает Защитник Windows, изменив следующий ключ в реестре Windows:  
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender” /f /v DisableAntiSpyware /t REG_DWORD /d

7.ps1 отключает практически все открытые сеансы на компьютере; 

8.ps1 - дублирует сценарий для правил брандмауэра, включенного в red.ps1;

9.ps1 запускается первым и пытается вызвать деинсталлятор для защитного программного обеспечения от Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot и нескольких агентов облачного резервного копирования; 

10.ps1 повторно запускает удаленный исполняемый файл P.exe, который приостанавливает процессы, содержащие следующие строки, и очищает их журналы: 
MpCmd, MsMp, Senti, senti, sql, backup, veeam, outlook, word, excel, office, ocomm, dbsnmp, onenote, firefox, xfssvccon, infopath, wordpa, isqlplussvc, sql, dbeng50, mspub, mydesktopqos, ocautoupds, thunderbird, encsvc, oracle, mydesktopservice, thebat, agntsvc, steam, ocssd, tbirdconfig, synctime, visio, sqbcoreservice, winword, msaccess, powerpnt, mepocs, memtas, svc$, vss, sophos, crm, quickbooks, pos, qb, sage, SQL, prc, w3wp, java, store, ax32, dbs, wordpad, VeeamAgent, Backup, Cloud, Mbae, MB3

11.ps1 выполняет следующие команды для удаления теневых копий (в третий раз!), изменения параметров восстановления и очищения журналов:  
vssadmin.exe Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled no
wmic shadowcopy delete
wbadmin delete backup
wbadmin delete systemstatebackup -keepversions:0
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
wbadmin delete systemstatebackup
wbadmin delete catalog -quiet
bootstatuspolicy ignoreallfailures

12.ps1 предоставляет группе "Все" права доступа к каждой букве диска, которая может быть на компьютере, чтобы зашифровать наибольшее количество файлов. 

По результатам исследования Andrew Brandt (Sophos), вымогатели использовали возможности инструментов из свободного доступа: PowerShell,  Copy-VSS,  Remote Utilities, EventCleaner

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://epsilons.red
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
sha256 57EE78299598170C766FF73CEFCA9E78B9B81AC6999E8ADB61903BC89BE313BA - red.ps1
sha256 7259975D7E3B3D9D059A38F4393AB920764B46CA243E192E08F7699999382E07 - RED.7z archive (contains all subsequent files)
sha256 172BBF46E5F46DD7A9EA0C22054B644F60EFC3A9AD26A6F0E95CA57E38AF60A7 - 1.ps1 file
sha256 9845619CB9C3612055A934C4270568391832EAB40A66DBB22B1B37FA05559C92 - 2.ps1 file
sha256 5120998FA1482D4D0D0099D91AAB2AF647C0272819D7DCF792EEC01C77AB9391 - 3.ps1 file
sha256 4D6272AEADF7FC131AC126DC07D7BFD2E878D359E5E7BB5376A67295CE05FC15 - 4.ps1 file
sha256 0794C8630F40F04C0E7CEA40F11DC3F1A829A3BE69852FE9E184AA8B7ED20797 - 5.ps1 file
sha256 7A8128F8788524E54A69619B69870DFD4C50DB46E3EB786899F7275DAB73D2D9 - 6.ps1 file
sha256 4EAF5E93953756BC2196BFCFB030B6EAAD687FA1E8DB9F47B09819F3B4315230 - 7.ps1 file
sha256 8C294F1EF05DF823460BD11CE34EA7860178DE6BC3D9B0127A3B9C08CF62437F - 8.ps1 file
sha256 A9A6D35469E471666758ED5D1174EDC5B650C0ACB2C351213EADFB408F74BDCB - 9.ps1 file
sha256 039DA6B099303FDFD087BB7DF94012780DFE375C67234CE495C78CF2DCF7FD9D - 10.ps1 file
sha256 699FFB898864BF804CF726F39B5E8168D55E44FC1584B71BA25E31B43AE543E8 - 11.ps1 file
sha256 EE10F3A798AAA03F4CED2DDB28D2B36FE415EA2CBBD9C3B97B2A230A72D77F5C - 12.ps1 file
sha256 C1F963ABA616680E611601E446955E9552C69DB23DABAB8444718D82AD830029 - C.ps1 file
sha256 5AA7DE7EAB570522C93D337D395396057033AD6596DB4A0BDA15D77A6D4C6C3A - S.ps1 file
sha256 84755B2177B72364918F18C62A23854E7A8A66C4F5005CC040357850ADF9D811 - P.exe
sha256 ce5ba1e5d70d95d52b89a1b8278ff8dd4d1e25c38c90ca202b43bdc014795d78 - rutserv.exe (Remote Utilities installer)
sha256 35ffc1263005fd0a954deed20a7fb0cd53dbab6bb17ff8bd34559a5a124686c7 - rutserv.exe (Remote Utilities installer)


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as EpsilonRed)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Brandt (Sophos)
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *