AstraLocker

AstraLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп $50 в # XMR или BTC, чтобы вернуть файлы. Оригинальное название: AstraLocker Ransomware. На файле написано: AstraLocker.exe.
---
Обнаружения:
DrWeb -> Trojan.ClipBankerNET.7, Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.5554
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Chaos
Microsoft -> Ransom:MSIL/ApisCryptor.PAA!MTB, Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Symantec -> Ransom.Sorry
Tencent -> Msil.Trojan.Agent.Llrh
TrendMicro -> Ransom_ApisCryptor.R002C0DHK21, Ransom.MSIL.ASTRA.SMLKC
---

© Генеалогия: ✂ HiddenTear, ✂ Chaos >> AstraLocker => AstraLocker 2.0

© Генеалогия: AstraLocker + ✂ Babuk => AstraLocker 2.0

Символ => здесь означает переход на другую разработку. В данном случае AstraLocker 2.0 основан на утекшем в Сеть исходном коде Babuk Locker Ransomware. 

Сайт "ID Ransomware" идентифицирует AstraLocker как Chaos Ransomware. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .AstraLocker

Записка с требованием выкупа называется: read_it.txt

Содержание записки о выкупе:

***************************

*                AstraLocker             *

***************************

All of your files have been encrypted

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without my help.

What can I do to get my files back?

You can buy my decryption software, this software will allow you to recover all of your data and remove the Ransomware from your computer.

The price for the software is 50$. Payment can be made in Monero, or Bitcoin (Cryptocurrency) only.

How do I pay, where do I get Monero?

Purchasing Monero or Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Monero or Bitcoin.

Amount of Monero to pay: 0.20 XMR (Monero)

Monero Address: 47moe29QP2xF2myDYaaMCJHpLGsXLPw14aDK6F7pVSp7Nes4XDPMmNUgTeCPQi5arDUe4gP8h4w4pXCtX1gg7SpGAgh6qqS

Bitcoin Addres: bc1qel4nlvycjftvvnw32e05mhhxfzy7hjqkjh82ez

After payment contact: AstraRansomware@protonmail.com for decryptor

***************************

*                AstraLocker             *

***************************

Перевод записки на русский язык:

***************************

*                AstraLocker             *

***************************

Все ваши файлы зашифрованы

Ваш компьютер заражен вирусом-вымогателем. Ваши файлы зашифрованы, и вы не сможете расшифровать их без моей помощи.

Что я могу сделать, чтобы вернуть свои файлы?

Вы можете купить мою программу для расшифровки, эта программа позволит вам восстановить все ваши данные и удалить Ransomware с вашего компьютера.

Цена софта 50$. Оплата может быть произведена только в Monero или Bitcoin (криптовалюта).

Как я могу заплатить, где я могу получить Monero?

Покупка Monero или Bitcoin варьируется от страны к стране, вам лучше всего выполнить быстрый поиск в Google самостоятельно, чтобы узнать, как купить Monero или Bitcoin.

Сумма Monero для оплаты: 0.20 XMR (Monero)

Адрес Монеро: 47moe29QP2xF2myDYaaMCJHpLGsXLPw14aDK6F7pVSp7Nes4XDPMmNUgTeCPQi5arDUe4gP8h4w4pXCtX1gg7SpGAgh6qqS

Биткойн-адрес: bc1qel4nlvycjftvvnw32e05mhhxfzy7hjqkjh82ez

После оплаты контакт: AstraRansomware@protonmail.com для расшифровки

***************************

*                AstraLocker             *

***************************

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_it.txt - название файла с требованием выкупа;
AstraLocker.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: AstraRansomware@protonmail.com
BTC: bc1qel4nlvycjftvvnw32e05mhhxfzy7hjqkjh82ez

XMR (Monero):

47moe29QP2xF2myDYaaMCJHpLGsXLPw14aDK6F7pVSp7Nes4XDPMmNUgTeCPQi5arDUe4gP8h4w4pXCtX1gg7SpGAgh6qqS

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 36c5d6b54ae35efed69419ac27585ad6

SHA-1: cb029dfb52583feff8708f4ca4767705aee505b6

SHA-256: 7b2d5c54fa1dbf87d7de17bf0bf0aa61b81e178a41b04e14549fb9764604f54c

Vhash: 21503615151b00714f0034

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

AstraLocker Ransomware - август 2021

AstraLocker 2.0 Ransomware - 2022

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Karakurt

Karakurt Extortion Group

Karakurt Hacking Team

Karakurt Doxware

Karakurt Ransomware

(хакеры-вымогатели, доксеры, публикаторы) (первоисточник на русском)
Translation into English

Эти хакеры-вымогатели не шифрует данные бизнес-пользователей, но атакуют их ресурсы, похищают данные, а затем требует выкуп, чтобы вернуть файлы, не опубликовав их для всеобщего обозрения. Оригинальное название группы-вымогателей: Karakurt Hacking Team (KHT). Суммы выкупа: от 45000 до 1 миллиона долларов в криптовалюте. Позже исследователи выяснили, что Karakurt может быть связана с Conti Ransomware Group. 
---

Сайт "ID Ransomware" идентифицирует это как Karakurt. 

Информация для идентификации

Активность этой группы хакеров-вымогателей началась с июня 2021 г. и продолжалась в течение года. Пик хакерских атак пришелся на третий квартал. Так, в период с сентября по ноябрь 2021 года от этой группы пострадало более 40 компаний в различных отраслях. Группа KHT нацелена на мелкие предприятия или дочерние компании, а не на крупные корпорации. Большинство известных жертв находятся в Северной Америке (95%), а остальные 5% - в Европе.

Группа хакеров-вымогателей отправляет пострадавшей компании и её клиентам/партнерам персонифицированные сообщения о выкупе. Это может быть файл readme.txt или с другим названием. 

Примерное содержание: 

We breached your internal network and took control over all of your systems.

---

We exfiltrated anything we wanted 100 GB (including Private & Confidential information, Intellectual Property, Customer Information and most important Your TRADE SECRETS)

Полное содержание записки включает сообщение о том, что компьютер жертвы был взломан командой Каракурт, угрозы публикации или продажи украденных данных на аукционе. Инструкции включают ссылку на TOR-сайт с кодом доступа. После ввода кода доступа на сайте открывается чат поддержки, где жертвы могут договориться с операторам Каракурта об оплате за удаление их данных. 

Украденные данные включают информацию, позволяющую установить личность (PII): трудовые книжки, медицинские и финансовые деловые записи. Жертвы в хоже переговоров получают скриншоты, показывающие файловые деревья украденных данных или настоящие копии украденных файлов. Достигнув соглашения с жертвами о цене украденных данных, деятели Каракурта предоставляют им новый биткойн-адрес, на который нужно сделать платеж. Получив выкуп, вымогатели предоставляют доказательства удаления украденных файлов, например, запись экрана удаляемых файлов, журнал удаления или учетные данные для входа жертвы на сервер хранения и самостоятельного удаления своих файлов. 

В некоторых подтвержденных случаях группа Karakurt занималась вымогательством у жертв, ранее атакованных другими вымогателями. Мы не знаем наверняка и можем только предположить два различных варианта: 

а) группа Karakurt получила (перекупила) украденные данные у других вымогателей, а вторичная утечка украденных данных произошла не по их вине; 

б) группа Karakurt еще кому-то передала (продала) данные, за которые получила выкуп. 

Группа Karakurt является по сути "всеядной", среди пострадавших различные производства, компании и сервисы, работающие в следующих областях:

Architecture/Design - Архитектура, дизайн

Audit & Accounting - Аудит и бухгалтерский учет

Biotechnology - Биотехнологии

Building & Construction - Строительство зданий

Design - Дизайн

Design Services - Дизайнерские услуги

Energy - Энергетика

Enviromental Services - Экологические услуги

Food & Beverages - Еда и напитки

Food Equipment - Пищевое оборудование

Hospitality - Обслуживание гостей

Industrial - Промышленность

Manufacturing - Производство

Medical Services - Медицинские услуги

Online Retailer - Интернет-магазины

Property Rentals - Аренда недвижимости

Real Estate - Недвижимость

Services - Услуги

Sports - Спорт

Sports Industry - Спортивная индустрия

Technology - Технологии

Transport Logistics - Транспортная логистика

В июне 2021 года хакеры из Karakurt Hacking Team зарегистрировали два домена, а в августе завели страницу в Twitter под ником KarakurtLair. Первоначально было известно, что они не использовали ransomware для шифрования файлов своих жертв, но они крали данные и требовали выкуп, чтобы не публиковать украденные данные. 

Изображение с сайта хакеров-вымогателей

Страницы сайта хакеров-вымогателей

 

Содержание страницы "ABOUT":

We thought for a long time what to write on this page. Since you're here - you've got the point by now, right? You probably think that we are nothing more than another team of online scammers trying to make money. In part, this is probably true, but for us the situation looks different. So how are we different in our opinion? We strongly condemn the low threshold of knowledge required now to implement attacks on commercial networks, hacking turns into a routine work, frameworks have simplified the process to trivial button presses. For our part, we try to approach our work as creatively as possible, improving various techniques and deeply immersing ourselves in the study of products related to modern information security tools. If you've been the victim of a hack and data theft, don't be in a rush to blame your security team, it just wasn't their day. The budgets that you spend on the purchase of protective equipment and software can only complicate our work, they can never completely protect you, but we, for our part, love complex tasks very much.

Now a few words on the case. We do not try to harm your processes, delete your data, destroy your business, at least until you yourself give us a reason. We never attack the same target twice. We always adhere to the agreements we have concluded. We do not bargain, never bargain, never bargain at all. The reason is simple - spending considerable time researching the obtained data, including financial indicators, we always know how much you are able to pay so that you do not have to delay salaries or cancel any projects. We know how long it will take for you. Don't try to deceive us. The final storage points for your data are disconnected from the Internet, so you won't be able to localize them and deny us access to them.

Sofisticated. Evasive. Deep. Persistent.

На момент первичной подготовки статьи на сайте хакеров-вымогателей было 4 пресс-релиза. Зная, что со временем сайт может оказаться недоступен, мы сделали скриншоты страниц сайта. Его содержание выглядит довольно примечательным, благодаря использованным иллюстрациям нидерландского художника Иеронима Босха. 

Вот страницы каждого из них.

Сначала мы хотели опубликовать текст, но потом, посоветовавшись с коллегами, решили оставить только скриншоты. Но текст, написанный вымогателями, сам по себе интересен. Вот наш перевод на русский язык некоторой части этого текста. 

Уважаемые посетители, клиенты и журналисты.

Рады представить вашему вниманию массу компаний из разных отраслей, которые подверглись взлому... 

***

У этих компаний было достаточно времени, чтобы решить свои проблемы, но они предпочли промолчать. Их много раз предупреждали о последствиях.

Тем временем наша компания готовит полный список данных, которые мы получили от каждой жертвы. Вскоре после этого вы сможете детально изучить его и принять решение, заинтересованы ли вы в участии в нашем интернет-аукционе или нет. И да, он существует, и для начала нужно всего 3 участника.

***

Мы всегда стараемся сделать все возможное, чтобы сохранить конфиденциальность компании с самого начала, как будто утечки данных никогда не было. У этих компаний был выбор: держать все в секрете или публично раскрыть. Наши жертвы выше решили быть наказанными.

***

Хотите верьте, хотите нет, но наша команда с самого начала работает в интересах каждой компании. К сожалению, не все компании понимают этот момент. В результате они попадают в наш черный список. Наши уважаемые клиенты, пожалуйста, выберите свою судьбу…

***

Если вас интересует более конкретная информация о компании, не забудьте принять участие в нашем закрытом аукционе. Просто заполните контактную форму, и мы поможем вам зарегистрироваться.

***

Итак, как вы все видите, разнообразие наших жертв непредсказуемо. Любая компания может быть атакована. Некоторые дела будут такими же серьезными, как и их будущие последствия, из-за игнорирования нашего сообщения. На данный момент у нас есть 3 утечки больших данных, которые будут опубликованы отдельно и содержат некоторую интересную информацию.

Пожалуйста, оставайтесь с нами и следите за нашими обновлениями. Наши американские горки ускоряются.

Внимание! Новые элементы, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Вредоносные инструменты, которые используют хакеры-вымогатели, могут распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся доксингу:
Нет специального списка, все зависит от объекта нападения и конкретной цели. 

Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Инструменты группы: 

KHT сначала использует учётные данные VPN для получения первоначального доступа к сети жертвы. В известных атаках хакеры использовали Cobalt Strike и AnyDesk, а после получения доступа инструменты повышения привилегий, в том числе Mimikatz или PowerShell для кражи ntds.dit, содержащего данные Active Directory. Во время кражи данных группа использовала 7zip и WinZip для сжатия и Rclone или FileZilla (SFTP) для загрузки данных в облачное хранилище Mega.io, а также легитимные инструменты Microsoft. 

Сетевые подключения и связи:

Twitter: The Karakurt Team (@KarakurtLair)

URL: hxxxs://karakurt.group/

URL: hxxxs://karakurt.tech/

URL: hxxxs://karakurt.co/

Tor-URL: hxxxs://omx5iqrdbsoitf3q4xexrqw5r5tfw7vp3vl3li3lfo7saabxazshnead.onion

Email: karakurtlair@gmail.com

mark.hubert1986@gmail.com

personal.information.reveal@gmail.com

ripidelfun1986@protonmail.com

gapreappballye1979@protonmail.com

confedicial.datas.download@protonmail.com

armada.mitchell94@protonmail.com

---

BTC: вероятно кошелек новый для каждой жертвы, вот небольшой список:

bc1qfp3ym02dx7m94td4rdaxy08cwyhdamefwqk9hp

bc1qw77uss7stz7y7kkzz7qz9gt7xk7tfet8k30xax

bc1q8ff3lrudpdkuvm3ehq6e27nczm393q9f4ydlgt

bc1qenjstexazw07gugftfz76gh9r4zkhhvc9eeh47

bc1qxfqe0l04cy4qgjx55j4qkkm937yh8sutwhlp4c

bc1qw77uss7stz7y7kkzz7qz9gt7xk7tfet8k30xax

bc1qrtq27tn34pvxaxje4j33g3qzgte0hkwshtq7sq

bc1q25km8usscsra6w2falmtt7wxyga8tnwd5s870g

bc1qta70dm5clfcxp4deqycxjf8l3h4uymzg7g6hn5

bc1qrkcjtdjccpy8t4hcna0v9asyktwyg2fgdmc9al

bc1q3xgr4z53cdaeyn03luhen24xu556y5spvyspt8

bc1q6s0k4l8q9wf3p9wrywf92czrxaf9uvscyqp0fu

bc1qj7aksdmgrnvf4hwjcm5336wg8pcmpegvhzfmhw

bc1qq427hlxpl7agmvffteflrnasxpu7wznjsu02nc

bc1qz9a0nyrqstqdlr64qu8jat03jx5smxfultwpm0

bc1qq9ryhutrprmehapvksmefcr97z2sk3kdycpqtr

bc1qa5v6amyey48dely2zq0g5c6se2keffvnjqm8ms

bc1qx9eu6k3yhtve9n6jtnagza8l2509y7uudwe9f6

bc1qtm6gs5p4nr0y5vugc93wr0vqf2a0q3sjyxw03w

bc1qta70dm5clfcxp4deqycxjf8l3h4uymzg7g6hn5

bc1qx9eu6k3yhtve9n6jtnagza8l2509y7uudwe9f6

bc1qqp73up3xff6jz267n7vm22kd4p952y0mhcd9c8

bc1q3xgr4z53cdaeyn03luhen24xu556y5spvyspt8

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новость от 10 января 2022:

Karakurt Hacking Team атакует канадские организации. 

Ссылка на статью >>

Сообщение от 8 апреля 2022: 
Исследование Infinitum IT о связи Conti Ransomware и Karakurt Extortion Group. Ссылка на статью >> 

Сообщение от 15 апреля 2022: 

Выявлена связь Karakurt Extortion Group с Conti Ransomware Group.

Статья на сайте Arctic Wolf >>

Статья на сайте Bleeping Computer >>

После получения доступа к внутреннему VPS-серверу, которыми управляют киберпреступники, исследователи безопасности обнаружили связь между Conti Ransomware и хакерской группой Karakurt, и считают, что обе группы взаимосвязаны.

---

Для справки: VPS-сервер размещен у провайдера Inferno Solutions, работающего в Украине и в России, который поддерживает анонимные способы оплаты и принимает заказы через соединения VPN и TOR. Юридический адрес компании Inferno Solutions: 22 Brоndesbury Park, Willesden, London, NW6 7DL. 

Управление и техническая поддержка предоставляется подставной компанией, которая ведет свою деятельность якобы из России. 

Когда файлы шифровальщика Conti Ransomware блокируются и атака не переходит в стадию шифрования, хакеры Karakurt используют похищенную информацию для вымогательства данных через свои сайты. 

В отчете компании по кибербезопасности Arctic Wolf говорится, что в ходе расследования дела клиента, который ранее заплатил Conti за разблокировку своих данных, было обнаружено, что указанный клиент был позже взломан группой Karakurt через бэкдор Cobalt Strike, оставленный группой Conti Ransomware.

Компания по анализу блокчейнов Chainalysis обнаружила платёжные адреса жертв Karakurt, размещенные в кошельке Conti, что указывает на то, что обе группы управляются из одного центра.

Диапазон IP-адресов 209.222.98.19 - 209.222.98.255, который по словам исследователей принадлежит хакерам, на самом деле зарегистрирован в Филадельфии (США).  

Интересная картина: эти исследования, сами того не желая, доказывают, что 

- российский след группы Conti — фиктивный, диалоги переписки хакеров - пустой набор фраз и букв; 

- Conti и Karakurt управляются из Великобритании, базируются в США, переводят подконтрольные биткоины на кошельки, которые сливаются в один, который тоже находится в одной из этих стран. 

Или придется поверить, что русские хакеры управляют C&C и серверами этих стран как своими собственными, что мало вероятно. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 Added later: Write-up, Write-up, Write-up, Alert (AA22-152A)

 Thanks: 
 Michael Gillespie (pre info)
 Andrew Ivanov (article author)
 Accenture Security, BleepingComputer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

LockFile

LockFile Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует связаться через UTox, что узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: LockFile. Чёткий образец не предоставлен. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34276
BitDefender -> Trojan.GenericKD.37457318
ESET-NOD32 -> A Variant Of Win64/Filecoder.LockFile.A
Kaspersky -> Trojan-Ransom.Win64.LockFile.a
Malwarebytes -> Ransom.LockFile
Microsoft -> Trojan:MSIL/Cryptor
Symantec -> Ransom.Lockfile
Tencent -> Win32.Trojan.Genericcryptor.Swur
TrendMicro -> Ransom.Win64.LOCKFILE.A
---

© Генеалогия: ✂ LockBit >> LockFile > AtomSilo

Сайт "ID Ransomware" это идентифицирует как LockFile. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в США 20 июля 2021 г., однако специалисты сообщили о нем только 20 августа 2021. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Атаки LockFile были зарегистрированы в основном в США и странах Азии, а их жертвами стали как минимум 10 организаций из следующих секторов: финансовые услуги, производство, машиностроение,  юриспруденция, бизнес-услуги, путешествия и туризм. 

К зашифрованным файлам добавляется расширение: .lockfile

Записка с требованием выкупа в июле 2021 называлась: LOCKFILE-README.hta

На реальных ПК записка, видимо, имела форму:

[victim_name]-LOCKFILE-README.hta

Сообщается, что в других случаях при формирования названия записки использовался шаблон: 

LOCKFILE-README-#COMPUTER#-#TIME#.hta

Пример на атакованном ПК: 

LOCKFILE-README-XC64ZB-1629866461.hta

В другом варианте при формирования названия записки использовался шаблон: 

LOCKFILE-FILE-#COMPUTER#-#TIME#.hta

Содержание записки (часть текста):

ENCRYPTED
What happened?
All your documents, databases, backups, and other critical files were encrypted.
Our software used the AES cryptographic algorithm (you can find related information in Wikipedia).
It happened because of security problems on your server, and you cannot use any of these files anymore. The only
way to recover your data is to buy a decryption key from us.
To do this, please send your all file size to the contacts below.
E-mail: ***
Wallet: contact us
***

Эта HTA-записка очень похожа на ту, что используется в CryLock Ransomware с версии 2.0 (с июля 2020 года). 

Но на момент написания статьи сообщается, что в августе 2021 используется название по шаблону: 

[victim_name]-LOCKFILE-README.hta

В отчете исследователей есть скриншот более новой записки вымогателей, на котором Tor-адрес указан неполностью. 

Примерно с мая 2020 года вымогатели из LockBit Ransomware использовали похожий на вид сайт. Возможно, что вымогатели из LockFile Ransomware используют их шаблон записки или как-то связаны с этой группой вымогателей. 

Содержание текста о выкупе:

ALL YOUR IMPORTANT FILES ARE ENCRYPTED!

---

Any attempts to restore your files with the thrid-party software will be fatal for your files!

Restore you data posible only buying private key from us.

---

There is only one way to get your files back:

---

01. contact us UTox Email

uTox ID: ***

hxxxs://utox.org/

Email: contact@contipauper.com

---

02. Through a Tor Browser - recommended

Download Tor Browser - hxxxs://www.torproiect.org/ and install it.

Open link in Tor Browser - hxxx://zqaflhty5hyz***

This link only works in Tor Browser!

Follow the instructions on this page

---

ATTENTION!

Do not try to recover files yourself, this process can damage your data and recovery will become impossible

Do not rename encrypted files.

Do not waste time trying to find the solution on the Internet.

The longer you wait, the higher will become the decryption key price

Decryption of your files with the help of third parties may cause increased price (they add their fee to our).

Tor Browser may be blocked in your country or corporate network. Use hxxxs://bridges.torproject.org or use Tor

Browser over VPN.

Thanks to the warning wallpaper provided by lockbit, it's easy to use

Перевод текста на русский язык:

ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!

---

Любые попытки восстановить ваши файлы с помощью сторонних программ будут фатальными для ваших файлов!

Восстановить свои данные возможно только купив у нас приватный ключ.

---

Есть только один способ вернуть ваши файлы:

---

01. свяжитесь с нами по UTox Email

uTox ID: ***

hxxxs://utox.org/

Email: contact@contipauper.com

---

02. Через Tor браузер - рекомендуется

Загрузите Tor браузер - hxxxs://www.torproiect.org/ и установите его.

Открыть ссылку в Tor браузере - hxxx://zqaflhty5hyz***

Эта ссылка работает только в Tor браузере!

Следуйте инструкциям на этой странице

---

ВНИМАНИЕ!

Не пытайтесь восстановить файлы сами, этот процесс может повредить ваши данные и восстановление станет невозможным.

Не переименовывайте зашифрованные файлы.

Не тратьте время на поиски решения в Интернете.

Чем дольше вы ждете, тем выше станет цена ключа дешифрования.

Расшифровка ваших файлов с помощью третьих лиц может привести к удорожанию (они добавляют свою цену к нашей).

Браузер Tor может быть заблокирован в вашей стране или в корпоративной сети. Используйте hxxxs://bridges.torproject.org или используйте браузер Tor через VPN.

Благодаря предупреждающим обоям, предоставленным lockbit, им легко пользоваться

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Первоначальный доступ к сети осуществляется с помощью атаки ProxyShell на серверы Microsoft Exchange, эксплуатируя найденные недавно уязвимости (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Затем злоумышленники захватывают контроллер домена организации, используя новый эксплойт PetitPotam, который под контролемLockFile принудительно выполняет аутентификацию на удаленном NTLM-реле. PetitPotam имеет несколько вариантов. На момент написания статьи официальные средства защиты и обновления Microsoft пока еще не полностью блокируют вектор атаки PetitPotam. Злоумышленники, стоящие за LockFile, полагаются на общедоступный код для использования исходного варианта PetitPotam (CVE-2021-36942).

При эксплуатации уязвимости злоумышленники используют технологию PowerShell, которую сами Microsoft уже много лет продвигают в своих ОС Windows как легитимную и полезную.

Злоумышленники сохраняют доступ к пострадавшей сети жертвы как минимум в течение нескольких дней от начала атаки LockFile Ransomware.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Согласно исследованиям специалистов BleepingComputer этот LockFile Ransomware довольно тяжеловат для компьютеров, занимает много ресурсов и подвешивает систему. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые файлы и папки, содержат следующие подстроки:

Windows, NTUSER, LOCKFILE, .lockfile

Пропускаемые типы файлов / расширения: 

.exe, .jpg, .bmp, .gif, .lockfile

Файлы, связанные с этим Ransomware:

LOCKFILE-README.hta - файл с требованием выкупа;

[victim_name]-LOCKFILE-README.hta - файл с требованием выкупа;

active_desktop_render.dll - первичный вредоносный файл;

active_desktop_launcher.exe - первичный вредоносный файл;

autoupdate.exe - вредоносный файл, уникальный для каждой жертвы; 

EfsPotato.exe - вредоносный файл, который использует PetitPotam;

autologin.bat - вредоносный командный файл для запуска;

autologin.exe (Hamakaze.exe) - название файла из KDU toolkit; 

autologin.dll (Tanikaze.dll) - название файла из KDU toolkit; 

autologin.sys - название файла из KDU toolkit; 

KDU toolkit - набор инструментов Kernel Driver Utility.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
IP: 209.14.0.234

Tor-URL: hxxx://zqaflhty5hyz***

Email: contact@contipauper.com
UTox: скрыт

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

ed834722111782b2931e36cfa51b38852c813e3d7a4d16717f59c1d037b62291 - active_desktop_render.dll

cafe54e85c539671c94abdeb4b8adbef3bde8655006003088760d04a86b5f915 - autoupdate.exe

36e8bb8719a619b78862907fd49445750371f40945fefd55a9862465dc2930f9 - autologin.sys

5a08ecb2fad5d5c701b4ec42bd0fab7b7b4616673b2d8fbd76557203c5340a0f - autologin.exe

1091643890918175dc751538043ea0743618ec7a5a9801878554970036524b75 - autologin.dll

2a23fac4cfa697cc738d633ec00f3fbe93ba22d2498f14dea08983026fdf128a - autoupdate.exe

7bcb25854ea2e5f0b8cfca7066a13bc8af8e7bac6693dea1cdad5ef193b052fd - efspotato.exe

c020d16902bd5405d57ee4973eb25797087086e4f8079fac0fd8420c716ad153 - active_desktop_render.dll

a926fe9fc32e645bdde9656470c7cd005b21590cda222f72daf854de9ffc4fe0 - autoupdate.exe

368756bbcaba9563e1eef2ed2ce59046fb8e69fb305d50a6232b62690d33f690 - autologin.sys

d030d11482380ebf95aea030f308ac0e1cd091c673c7846c61c625bdf11e5c3a - autoupdate.exe

a0066b855dc93cf88f29158c9ffbbdca886a5d6642cbcb9e71e5c759ffe147f8 - autoupdate.exe

bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce

autoupdate.exe 

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

LockBit Ransomware - октябрь 2019 - есть активность в 2022

LockFile Ransomware - июль - август 2021

AtomSilo Ransomware - сентябрь - декабрь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up, Topic of Support
 * 

Внимание! Файлы можно расшифровать!
Ссылка на статью >>
Ссылка на дешифровщик >>

 Thanks: 
 Symantec Threat Hunter Team, BleepingComputer, 
 Andrew Ivanov (article author), Michael Gillespie, 
 VirITeXplorer, JAMESWT_MHT, Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.