TimeCrypt, Kcry

TimeCrypt Ransomware

Kcry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: TimeCrypt. На файле написано: TimeCrypt.exe. Написан на языке .NET.

---
Обнаружения:
DrWeb -> Trojan.EncoderNET.30
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) ->  -> Trojan.Ransom.Filecoder
BitDefender -> Gen:Variant.Bulz.97395
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJX
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/TimeCrypt.MK!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Denes.Hsjf
TrendMicro -> TimeCrypt.R002C0DIN21
---

© Генеалогия: ??? >> TimeCrypt, Kcry

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен во второй половине  сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .kcry

Использует фальшивый экран установки обновлений Windows, а сам в это время шифрует файлы, затем открывает записку с требованиеями выкупа. 

Записка с требованием выкупа называется: kcry-info.txt

Содержание записки о выкупе:

Congratulations!

You were infected with a very sofisticated   R.A.N.S.O.M.W.A.R.E V.I.R.U.S!

All your precious files are now E.N.C.R.Y.P.T.E.D!

Do not alert your IT or the Police if you ever want to get your files back!

Send $200 until the end of the week to the following B.I.T.C.O.I.N address >>> 19a2cHhnF8sxQWU4428SHMpvYfXRARsVxF <<< and your files will automatically be retrieved. 

[!] Your Company doesn't need to know that you were compromised.

[!] Your familiy doesn't have to see you getting fired for this.

[!] Just pay us the money and you will be fine.

Перевод записки на русский язык:

Поздравляю!

Вы были заражены очень изощренной системой R.A.N.S.O.M.W.A.R.E V.I.R.U.S!

Все ваши драгоценные файлы теперь E.N.C.R.Y.P.T.E.D!

Не предупреждайте ИТ-службу или полицию, если вы когда-нибудь захотите вернуть свои файлы!

Отправьте $200 до конца недели на следующий адрес B.I.T.C.O.I.N >>> 19a2cHhnF8sxQWU4428SHMpvYfXRARsVxF <<<, и ваши файлы будут автоматически загружены.

[!] Вашей компании не нужно знать, что вы были скомпрометированы.

[!] Ваша семья не должна видеть, как вас за это увольняют.

[!] Просто заплатите нам деньги и все будет в порядке.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Согласно анализу Intezer вымогатель содержит BabaxStealer. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
kcry-info.txt - название файла с требованием выкупа;
TimeCrypt.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 19a2cHhnF8sxQWU4428SHMpvYfXRARsVxF

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 22ff13395d2dbf841909c4f348dfd6c1

SHA-1: 5b90b19882166214a64c9af5a2a28a5f5a1a0d6f

SHA-256: d1d1f2984d23b53c022e454b0736b65375926d73c7db299f4a931c974ad9a8b4

Vhash: 26503675651250c81a213022

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS, S!Ri, xiaopao, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Quantum Locker

Quantum Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Quantum Locker. На файле написано: manual64.dll.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34422
ALYac -> Trojan.Ransom.MountLocker
BitDefender -> Trojan.Generic.30200278
ESET-NOD32 -> A Variant Of Generik.ENAUAZP
Kaspersky -> Trojan-Ransom.Win32.MountLocker.g
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> Trojan.Gen.MBT
TrendMicro -> Ransom_MountLocker.R002C0PIP21
---

© Генеалогия: MountLocker > SunRise Locker > Quantum Locker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .quantum

Записка с требованием выкупа называется: README_TO_DECRYPT.html

Содержание записки о выкупе:

Your ID:

ff4fd1f68dc85f11b97580b7ac616fbf2c9d4***

This message contains an information how to fix the troubles you've got with your network.

Files on the workstations in your network were encrypted and any your attempt to change, decrypt or rename them could destroy the content.

The only way to get files back is a decryption with Key, provided by the Quantum Locker.

During the period your network was under our control, we downloaded a huge volume of information.

Now it is stored on our servers with high-secure access. This information contains a lot of sensitive, private and personal data.

Publishing of such data will cause serious consequences and even business disruption.

It's not a threat, on the contrary - it's a manual how to get a way out.

Quantum team doesn't aim to damage your company, our goals are only financial.

After a payment you'll get network decryption, full destruction of downloaded data, information about your network vulnerabilities and penetration points.

If you decide not to negotiate, in 48 hours the fact of the attack and all your information will be posted on our site and will be promoted among dozens of cyber forums, news agencies, websites etc.

To contact our support and start the negotiations, please visit our support chat.

It is simple, secure and you can set a password to avoid intervention of unauthorised persons.

hxxx://mi7h736jfgwnhutiodavthxre5atnfrrpekbhry7fizqddkfcm6povid.onion/?cid=ff4fd1f68dc85f11b97580b7ac***

Password field should be blank for the first login.

Note that this server is available via Tor browser only.

P.S. How to get TOR browser - see at https://www.torproject.org

Перевод записки на русский язык:

Ваш ID:

ff4fd1f68dc85f11b97580b7ac616fbf2c9d4***

Это сообщение содержит информацию о том, как исправить проблемы, возникшие в вашей сети.

Файлы на рабочих станциях в вашей сети были зашифрованы, и любая ваша попытка изменить, расшифровать или переименовать их может уничтожить содержимое.

Единственный способ вернуть файлы - это дешифрование с помощью ключа, предоставляемого Quantum Locker.

За время, пока ваша сеть находилась под нашим контролем, мы скачали огромный объем информации.

Теперь он хранится на наших серверах с высокозащищенным доступом. Эта информация содержит много конфиденциальных, личных и личных данных.

Публикация таких данных приведет к серьезным последствиям и даже к сбою в работе.

Напротив, это не угроза - это инструкция по выходу.

Команда Quantum не стремится навредить вашей компании, наши цели исключительно финансовые.

После оплаты вы получите расшифровку сети, полное уничтожение загруженных данных, информацию об уязвимостях вашей сети и точках проникновения.

Если вы решите не вести переговоры, в течение 48 часов факт атаки и вся ваша информация будут размещены на нашем сайте и продвинуты среди десятков киберфорумов, новостных агентств, веб-сайтов и т.д.

Чтобы связаться с нашей службой поддержки и начать переговоры, посетите наш чат поддержки.

Это просто, безопасно, и вы можете установить пароль, чтобы избежать вмешательства посторонних лиц.

hxxx://mi7h736jfgwnhutiodavthxre5atnfrrpekbhry7fizqddkfcm6povid.onion/?cid=ff4fd1f68dc85f11b97580b7ac***

Поле пароля должно быть пустым при первом входе в систему.

Обратите внимание, что этот сервер доступен только через браузер Tor.

P.S. Как получить браузер TOR - см. На https://www.torproject.org

Скриншоты с сайта вымогателей (ранний от 14 сентября, последний - 4 октября): 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Вымогатели используют вредоносное ПО IcedID в качестве одного из первоначальных векторов доступа, которое развертывает Cobalt Strike для удаленного доступа к компьютерам жертвы и приводит к краже данных и шифрованию с использованием Quantum Locker.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений с ISO-файлом, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_TO_DECRYPT.html - название файла с требованием выкупа;
manual64.dll - название вредоносного файла;

00018A49.bat - командный вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\00018A49.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor -URL: hxxx://mi7h736jfgwnhutiodavthxre5atnfrrpekbhry7fizqddkfcm6povid.onion/

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d35a5caf8af43432ec2f5a2318b20597

SHA-1: 8fd8f62a848a1d9c1ff18c7bc16e8a6d2c67c37e

SHA-256: c74873d7b8cc622379ed49bd0b0e477167ae176aa329b01338666ec4c1a4426b

Vhash: 115056651d151d5bz1?z2

Imphash: 1d30df1e5b7623c4b3e7485c04815cbd

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DECAF

DECAF Ransomware

Winner Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (режим CBC) и случайно сгенерированного ключа шифрования, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на языке Go. 
---
Обнаружения:
DrWeb -> DrWebTrojan.Encoder.34460, DrWebTrojan.Encoder.34471

Avast -> Win64:Malware-gen
BitDefender -> Trojan.GenericKD.46961514, Gen:Variant.Bulz.882140
ESET-NOD32 -> WinGo/Filecoder.AP, A Variant Of WinGo/Filecoder.AQ
Kaspersky -> Trojan-Ransom.Win32.Encoder.nrv, Trojan.Win64.Agentb.awh
Malwarebytes -> Ransom.Decaf, Malware.AI.2201451678
Microsoft -> Ransom:Win64/Deecaf.A!dha
Rising -> Ransom.Encoder!8.FFD4 (KTSE), Ransom.Agent!8.6B7 (KTSE)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Falsesign.Pdwb
TrendMicro -> Ransom.Win64.DECAF.THBAABA
---

© Генеалогия: ??? >> DECAF

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой и второй половине сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .decaf

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

WINNER WINNER CHICKEN DINNER

What happend?

##############################################

All your servers and computers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt your data.

But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network.

Follow our instructions below and you will recover all your data.

What guarantees?

##############################################

We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.

All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.

We guarantee to decrypt one image file for free. The file size should be no more than 2 MB. Contact us by email:

22eb687475f2c5ca30b@protonmail.com

!!! DANGER !!!

DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them.

!!! DANGER !!!

Перевод записки на русский язык:

WINNER WINNER CHICKEN DINNER

Что случилось?

###############################################

Все ваши серверы и компьютеры зашифрованы, резервные копии удалены. Мы используем надежные алгоритмы шифрования, поэтому вы не сможете расшифровать свои данные.

Но вы можете все восстановить, купив у нас специальную программу - универсальный расшифровщик. Эта программа восстановит всю вашу сеть.

Следуйте нашим инструкциям ниже, и вы восстановите все свои данные.

Какие гарантии?

###############################################

Мы дорожим своей репутацией. Если мы не будем выполнять свою работу и обязательства, нам никто не заплатит. Это не в наших интересах.

Все наше программное обеспечение для расшифровки отлично протестировано и расшифрует ваши данные. Мы также окажем поддержку в случае возникновения проблем.

Мы гарантируем расшифровку одного файла изображения бесплатно. Размер файла должен быть не более 2 МБ. Свяжитесь с нами по email:

22eb687475f2c5ca30b@protonmail.com

!!! ОПАСНОСТЬ !!!

НЕ ИЗМЕНЯЙТЕ и не пытайтесь ВОССТАНОВИТЬ какие-либо файлы сами. Мы НЕ СМОЖЕМ ВОССТАНОВИТЬ их.

!!! ОПАСНОСТЬ !!!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
50iwceqky.dll, gonhjjglh.dll, installOLD.exe - названия вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 22eb687475f2c5ca30b@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 46a1325bb01e37e0ee2d2ba37db257f2

SHA-1: fde5f666007cdb1fd1dddd2fefbed916992e9e65

SHA-256: 98272cada9caf84c31d70fdc3705e95ef73cb4a5c507e2cf3caee1893a7a6f63

Vhash: 07503e0f7d1bz4!z

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 298b9c281bab03460621171d76476850

SHA-1: 7c4027418a000c68372b251a2fc152b10acf502f

SHA-256: 5da2a2ebe9959e6ac21683a8950055309eb34544962c02ed564e0deaf83c9477

Vhash: 036066655d5d15041az28!z

Imphash: c7269d59926fa4252270f407e4dab043

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up

 Thanks: 
 ***
 Andrew Ivanov (article author)
 0xhido, Intezer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

AtomSilo, AtomSlio

AtomSilo Ransomware

AtomSlio Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 +RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название:  AtomSilo (в расширении), AtomSlio и AtomSilo (в записке). На файле написано: update.exe. Использует библиотеку Crypto++.

---
Обнаружения:
DrWeb -> Trojan.Encoder.34340, Trojan.Encoder.34345
ESET-NOD32 -> A Variant Of Win64/Filecoder.LockFile.B
Kaspersky -> Trojan-Ransom.Win32.GenericCryptor.lim
Malwarebytes -> Ransom.FileCryptor, Ransom.AtomSilo
Microsoft -> Ransom:Win64/LockCrypt.PB!MTB,  Ransom:Win64/LockCrypt.PB!MTB
Tencent -> Win32.Trojan.Genericcryptor.Fie
---

© Генеалогия: ✂ LockFile >> AtomSilo (AtomSlio)

Сайт "ID Ransomware" это идентифицирует как LockFile. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .ATOMSILO

Записка с требованием выкупа называется: 

ATOMSILO-README.hta - в оригинале
README-FILE-Q9IATRKPRH-1631622989.hta - пример на атакованном ПК

Фактически при формирования названия записки используется шаблон: 

README-FILE-#COMPUTER#-#TIME#.hta

Содержание записки о выкупе:

Atom Slio

Instructions 

WARNING! YOUR FILES ARE ENCRYPTED AND LEAKED! 

--------------------------------------------------------------------------------

We are AtomSilo.Sorry to inform you that your files has been obtained and encrypted by us.

But don’t worry, your files are safe, provided that you are willing to pay the ransom.

Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!

The only way to decrypt your files safely is to buy the special decryption software from us. 

The price of decryption software is 1000000 dollars. 

If you pay within 48 hours, you only need to pay 500000 dollars. No price reduction is accepted.

We only accept Bitcoin payment,you can buy it from bitpay,coinbase,binance or others. 

You have five days to decide whether to pay or not. After a week, we will no longer provide decryption tools and publish your files

--------------------------------------------------------------------------------

Time starts at 0:00 on September 11 

--------------------------------------------------------------------------------

Survival time： 0 Day 10 Hour 29 Min 53 Sec 

--------------------------------------------------------------------------------

You can contact us with the following email: 

Email:arvato@atomsilo.com

If this email can't be contacted, you can find the latest email address on the following website:

hxxx://mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion

--------------------------------------------------------------------------------

If you don’t know how to open this dark web site, please follow the steps below to installation and use TorBrowser:

run your Internet browser 

enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER 

wait for the site loading 

on the site you will be offered to download TorBrowser; download and run it, follow the installation instructions, wait until the installation is completed 

run TorBrowser 

connect with the button "Connect" (if you use the English version) 

a normal Internet browser window will be opened after the initialization 

type or copy the address in this browser address bar and press ENTER 

the site should be loaded; if for some reason the site is not loading wait for a moment and try again. 

If you have any problems during installation or use of TorBrowser, please, visit https://www.youtube.com and type request in the search bar "Install TorBrowser Windows" and you will find a lot of training videos about TorBrowser installation and use.

--------------------------------------------------------------------------------

Additional information:

You will find the instructions ("README-FILE-#COMPUTER#-#TIME#.hta") for restoring your files in any folder with your encrypted files.

The instructions "README-FILE-#COMPUTER#-#TIME#.hta" in the folders with your encrypted files are not viruses! The instructions "README-FILE-#COMPUTER#-#TIME#.hta" will help you to decrypt your files.

Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.

Перевод записки на русский язык:

Atom Slio

Инструкции

ПРЕДУПРЕЖДЕНИЕ! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ И УТЕКЛИ!

-------------------------------------------------- ------------------------------

Мы - AtomSilo. Извините, что сообщаем вам, что ваши файлы были получены и зашифрованы нами.

Но не волнуйтесь, ваши файлы в безопасности, если вы готовы заплатить выкуп.

Любое принудительное завершение работы или попытки восстановить ваши файлы с помощью сторонних программ приведут к безвозвратному повреждению ваших файлов!

Единственный способ безопасно расшифровать ваши файлы - это купить у нас специальную программу для дешифрования.

Стоимость программы для дешифрования - 1000000 долларов.

Если вы платите в течение 48 часов, вам нужно заплатить всего 500000 долларов. Снижение цены не принимается.

Мы принимаем оплату только биткойнами, вы можете купить их у bitpay, coinbase, binance или других.

У вас есть пять дней, чтобы решить, платить или нет. Через неделю мы больше не будем предоставлять инструменты для дешифрования и публиковать ваши файлы.

-------------------------------------------------- ------------------------------

Время началось в 0:00 11 сентября.

-------------------------------------------------- ------------------------------

Время закончится ： 0 День 10 Час 29 Мин 53 Сек

-------------------------------------------------- ------------------------------

Вы можете связаться с нами по следующему email-адресу:

Почта: arvato@atomsilo.com

Если с этим email-адресом невозможно связаться, вы можете найти последний email-адрес на следующем веб-сайте:

hxxx: //mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion

-------------------------------------------------- ------------------------------

Если вы не знаете, как открыть этот дарквеб-сайт, выполните следующие действия для установки и использования TorBrowser:

запустите свой интернет-браузер

введите или скопируйте адрес https://www.torproject.org/download/download-easy.html.en в адресную строку браузера и нажмите ENTER.

дождитесь загрузки сайта

на сайте вам будет предложено скачать TorBrowser; скачайте и запустите, следуйте инструкциям по установке, дождитесь завершения установки

запустить TorBrowser

подключитесь кнопкой «Подключиться» (если вы используете английскую версию)

после инициализации откроется обычное окно интернет-браузера

введите или скопируйте адрес в адресную строку браузера и нажмите ENTER.

сайт должен загрузиться; если по какой-то причине сайт не загружается, подождите немного и попробуйте еще раз.

Если у вас возникли проблемы во время установки или использования TorBrowser, посетите https://www.youtube.com и введите запрос в строке поиска «Установить TorBrowser Windows», и вы найдете множество обучающих видео по установке и использованию TorBrowser. .

-------------------------------------------------- ------------------------------

Дополнительная информация:

Вы найдете инструкции («README-FILE-#КОМПЬЮТЕР#-#ВРЕМЯ#.hta») для восстановления ваших файлов в любой папке с вашими зашифрованными файлами.

Инструкции "README-FILE-#КОМПЬЮТЕР#-#ВРЕМЯ#.hta" в папках с вашими зашифрованными файлами не являются вирусами! Инструкции «README-FILE-#КОМПЬЮТЕР#-#ВРЕМЯ#.hta» помогут вам расшифровать ваши файлы.

Помните! Худшая ситуация уже случилась, и теперь будущее ваших файлов зависит от вашей решимости и скорости ваших действий.

Скриншоты с сайта вымогателей: 

Содержание текста на сайте:

Atom Slio

Instructions

WARNING! YOUR FILES ARE ENCRYPTED AND LEAKED!

We are AtomSilo.Sorry to inform you that your files has been obtained and encrypted by us.

But don’t worry, your files are safe, provided that you are willing to pay the ransom.

Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!

The only way to decrypt your files safely is to buy the special decryption software from us.

The price of decryption software is ???? dollars.

If you pay within 48 hours, you only need to pay 50% off dollars. No price reduction is accepted.

We only accept Bitcoin payment,you can buy it from bitpay,coinbase,binance or others.

You have five days to decide whether to pay or not. After a week, we will no longer provide decryption tools and publish your files

Time starts at 0:00 on September 11 Survival time： 0 Day 15 Hour 36 Min 9 Sec

You can contact us with the following email:

Email:cristalia@atomsilo.com

Email:arvato@atomsilo.com

If this email can't be contacted, you can find the latest email address on the following website:

hxxx://mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion

If you don’t know how to open this dark web site, please follow the steps below to installation and use TorBrowser:

    run your Internet browser

    enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER

    wait for the site loading

    on the site you will be offered to download TorBrowser; download and run it, follow the installation instructions, wait until the installation is completed

    run TorBrowser

    connect with the button "Connect" (if you use the English version)

    a normal Internet browser window will be opened after the initialization

    type or copy the address in this browser address bar and press ENTER

    the site should be loaded; if for some reason the site is not loading wait for a moment and try again.

If you have any problems during installation or use of TorBrowser, please, visit https://www.youtube.com and type request in the search bar "Install TorBrowser Windows" and you will find a lot of training videos about TorBrowser installation and use.

Additional information:

You will find the instructions ("README-FILE-#COMPUTER#-#TIME#.hta") for restoring your files in any folder with your encrypted files.

The instructions "README-FILE-#COMPUTER#-#TIME#.hta" in the folders with your encrypted files are not viruses! The instructions "README-FILE-#COMPUTER#-#TIME#.hta" will help you to decrypt your files.

Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ В AtomSilo используется собственный набор новых и сложных тактик, техник и процедур, затрудняющих обнаружение, а также несколько новых методов, которые затрудняют расследование, включая загрузку вредоносных библиотек, предназначенных для нарушения работы ПО защиты конечных точек. После компрометации серверов Atlassian Confluence и установки бэкдора злоумышленники сбрасывают скрытый бэкдор второго уровня, используя боковую загрузку DLL, чтобы запустить его во взломанной системе. Пейлоады, развернутые AtomSilo, поставляются с вредоносным драйвером ядра, который используется для нарушения решений защиты конечных точек и уклонения от обнаружения.

Разработчики приложили усилия, чтобы избежать обнаружения до запуска программы-вымогателя, включающей известные методы, но используемые по-новому. Помимо самих бэкдоров, злоумышленники использовали собственные инструменты и ресурсы Windows для перемещения по сети до тех пор, пока они не развернули программу-вымогатель. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые папки / директории: 

Boot, Windows, Windows.old, Tor Browser, Internet Explorer, Google, Opera, Opera Software, Mozilla, Mozilla Firefox, $Recycle.Bi, ProgramData, All Users

Пропускаемые файлы: 

autorun.inf, boot.ini, bootfont.bin, bootsect.bak, bootmgr, bootmgr.efi, bootmgfw.efi, desktop.ini, iconcache.db, index.html, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db, #recycle

Исключаемые типы файлов / расширения: 

.cab, .cpl, .cpl, .cur, .dll, .drv, .exe, .hlp, .hta, .html, .icl, .icns, .ico, .idx, .ini, .ocx, .spl, .sys, 

Файлы, связанные с этим Ransomware:
ATOMSILO-README.hta - название файла с требованием выкупа в оригинале;
README-FILE-Q9IATRKPRH-1631622989.hta  - название файла с требованием выкупа еа атакованных ПК;

autologin.bat, howtorun.bat, logs.bat - специальные командные файлы; 

update.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README-FILE-210979-1631650317.hta

C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README-FILE-210979-1631650317.hta

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion

Email: arvato@atomsilo.com

Email: cristalia@atomsilo.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5 (UPX-packed): 04a8307259478245cbae49940b6d655a

SHA-1: 0f5259812be378bbd764cef94697019075990b4d

SHA-256: d9f7bb98ad01c4775ec71ec66f5546de131735e6dba8122474cc6eb62320e47b

Vhash: 03503e0f7d1019z4nz1fz

Imphash: 07a0cdd4807510f9323ce2fd61059e50

-

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5 (unpacked): 81f01a9c29bae0cfa1ab015738adc5cc

SHA-1: 01785e1801e76063fb63deb78a208a3ca6e02cda

SHA-256: 7a5999c54f4588ff1581d03938b7dcbd874ee871254e2018b98ef911ae6c8dee

Vhash: 085036671d1"z

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

LockBit Ransomware - октябрь 2019 - есть активность в 2022

LockFile Ransomware - июль - август 2021

AtomSilo Ransomware - сентябрь - декабрь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 10 декабря 2021:

Расширение .ATOMSILO

Записка: README-FILE-562258-1639906857.hta

Результаты анализов: VT + JSB + IA

➤ Обнаружения >>

BitDefender -> Trojan.GenericKD.47622039

DrWeb -> Trojan.Encoder.34718

ESET-NOD32 -> A Variant Of Win64/Packed.VMProtect.JI

Kaspersky -> Trojan-Ransom.Win64.LockFile.p

Malwarebytes -> Ransom.AtomSilo

Symantec -> Trojan.Gen.2

TrendMicro -> Ransom.Win64.ATOMSILO.THLBOBI

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Write-up by Sophos 

Внимание! Файлы можно расшифровать!
Ссылка на статью >>
Ссылка на дешифровщик >> 

 Thanks: 
 S!Ri, Emanuele De Lucia
 Andrew Ivanov (article author)
 Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.