AtomSilo, AtomSlio

AtomSilo Ransomware

AtomSlio Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 +RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название:  AtomSilo (в расширении), AtomSlio и AtomSilo (в записке). На файле написано: update.exe. Использует библиотеку Crypto++.

---
Обнаружения:
DrWeb -> Trojan.Encoder.34340, Trojan.Encoder.34345
ESET-NOD32 -> A Variant Of Win64/Filecoder.LockFile.B
Kaspersky -> Trojan-Ransom.Win32.GenericCryptor.lim
Malwarebytes -> Ransom.FileCryptor, Ransom.AtomSilo
Microsoft -> Ransom:Win64/LockCrypt.PB!MTB,  Ransom:Win64/LockCrypt.PB!MTB
Tencent -> Win32.Trojan.Genericcryptor.Fie
---

© Генеалогия: ✂ LockFile >> AtomSilo (AtomSlio)

Сайт "ID Ransomware" это идентифицирует как LockFile. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .ATOMSILO

Записка с требованием выкупа называется: 

ATOMSILO-README.hta - в оригинале
README-FILE-Q9IATRKPRH-1631622989.hta - пример на атакованном ПК

Фактически при формирования названия записки используется шаблон: 

README-FILE-#COMPUTER#-#TIME#.hta

Содержание записки о выкупе:

Atom Slio

Instructions 

WARNING! YOUR FILES ARE ENCRYPTED AND LEAKED! 

--------------------------------------------------------------------------------

We are AtomSilo.Sorry to inform you that your files has been obtained and encrypted by us.

But don’t worry, your files are safe, provided that you are willing to pay the ransom.

Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!

The only way to decrypt your files safely is to buy the special decryption software from us. 

The price of decryption software is 1000000 dollars. 

If you pay within 48 hours, you only need to pay 500000 dollars. No price reduction is accepted.

We only accept Bitcoin payment,you can buy it from bitpay,coinbase,binance or others. 

You have five days to decide whether to pay or not. After a week, we will no longer provide decryption tools and publish your files

--------------------------------------------------------------------------------

Time starts at 0:00 on September 11 

--------------------------------------------------------------------------------

Survival time： 0 Day 10 Hour 29 Min 53 Sec 

--------------------------------------------------------------------------------

You can contact us with the following email: 

Email:arvato@atomsilo.com

If this email can't be contacted, you can find the latest email address on the following website:

hxxx://mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion

--------------------------------------------------------------------------------

If you don’t know how to open this dark web site, please follow the steps below to installation and use TorBrowser:

run your Internet browser 

enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER 

wait for the site loading 

on the site you will be offered to download TorBrowser; download and run it, follow the installation instructions, wait until the installation is completed 

run TorBrowser 

connect with the button "Connect" (if you use the English version) 

a normal Internet browser window will be opened after the initialization 

type or copy the address in this browser address bar and press ENTER 

the site should be loaded; if for some reason the site is not loading wait for a moment and try again. 

If you have any problems during installation or use of TorBrowser, please, visit https://www.youtube.com and type request in the search bar "Install TorBrowser Windows" and you will find a lot of training videos about TorBrowser installation and use.

--------------------------------------------------------------------------------

Additional information:

You will find the instructions ("README-FILE-#COMPUTER#-#TIME#.hta") for restoring your files in any folder with your encrypted files.

The instructions "README-FILE-#COMPUTER#-#TIME#.hta" in the folders with your encrypted files are not viruses! The instructions "README-FILE-#COMPUTER#-#TIME#.hta" will help you to decrypt your files.

Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.

Перевод записки на русский язык:

Atom Slio

Инструкции

ПРЕДУПРЕЖДЕНИЕ! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ И УТЕКЛИ!

-------------------------------------------------- ------------------------------

Мы - AtomSilo. Извините, что сообщаем вам, что ваши файлы были получены и зашифрованы нами.

Но не волнуйтесь, ваши файлы в безопасности, если вы готовы заплатить выкуп.

Любое принудительное завершение работы или попытки восстановить ваши файлы с помощью сторонних программ приведут к безвозвратному повреждению ваших файлов!

Единственный способ безопасно расшифровать ваши файлы - это купить у нас специальную программу для дешифрования.

Стоимость программы для дешифрования - 1000000 долларов.

Если вы платите в течение 48 часов, вам нужно заплатить всего 500000 долларов. Снижение цены не принимается.

Мы принимаем оплату только биткойнами, вы можете купить их у bitpay, coinbase, binance или других.

У вас есть пять дней, чтобы решить, платить или нет. Через неделю мы больше не будем предоставлять инструменты для дешифрования и публиковать ваши файлы.

-------------------------------------------------- ------------------------------

Время началось в 0:00 11 сентября.

-------------------------------------------------- ------------------------------

Время закончится ： 0 День 10 Час 29 Мин 53 Сек

-------------------------------------------------- ------------------------------

Вы можете связаться с нами по следующему email-адресу:

Почта: arvato@atomsilo.com

Если с этим email-адресом невозможно связаться, вы можете найти последний email-адрес на следующем веб-сайте:

hxxx: //mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion

-------------------------------------------------- ------------------------------

Если вы не знаете, как открыть этот дарквеб-сайт, выполните следующие действия для установки и использования TorBrowser:

запустите свой интернет-браузер

введите или скопируйте адрес https://www.torproject.org/download/download-easy.html.en в адресную строку браузера и нажмите ENTER.

дождитесь загрузки сайта

на сайте вам будет предложено скачать TorBrowser; скачайте и запустите, следуйте инструкциям по установке, дождитесь завершения установки

запустить TorBrowser

подключитесь кнопкой «Подключиться» (если вы используете английскую версию)

после инициализации откроется обычное окно интернет-браузера

введите или скопируйте адрес в адресную строку браузера и нажмите ENTER.

сайт должен загрузиться; если по какой-то причине сайт не загружается, подождите немного и попробуйте еще раз.

Если у вас возникли проблемы во время установки или использования TorBrowser, посетите https://www.youtube.com и введите запрос в строке поиска «Установить TorBrowser Windows», и вы найдете множество обучающих видео по установке и использованию TorBrowser. .

-------------------------------------------------- ------------------------------

Дополнительная информация:

Вы найдете инструкции («README-FILE-#КОМПЬЮТЕР#-#ВРЕМЯ#.hta») для восстановления ваших файлов в любой папке с вашими зашифрованными файлами.

Инструкции "README-FILE-#КОМПЬЮТЕР#-#ВРЕМЯ#.hta" в папках с вашими зашифрованными файлами не являются вирусами! Инструкции «README-FILE-#КОМПЬЮТЕР#-#ВРЕМЯ#.hta» помогут вам расшифровать ваши файлы.

Помните! Худшая ситуация уже случилась, и теперь будущее ваших файлов зависит от вашей решимости и скорости ваших действий.

Скриншоты с сайта вымогателей: 

Содержание текста на сайте:

Atom Slio

Instructions

WARNING! YOUR FILES ARE ENCRYPTED AND LEAKED!

We are AtomSilo.Sorry to inform you that your files has been obtained and encrypted by us.

But don’t worry, your files are safe, provided that you are willing to pay the ransom.

Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!

The only way to decrypt your files safely is to buy the special decryption software from us.

The price of decryption software is ???? dollars.

If you pay within 48 hours, you only need to pay 50% off dollars. No price reduction is accepted.

We only accept Bitcoin payment,you can buy it from bitpay,coinbase,binance or others.

You have five days to decide whether to pay or not. After a week, we will no longer provide decryption tools and publish your files

Time starts at 0:00 on September 11 Survival time： 0 Day 15 Hour 36 Min 9 Sec

You can contact us with the following email:

Email:cristalia@atomsilo.com

Email:arvato@atomsilo.com

If this email can't be contacted, you can find the latest email address on the following website:

hxxx://mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion

If you don’t know how to open this dark web site, please follow the steps below to installation and use TorBrowser:

    run your Internet browser

    enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER

    wait for the site loading

    on the site you will be offered to download TorBrowser; download and run it, follow the installation instructions, wait until the installation is completed

    run TorBrowser

    connect with the button "Connect" (if you use the English version)

    a normal Internet browser window will be opened after the initialization

    type or copy the address in this browser address bar and press ENTER

    the site should be loaded; if for some reason the site is not loading wait for a moment and try again.

If you have any problems during installation or use of TorBrowser, please, visit https://www.youtube.com and type request in the search bar "Install TorBrowser Windows" and you will find a lot of training videos about TorBrowser installation and use.

Additional information:

You will find the instructions ("README-FILE-#COMPUTER#-#TIME#.hta") for restoring your files in any folder with your encrypted files.

The instructions "README-FILE-#COMPUTER#-#TIME#.hta" in the folders with your encrypted files are not viruses! The instructions "README-FILE-#COMPUTER#-#TIME#.hta" will help you to decrypt your files.

Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ В AtomSilo используется собственный набор новых и сложных тактик, техник и процедур, затрудняющих обнаружение, а также несколько новых методов, которые затрудняют расследование, включая загрузку вредоносных библиотек, предназначенных для нарушения работы ПО защиты конечных точек. После компрометации серверов Atlassian Confluence и установки бэкдора злоумышленники сбрасывают скрытый бэкдор второго уровня, используя боковую загрузку DLL, чтобы запустить его во взломанной системе. Пейлоады, развернутые AtomSilo, поставляются с вредоносным драйвером ядра, который используется для нарушения решений защиты конечных точек и уклонения от обнаружения.

Разработчики приложили усилия, чтобы избежать обнаружения до запуска программы-вымогателя, включающей известные методы, но используемые по-новому. Помимо самих бэкдоров, злоумышленники использовали собственные инструменты и ресурсы Windows для перемещения по сети до тех пор, пока они не развернули программу-вымогатель. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые папки / директории: 

Boot, Windows, Windows.old, Tor Browser, Internet Explorer, Google, Opera, Opera Software, Mozilla, Mozilla Firefox, $Recycle.Bi, ProgramData, All Users

Пропускаемые файлы: 

autorun.inf, boot.ini, bootfont.bin, bootsect.bak, bootmgr, bootmgr.efi, bootmgfw.efi, desktop.ini, iconcache.db, index.html, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db, #recycle

Исключаемые типы файлов / расширения: 

.cab, .cpl, .cpl, .cur, .dll, .drv, .exe, .hlp, .hta, .html, .icl, .icns, .ico, .idx, .ini, .ocx, .spl, .sys, 

Файлы, связанные с этим Ransomware:
ATOMSILO-README.hta - название файла с требованием выкупа в оригинале;
README-FILE-Q9IATRKPRH-1631622989.hta  - название файла с требованием выкупа еа атакованных ПК;

autologin.bat, howtorun.bat, logs.bat - специальные командные файлы; 

update.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README-FILE-210979-1631650317.hta

C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README-FILE-210979-1631650317.hta

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: mhdehvkomeabau7gsetnsrhkfign4jgnx3wajth5yb5h6kvzbd72wlqd.onion

Email: arvato@atomsilo.com

Email: cristalia@atomsilo.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5 (UPX-packed): 04a8307259478245cbae49940b6d655a

SHA-1: 0f5259812be378bbd764cef94697019075990b4d

SHA-256: d9f7bb98ad01c4775ec71ec66f5546de131735e6dba8122474cc6eb62320e47b

Vhash: 03503e0f7d1019z4nz1fz

Imphash: 07a0cdd4807510f9323ce2fd61059e50

-

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5 (unpacked): 81f01a9c29bae0cfa1ab015738adc5cc

SHA-1: 01785e1801e76063fb63deb78a208a3ca6e02cda

SHA-256: 7a5999c54f4588ff1581d03938b7dcbd874ee871254e2018b98ef911ae6c8dee

Vhash: 085036671d1"z

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

LockBit Ransomware - октябрь 2019 - есть активность в 2022

LockFile Ransomware - июль - август 2021

AtomSilo Ransomware - сентябрь - декабрь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 10 декабря 2021:

Расширение .ATOMSILO

Записка: README-FILE-562258-1639906857.hta

Результаты анализов: VT + JSB + IA

➤ Обнаружения >>

BitDefender -> Trojan.GenericKD.47622039

DrWeb -> Trojan.Encoder.34718

ESET-NOD32 -> A Variant Of Win64/Packed.VMProtect.JI

Kaspersky -> Trojan-Ransom.Win64.LockFile.p

Malwarebytes -> Ransom.AtomSilo

Symantec -> Trojan.Gen.2

TrendMicro -> Ransom.Win64.ATOMSILO.THLBOBI

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Write-up by Sophos 

Внимание! Файлы можно расшифровать!
Ссылка на статью >>
Ссылка на дешифровщик >> 

 Thanks: 
 S!Ri, Emanuele De Lucia
 Andrew Ivanov (article author)
 Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Infection Monkey

Infection Monkey Ransomware

(платформа для моделирования атаки шифровальщика) (первоисточник на русском)

Translation into English

Этот крипто-вымогатель не существует в "диком" виде, не шифрует данные пользователей с помощью комбинации алгоритмов, не требует выкуп в BTC, чтобы вернуть файлы. Оригинальное название: Infection Monkey. 

Infection Monkey — это инструмент безопасности с открытым исходным кодом для тестирования устойчивости центра обработки данных к нарушениям периметра и внутреннему заражению сервера. Monkey использует различные методы для самораспространения по центру обработки данных и сообщает об успехе централизованному серверу Monkey Island.

Infection Monkey состоит из двух частей:

Monkey (Обезьяна) — инструмент, который заражает другие машины и распространяется на них.

Monkey Island (Остров обезьян) — выделенный сервер для контроля и визуализации прогресса Infection Monkey внутри центра обработки данных.

Подробное описание на англиском языке >>

Сайт "ID Ransomware" идентифицирует это как Infection Monkey.

Информация для идентификации

Элементы этого крипто-вымогателя были добавлены в "ID Ransomware" для идентификации вероятной переделки или имитации в сентябре 2021 г. Это было сделано после того, как в уже существующую платформу моделирования атак "Infection Monkey" была добавлена имитация атаки программы-вымогателя с шированием файлов. 

Зашифрованные файлы будет иметь расширение: .m0nk3y

Записка с требованием выкупа называется: README.txt

Текст из записки Infection Monkey:

This is NOT a real ransomware attack.

Infection Monkey is an open-source breach and attack simulation (BAS) platform. The files in this directory have been manipulated as part of a ransomware simulation. If you've discovered this file and are unsure about how to proceed, please contact your administrator.

For more information about Infection Monkey, see https://www.guardicore.com/infectionmonkey.

For more information about Infection Monkey's ransomware simulation, see https://www.guardicore.com/infectionmonkey/docs/reference/ransomware.

Перевод на русский язык: 

Это НЕ настоящая атака программы-вымогателя.

Infection Monkey - это платформа с открытым исходным кодом для моделирования взломов и атак. Файлы в этом каталоге изменены в рамках имитации ransomware. Если вы обнаружили этот файл и не знаете, что делать дальше, сообщите администратору.

Для получения информации о Infection Monkey см. Https://www.guardicore.com/infectionmonkey.

Для получения информации о моделировании Infection Monkey Ransomware см. https://www.guardicore.com/infectionmonkey/docs/reference/ransomware.

---

Содержание документации для имитации

Infection Monkey может имитировать атаку программы-вымогателя в вашей сети, используя набор настраиваемых поведений.

Шифрование

Чтобы более точно имитировать поведение программы-вымогателя, Infection Monkey может зашифровать файлы, указанные пользователем, используя полностью обратимый алгоритм. Имеется ряд механизмов, гарантирующих, что все действия, выполняемые подпрограммой шифрования, безопасны для производственной среды.

Подготовка вашей среды к симуляции программы-вымогателя

Infection Monkey будет шифровать только те файлы, которые вы ему разрешите. Чтобы в полной мере воспользоваться имитацией Infection Monkey Ransomware, вам надо предоставить Infection Monkey каталог, содержащий файлы, которые можно безопасно зашифровать. Рекомендуемый подход —  использовать инструмент удаленного администрирования, например Ansible  или PsExec  чтобы добавить каталог-цель для Ransomware на каждый компьютер в вашей среде. Затем Infection Monkey можно настроить для шифрования файлов в этом каталоге.

Настройка шифрования

Чтобы обеспечить минимальное вмешательство и легкость восстановления, имитация программы-вымогателя будет шифровать только файлы, содержащиеся в указанном пользователем каталоге. Если каталог не указан, файлы не будут зашифрованы.

Как шифруются файлы?

Файлы шифруются на месте с помощью простого переворота битов. К зашифрованным файлам добавляется расширение .m0nk3y. Это безопасный способ имитации шифрования, т.к. файлы легко расшифровать. Вы сможете просто удалить у файлов добавленные расширения .m0nk3y.

Переворота битов файла достаточно, чтобы смоделировать поведение программы-вымогателя при шифровании, поскольку данные в ваших файлах были изменены и временно стали непригодными для использования. Затем файлы переименовываются с добавлением нового расширения, что аналогично поведению многих программ-вымогателей. Поскольку это моделирование, ваши решения по безопасности должны срабатывать, чтобы уведомить вас или предотвратить эти изменения.

Какие файлы будут зашифрованы?

Во время моделирования атаки программы-вымогателя будут предприняты попытки зашифровать все файлы с целевыми расширениями в настроенном каталоге. Моделирование не является рекурсивным, т.е. оно не затрагивает файлы в подкаталогах настроенного каталога. Infection Monkey не будет переходить по каким-либо символическим ссылкам или ярлыкам.

Эти меры предосторожности сделаны, чтобы Infection Monkey не могла случайно зашифровать файлы, которые вы не хотели шифровать.

Технические детали + IOC

Infection Monkey использует следующие методы и эксплойты для распространения на другие машины:

- известные уязвимые пароли, распространенные эксплойты, хищение паролей с помощью Mimikatz;

- в числе эксплойтов SSH, SMB, WMI, Shellshock, Conficker, Elastic Search (CVE-2015-1427), Weblogic server и многие другие. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:

.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .avi, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .giff, .gz, .h, .hdd, .jpeg, .jpg, .kdbx, .mail, .mdb, .mpeg, .mpg, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .png, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .tiff, .txt, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip (74 расширения).  

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и другие изображения, видео, файлы образов, архивы, файлы прикладных программ и пр. 

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
<filename>.exe или <random>.exe - оригинальное или  случайное название исполняемого файла. 

Расположения:
\Specified_directory\ -> 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up 
 ***

 Thanks: 
 Kevin Beaumont, Guardicore, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Unibovwood

Unibovwood Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.40388
BitDefender -> Trojan.Agent.FMMH
ESET-NOD32 -> Win32/Filecoder.OIK
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Crypmod.MAK!MTB
Rising -> Ransom.Agent!1.D96E (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11cd2110
TrendMicro -> Trojan.Win32.SERIOS.THIOHBA
---

© Генеалогия: ??? >> Unibovwood

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в начале сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: ReadMe.txt

Содержание записки о выкупе:

Gentlemen!

Your business is at serios risk .

There is a significant hole in the security system of your company.

We have easily penetrated your network.

You should thank the Lord for being hacked by serios people not some stupid schoolboys or dangerous punks.

They can damage all your important data just for fun.

All files on each host in the network have been encrypted with a strong algorithm 

Now your files are crypted with the strongest millitary algorithms RSA4096 and AES-256.

No one can help you to restore files without our special decoder.

Photorec, RannoDecryptor etc. repair tools

Are useless and can destroy your files irreversibly.

If you want to restore your files write to emails (contacts are at the bottom of the sheet )

and attach 2 encrypted files

(Less than 5 Mb each, non-archived and your files should not contain valuable information

(Databases, backups, large excel sheets, etc. ))

You will receive decrypted samples and our conditions how to get the decoder.

Please don't forget to write the name of your company in the subject of your e-mail.

You have to pay for decryption in Bitcoins.

The final price depends on how fast you write to us.

Every day of delay will cost you additional BTC

Nothing personal just business

As soon as we get bitcoins you'll get all your decrypted data back.

Moreover you will get instructions how to close the hole in security

and how to avoid such problems in the future

    we will recommend you special software that makes the most problems to hackers.

Attention! One more time !

Do not rename encrypted files.

Do not try to decrypt your data using third party software.

P.S. Remember, we are not scammers.

We dont need your files and your information.

But after 2 weeks all your files and keys will be deleted automatically.

Just send a request immediately after infection.

All data will be restored absolutely.

Your warranty - decrypted samples.

Contact emails 

Primary email : unibovwood1984@protonmail.com

Secondary email : ormecha19@tutanota.com 

Перевод записки на русский язык:

Господа!

Ваш бизнес подвергается серьезному риску.

В системе безопасности вашей компании есть серьезная дыра.

Мы легко проникли в вашу сеть.

Вы должны благодарить Господа за то, что вас взламывают серьезные люди, а не глупые школьники или опасные панки.

Они могут повредить все ваши важные данные просто для удовольствия.

Все файлы на каждом хосте в сети зашифрованы с помощью надежного алгоритма.

Теперь ваши файлы зашифрованы с помощью самых надежных военных алгоритмов RSA4096 и AES-256.

Никто не сможет помочь вам восстановить файлы без нашего специального декодера.

Инструменты для ремонта Photorec, RannoDecryptor и др. бесполезны и могут безвозвратно уничтожить ваши файлы.

Если вы хотите восстановить свои файлы, пишите на email (контакты внизу листа)

и прикрепите 2 зашифрованных файла

(Менее 5 Мб каждый, не в архиве, и ваши файлы не должны содержать ценной информации

(Базы данных, резервные копии, большие листы Excel и т. д.))

Вы получите расшифрованные образцы и наши условия получения декодера.

Не забудьте указать название вашей компании в теме письма.

Вы должны заплатить за расшифровку в биткойнах.

Окончательная цена зависит от того, как быстро вы нам напишите.

Каждый день задержки будет стоить вам дополнительных BTC

Ничего личного просто бизнес

Как только мы получим биткойны, вы получите обратно все расшифрованные данные.

Кроме того, вы получите инструкции, как закрыть брешь в безопасности.

и как избежать подобных проблем в будущем мы порекомендуем вам специальную программу, которая доставит больше всего проблем хакерам.

Внимание! Еще раз !

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать ваши данные с помощью сторонних программ.

P.S. Помните, мы не мошенники.

Нам не нужны ваши файлы и ваша информация.

Но через 2 недели все ваши файлы и ключи будут удалены автоматически.

Просто отправьте запрос сразу после заражения.

Все данные будут восстановлены абсолютно.

Ваша гарантия - расшифрованные образцы.

Контактные адреса email

Основной адрес email: unibovwood1984@protonmail.com

Дополнительный адрес email: ormecha19@tutanota.com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: unibovwood1984@protonmail.com, ormecha19@tutanota.com   
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: fc95d7841f298dbe638cbe63d7878d89

SHA-1: 919324ceb106a872866c9b78612094666644b03d

SHA-256: 44f0b6ee096aeb62aa585a0c37decaae0177eae22c18e40b0e823d9eaf856b78

Vhash: 0160b6665d5c0d5d151c0035zb002b1z25z3bz203cz3

Imphash: d44f052cc03bd4241e051835ae399fb9

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Janelle

Janelle Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $600 в BTC, чтобы вернуть файлы. Оригинальное название: Janelle. На файле написано: Click.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34315
BitDefender -> Generic.Ransom.Hiddentear.A.AA216A1F
ESET-NOD32 -> MSIL/Filecoder.AKY
Malwarebytes -> Malware.AI.3709760228
Microsoft -> Ransom:MSIL/Janelle.PAA!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11cc6743
TrendMicro -> Ransom_Janelle.R002C0DIG21
---

© Генеалогия: ??? >> Janelle

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале/середине/конце июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляются расширения: 

.aes
.aes.JANELLE

Записки с требованием выкупа называются: 

Readme.txt

index.html

Содержание записки Readme.txt:

Q:  What's wrong with my files?

A:  Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.

If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!

Let's start decrypting!

Q:  What do I do?

A:  First, you need to pay service fees for the decryption.

Please send $600 worth of bitcoin to this bitcoin address: 114NHHMdrCuJ6P3mwHHeyWvwdWdDWzqdpo

Next, please contact me at jannelle2021@protonmail.com with proof of payment

(You may need to disable your antivirus for a while.)

Q. Finding it hard to buy bitcoins ?

A:  You can also purchase bitcoins at a bitcoin ATM near you.

Q: How do I know this is legit?

A:  You have two options.

You either loose all your files or you pay the ransom and have your files decrypted.

*If you need our assistance, send an email at janelle2021@protonmail.com on the decryptor window.  

Перевод записки Readme.txt на русский язык:

В: Что не так с моими файлами?
О: Ой, ваши важные файлы зашифрованы. Это значит, что вы больше не сможете получить к ним доступ, пока они не будут расшифрованы.
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
Приступим к расшифровке!
Q: Что мне делать?
О: Во-первых, вам необходимо оплатить услуги расшифровки.
Отправьте биткойны на сумму $600 на этот биткойн-адрес: 114NHHMdrCuJ6P3mwHHeyWvwdWdDWzqdpo
Затем, пожалуйста, свяжитесь со мной по jannelle2021@protonmail.com с подтверждением оплаты.
(Возможно, вам придется на время отключить антивирус.)
В. Вам сложно покупать биткойны?
О: Вы также можете приобрести биткойны в ближайшем к вам биткойн-банкомате.
В: Как я узнаю, что это законно?
О: У вас есть два варианта.
Вы либо теряете все свои файлы, либо платите выкуп, и ваши файлы расшифровываются.
* Если вам нужна наша помощь, отправьте электронное письмо на janelle2021@protonmail.com в окне дешифратора.

Содержание записки index.html:

What Happened to My Computer?

Your important files are encrypted. Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.

Can I Recover My Files?

Sure. We guarantee that you can recover all your files safely and easily. But if you want to decrypt all your files, you need to pay. You have 24 hours to submit the payment. After that the price will be doubled. Also, if you don't pay in 7 days, you will not be able to recover your files forever.

How Do I Pay?

Payment is accepted in Bitcoin only. For more information, click .

Please check the current price of Bitcoin and buy some bitcoins. For more information, click .

And send the correct amount to the address specified in this window.

After your payment, click . Best time to check: 9:00am - 11:00am GMT from Monday to Friday.

Once the payment is checked, you can start decrypting your files immediately.

Contact

If you need our assistance, send a message by clicking .

We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, you will not be able to recover your files even if you pay!

Перевод записки записки index.html на русский язык:

Что случилось с моим компьютером?

Ваши важные файлы зашифрованы. Многие из ваших документов, фото, видео, баз данных и других файлов теперь недоступны, т.к. они были зашифрованы. Возможно, вы ищете способ вернуть свои файлы, но не теряйте зря время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.

Могу ли я восстановить свои файлы?

Конечно. Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы. Но если вы хотите расшифровать все свои файлы, вам нужно будет заплатить. У вас есть 24 часа, чтобы отправить платеж. После этого цена будет увеличена вдвое. Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить свои файлы никогда.

Как мне оплатить?

Оплата принимается только в биткойнах. Для получения информации щелкните.

Пожалуйста, проверьте текущую цену биткойнов и купите биткойны. Для получения информации щелкните.

И отправьте правильную сумму на адрес, указанный в этом окне.

После оплаты нажмите. Лучшее время для проверки: 9:00 - 11:00 по Гринвичу с понедельника по пятницу.

После проверки оплаты вы можете сразу же приступить к расшифровке файлов.

Контакт

Если вам нужна наша помощь, отправьте сообщение, щелкните.

Мы очень рекомендуем вам не удалять эту программу и на время отключить антивирус, пока вы не заплатите и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, вы не сможете восстановить свои файлы, даже если заплатите!

Другим информатором жертвы выступает экран блокировки с двумя таймерами. 

Также используется изображение, заменяющее обои Рабочего стола, с надписью: 

God is... MERCIFUL

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;

index.html - название файла с требованием выкупа;

ddd.txt - файл с идентификатором; 

EncryptedKey.txt - файл с клюбчом шифрования; 

background.png - изображение, заменяющее обои Рабочего стола; 

AmazonValidatorbyCodeX.exe - название вредоносного файла; 

Click.exe - название вредоносного файла; 

NumifyV2.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\NumifyV2.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jannelle2021@protonmail.com
BTC: 114NHHMdrCuJ6P3mwHHeyWvwdWdDWzqdpo

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f7aded1fe838c4575a9c79edd4c17c6d

SHA-1: 4d4c757852cbd46c493841c6630a2615042df61d

SHA-256: 81331f7bbcf9c0b0f000ff6ab02dcc40b30c0cce5b3daa23f9efb1bc70fab4e8

Vhash: 215036751512b0882e327025

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.