Black Basta

BlackBasta Ransomware

SafeMode Ransomware

BlackBasta Doxware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha20 + RSA-4096 (для шифрования ключа), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Black Basta. На обнаруженном файле было написано: ADA1.exe. Самоназвание группы вымогателей: Black Basta group. Группа BBG угрожает опубликовать украденные данные, если жертвы отказывается платить или медлит с оплатой. 
---
Обнаружения:
DrWeb -> Trojan.DelShadows.20
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win32/Filecoder.OKW
Kaspersky -> HEUR:Trojan.Win32.DelShad.gen
Malwarebytes -> Malware.AI.3879235874
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Lmay
TrendMicro -> TROJ_GEN.R002H09DP22
---

© Генеалогия: Conti ⇒ Black Basta

Знак "⇒" в генеалогии означает переход на другую разработку (другую программу, другой язык программирования, ребрендинг и прочее изменение). 

Сайт "ID Ransomware" идентифицирует это как Black Basta. 

Информация для идентификации

Активность этого крипто-вымогателя началась в первой половине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первый известный случай Black Basta Ransomware произошел в Германии. Всего за пару недель было взломано 12 компаний. 

К зашифрованным файлам добавляется расширение: .basta

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

You can contact us and decrypt one file for free on this TOR site

(you should download and install TOR browser first https://torproject.org)

hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion/

Your company id for log in: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Перевод записки на русский язык:

Ваши данные украдены и зашифрованы

Данные будут опубликованы на TOR сайте, если вы не заплатите выкуп

Вы можете написать нам и расшифровать один файл бесплатно на TOR сайте

(сначала нужно скачать и установить TOR браузер https://torproject.org)

hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion/

ID вашей компании для входа: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Другим информатором является изображение (файл dlaksjdoiwq.jpg), заменяющее обои Рабочего стола. См. ниже. в разделе "Технические детали". 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, поддельного  установщика Adobe Flash Player, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует Gh0st RAT для проникновения. 
➤ UAC не обходит, требуется разрешение на запуск от имени администратора, иначе шифрование файлов не произойдет. После полученного разрешения захватывается одна из системных служб Windows, например, Fax, и используется для запуска исполняемого файла шифровальщика-вымогателя. 

➤ Заменяет обои Рабочего стола на свое изображение с текстом, что сеть зашифрована и нужно прочитать файл readme.txt. Затем перезагружает компьютер, используя функцию Shutdown с атрибутами (shutdown -r -f -t 0). 

После перезагрузки компьютера, система загружается в безопасном режиме (Safe Mode) с поддержкой сети, в котором захваченная шифровальщиком служба Windows начнет автоматически шифровать файлы. 

Для шифрования файлов используется алгоритм ChaCha20. Затем ключ шифрования ChaCha20 шифруется открытым ключом RSA-4096, включенным в исполняемый файл. 

Зашифрованные файлы получают специальный значок. Среди файлов есть два одинаковых файла readme.txt (одно и тоже название, один и тот же текст). 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, загружает ПК в безопасном режиме с помощью команд:

C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet
C:\Windows\SysNative\bcdedit.exe /deletevalue safeboot

C:\Windows\SysNative\bcdedit /set safeboot network

➤ Изменяет внешний вид зашифрованных файлов с помощью собственного ico-файла. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;

dlaksjdoiwq.jpg - название файла изображения, заменяющего обои Рабочего стола; 
ADA1.exe, vsdebugconsole.exe - названия вредоносного файла;  

fkdjsadasd.ico - файл, используемый для иконок зашифрованных файлов. 

Файл ADA1.exe был использован вымогателями во время атаки на The American Dental Association (сокращенно ADA). Видимо в других атаках вредоносный файл может иметь другое название. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\TEMP\dlaksjdoiwq.jpg

C:\Windows\TEMP\fkdjsadasd.ico

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2277218442-1199762539-2004043321-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\AppData\\Local\\Temp\\dlaksjdoiwq.jpg"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta\DefaultIcon

@="C:\\Windows\\TEMP\\fkdjsadasd.ico"

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxxs://aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB 

MD5: 3f400f30415941348af21d515a2fc6a3

SHA-1: bd0bf9c987288ca434221d7d81c54a47e913600a

SHA-256: 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa

Vhash: 055056655d15556148z76hz23z2fz

Imphash: ede5e0724f09124ab3994aacb2b361db

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 31 мая 2022: 

Сообщение >> 

Записка: readme.txt

Результаты анализа: VT + IA

Обнаружения: 

ESET-NOD32 -> Win32/Filecoder.BlackBasta.B

Microsoft -> Ransom:Win32/Basta.D!ldr

TrendMicro -> Ransom.Win32.BASTACRYPT.SMYACEDT

Обновление информации от 9 августа 2022:

Сообщение >>

Вариант от 7 февраля 2023 или раньше: 

Сообщение на форуме >>

Подтверждение в статье PCrisk >>

Расширение: .<random>

Записка: instructions_read_me.txt

Tor-URL: hxxxs://bastad5huzwkepdixedg2gekg7jk22ato24zyllp6lnjx7wdtyctgvyd.onion/

Результаты анализов: VT

Обнаружения: 

DrWeb -> Trojan.Encoder.35576

BitDefender -> Generic.Ransom.Basta.A.88A395AA

ESET-NOD32 -> Win32/Filecoder.BlackBasta.B

Rising -> Ransom.BlackBasta!1.E2C3 (CLASSIC)

TrendMicro -> Ransom.Win32.BLACKBASTA.THDBGBB

Ноябрь 2023:

Страсти по Black Basta не утихают. 

Статья на BC >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage + Message
 Write-up, Topic of Support
 Added later: Write-up by BleepingComputer 

 Thanks: 
 0x01r3ddw4rf, PCrisk
 Andrew Ivanov (article author)
 MalwareHunterTeam, LawrenceAbrams, Vitali Kremez 
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlockZ

BlockZ Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: blockZ Ransomware. На файле написано: Noopen.exe.
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Variant.Barys.37982
ESET-NOD32 -> A Variant Of MSIL/GenKryptik.FQWI
Kaspersky -> UDS:Trojan.MSIL.Quasar.gen
Malwarebytes -> Malware.AI.4197098647
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Rising -> Malware.Obfus/MSIL@AI.100 (RDM.MSIL:Wx*
Tencent -> Msil.Trojan.Quasar.Dxmv
TrendMicro -> TROJ_GEN.R002C0PDD22
---

© Генеалогия: Babuk (modified) + ZZZ Locker >> BlockZ, 7-language Locker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .blockZ

Записка с требованием выкупа называется: How To Restore Your Files.txt

Содержание записки о выкупе:

All your important files are encrypted!

There is only one way to get your files back:

1. Contact with us

2. Send us 1 any encrypted your file and your personal key

3. We will decrypt 1 file for test(maximum file size - 1 MB), its guarantee what we can decrypt your files

4. Pay

5. We send for you decryptor software

We accept Bitcoin

Attention!

Do not rename encrypted files.

Do not try to decrypt using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price(they add their fee to our)

Contact information: blockzsupport@protonmail.com

Your personal id:

***

Перевод записки на русский язык:

Все ваши важные файлы зашифрованы!

Есть только один способ вернуть ваши файлы:

1. Свяжитесь с нами

2. Отправьте нам 1 любой зашифрованный файл и ваш персональный ключ

3. Мы расшифруем 1 файл для теста (максимальный размер файла - 1 МБ), это гарантия того, что мы сможем расшифровать ваши файлы

4. Оплата

5. Мы высылаем вам программу для расшифровки

Мы принимаем Биткойн

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровывать с помощью сторонних программ, это может необратимо повредить данных.

Расшифровка ваших файлов с помощью третьих лиц приведет к увеличению цены (они добавляют свою комиссию к нашей)

Контактная информация: blockzsupport@protonmail.com

Ваш личный id:

***

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов с помощью команды:

vssadmin.exe delete shadows /all /quiet

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Restore Your Files.txt - название файла с требованием выкупа;
Noopen.exe, updatemicsosoftv2.exe - названия вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blockzsupport@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1a21d4620a25968ee64206d524827691

SHA-1: 801e687c968b23c57882042fe80cad42aea81fb2

SHA-256: 856d9e698f240a21db57f404fea33ee65cd0458f31a9d0fca7044962204484c9

Vhash: 075066655d1515656az8c!z

Imphash: 00be6e6c4f9e287672c8301b72bdabf3 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

Внимание!
Предполагаю, что файлы можно разблокировать и вернуть. 
Специалистам антивирусных компаний, которые много 
лет занимаются расшифровкой файлов, не составит труда 
восстановить файлы после этого и предыдущих вариантов 
шифровальщика. 

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

QuickBuck

QuickBuck Ransomware Simulator

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот вымогатель-симулятор имитирует типичное поведение программ-вымогателей, а затем оставляет записку с разъяснениями. Оригинальное название: QuickBuck. На файле написано: quickbuck.exe. Разработчик: Nextron Systems GmbH. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.48822632 
ESET-NOD32 -> A Variant Of WinGo/Riskware.RansomwareSimulator.A
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Malware.AI.3852412104
Microsoft -> Ransom:Win64/GoHive.PAA!MTB
Rising -> Malware.Generic!8.BA4C (CLOUD)
TrendMicro -> Ransom_GoHive.R06BC0DD922
---

DrWeb -> Trojan.Siggen17.52322

BitDefender -> Trojan.GenericKD.39659803

ESET-NOD32 -> A Variant Of WinGo/Packed.Obfuscated.A Suspicious

Kaspersky -> Trojan.Win64.Agentb.kthp

Malwarebytes -> Malware.AI.3852412104

Microsoft -> Ransom:Win64/GoHive.PAA!MTB

Rising -> Trojan.Agent!8.B1E (CLOUD)

Symantec -> Trojan.Gen.MBT

TrendMicro -> Ransom_GoHive.R002C0DEL22

© Генеалогия: Elephant > QuickBuck

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Этот вымогатель-симулятор был выложен в сеть в марте 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Симулятор не предпринимает никаких деструктивных действий обычных программ-вымогателей, которые приводят к шифрованию файлов пользователей или удалению томов теневых копий. Разработчик надеется, что антивирусы, отслеживающие такое поведение, должны срабатывать и защищать компьютер. 

Записка с требованием выкупа оставляется на Рабочем столе и  называется: ransomware-simulator-note.txt или имеет настраиваемое  название. 

Содержание записки:

Your network has been breached and all data were encrypted.

Personal data, financial reports and important documents are ready to disclose.To decrypt all the data or to prevent exfiltrated files to be disclosed at you will need to purchase our decryption software.

Please contact our sales department at: REDACTED

Login: REDACTED

Password: REDACTED

To get access to .onion websites download and install Tor Browser at:

Follow the guidelines below to avoid losing your data:

 Do not shutdown or reboot your computers, unmount external storages.

 Do not try to decrypt data using third party software. It may cause irreversible damage.

 Do not fool yourself. Encryption has perfect secrecy and its impossible to decrypt without knowing the key.

 Do not modify, rename or delete *.key.k6thw files. Your data will be undecryptable.

 Do not modify or rename encrypted files. You will lose them.

 Do not report to authorities. The negotiation process will be terminated immediately and the key will be erased.

Перевод записки на русский язык:

Ваша сеть взломана, а все данные были зашифрованы.

Личные данные, финансовые отчеты и важные документы готовы к раскрытию. Чтобы расшифровать все данные или предотвратить раскрытие похищенных файлов, вам нужно приобрести нашу программу для расшифровки.

Пожалуйста, свяжитесь с нашим отделом продаж по адресу: ***

Логин: ***

Пароль: ***

Чтобы получить доступ к веб-сайтам .onion, загрузите и установите Tor Browser по адресу:

Следуйте приведенным ниже рекомендациям, чтобы не потерять свои данные:

 Не выключайте и не перезагружайте компьютеры, не отключайте внешние хранилища.

 Не пытайтесь расшифровать данные с помощью сторонних программ. Это может привести к необратимому повреждению.

 Не дурачь себя. Шифрование имеет совершенную секретность, и его невозможно расшифровать, не зная ключа.

 Не изменяйте, не переименовывайте и не удаляйте файлы *.key.k6thw. Ваши данные станут недешифруемы.

 Не изменяйте и не переименовывайте зашифрованные файлы. Вы потеряете их.

 Не сообщайте властям. Процесс согласования будет немедленно прекращен, а ключ стерт.

Файлы которые шифруются, перебрасываются в специальную папку "encrypted-files" на Рабочем столе. Это всего лишь зашифрованные копии, а реальные файлы остаются на своих местах нетронутыми. 

Внимание! Новые версии, если они когда-то будут, можно будет найти в конце статьи, в обновлениях. 

Технические детали + IOC

Распространяется через сайт разработчика и хранилища на сайте Github. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, которые могут быть зашифрованы:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransomware-simulator-note.txt - название файла с требованием выкупа;
quickbuck.exe - название файла вымогателя-симулятора. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\quickbuck.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Github: hxxxs://github.com/NextronSystems/ransomware-simulator

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 3d0fdc81a27aded290bfc753a417c365

SHA-1: 1f130ddd6406d1e7800b8a6132f52176ea9a4031

SHA-256: 4bc8e09103be4c7244618ca511357531f60d53f991468cc5eec91de7c8ff7dd9

Vhash: 0460d6655d55557575157az27!z

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5764e41fede27bf9c984242c2b7bfd33

SHA-1: e5b4178bdebf7a59e97c56235cff472b18440359

SHA-256: 1283836cc0ed21b535ca654611d87e766538b81b02e61289ecc94188602aaf2a

Vhash: 036066655d5d15541az27!z

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

NB65, ContiStolen

NB65 Ransomware

(ContiStolen Ransomware)

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель основан на коде, украденном у Conti-2 Ransomware, является его модифицированным вариантом. Нацелен на российские организации и предприятия, шифрует данные с помощью алгоритма ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Хакеры-вымогатели: хакерская группа NB65 (Network Battalion 65) из Украины. 

---

👏 Вор у вора украл. На воре и шапка горит. Вор на вора напал, вор у вора дубинку украл. Не только тот вор, кто ворует, но и тот, кто ворам потакает. Сколько вору ни воровать, а расплаты не миновать. 

👏 Злодій у злодія вкрав. На злодієві й шапка горить. Злодій на злодія напав, злодій у злодія кийок вкрав. Не тільки той злодій, хто краде, а й той, хто злодіям потурає. Скільки злодіям не красти, а покарання не уникнути.

---
Обнаружения:
DrWeb -> Trojan.Encoder.35209
BitDefender -> Gen:Variant.Cerbu.84170
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Kaspersky -> HEUR:Trojan-Ransom.Win32.Conti.gen
Malwarebytes -> Ransom.Conti
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Ransom.Conti!1.D637 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Ecju
TrendMicro -> Ransom.Win32.CONTI.SM.hp
---

© Генеалогия: Conti-2 (stolen code) > NB65 (ContiStolen)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале апреля 2022 г. Ориентирован на русских пользователей, но записка написана на английском языке, потому при желании этот вымогатель может начать распространяться и в других странах. 

К зашифрованным файлам добавляется расширение: .NB65

Записка с требованием выкупа оставляется в каждой папке с зашифрованными файлами и называется: R3ADM3.txt 

Содержание записки о выкупе:

By now it's probably painfully apparent that your environment has been infected with ransomware. You can thank Conti for that.

We've modified the code in a way that will prevent you from decrypting it with their decryptor.

We've exfiltrated a significant amount of data including private emails, financial information, contacts, etc.

Now, if you wish to contact us in order to save your files from permanent encryption you can do so by emailing network_battalion_0065@riseup.net.

You have 3 days to establish contact. Failing to do so will result in that data remaining permenantly encrypted.

While we have very little sympathy for the situation you find yourselves in right now, we will honor our agreement to restore your files across the affected environment once contact is established and payment is made.

Until that time we will take no action. Be aware that we have compromised your entire network.

We're watching very closely. Your President should not have commited war crimes. If you're searching for someone to blame for your current situation look no further than Vladimir Putin.

Перевод записки на русский язык:

Теперь, вероятно, до боли очевидно, что ваша среда заражена вымогателем. Благодарите Conti за это.

Мы изменили код так, что вы не сможете расшифровать его с помощью их дешифровщика.

Мы украли большой объем данных, включая частные emal, финансовую информацию, контакты и т.д.

Теперь, если вы хотите связаться с нами, чтобы защитить ваши файлы от постоянного шифрования, вам нужно написать на email network_battalion_0065@riseup.net.

У вас есть 3 дня для контакта. Если этого не сделать, данные останутся зашифрованными навсегда.

Хотя мы очень мало сочувствуем ситуации, в которой вы оказались сейчас, мы согласны вернуть ваши файлы в пострадавшей среде после связи с нами и оплаты.

До этого времени мы не будем предпринимать никаких действий. Имейте в виду, что мы скомпрометировали всю вашу сеть.

Мы очень внимательно наблюдаем. Ваш президент не должен был ***. Если вы ищете, кого обвинить в сложившейся ситуации, не ищите ничего, кроме ***.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Вымогатели сообщили, что шифрование изменено так, чтобы все версии дешифровщика от Conti не работали. При каждом развертывании шифровальщика генерируется случайный ключ на основе пары переменных, которые изменяются для каждой цели. 

➤ UAC не обходит, требуется разрешение на запуск вредоносного файла. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
R3ADM3.txt - название файла с требованием выкупа;
ZP2m5oe9FVGfEh6x.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
kjsidugidf99439

Сетевые подключения и связи:
Email: network_battalion_0065@riseup.net
Twitter: xxNB65

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f746ea39c0c5ff9d0a1f2d250170ad80

SHA-1: dac28369f5a4436b2556f9b4f875e78d5c233edb

SHA-256: 7f6dbd9fa0cb7ba2487464c824b6d7e16ace9d4cd15e4452df4c9a9fd6bd1907

Vhash: 015066655d1515556az45nz15z37z

Imphash: f5346a7d2508fd5976d3449f3afc971d 

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 17 апреля 2022:

Сообщение хакеров >>

Расширение: .NB65
Цель атаки: Петербургский социальный коммерческий банк, которым пользуются олигархи. 

Обновление от 25 апреля 2022:

Сообщение хакеров >>

Цель атаки: Corpmsp.ru (АО «Корпорация МСП»)

Обновление от 1 мая 2022:

Сообщение хакеров >>

Цель атаки: Qiwi.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Описание у DrWeb >> 

 Thanks: 
 Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.