BianLian

BianLian Ransomware

BianLian Extortion Group

BianLian Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES256 (CBC-режим, пакет Golang AES), а затем требует связаться с вымогателями через Tox или по email, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: BianLian. На файле написано: нет данных. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35708
BitDefender -> Trojan.GenericKD.61254969
ESET-NOD32 -> WinGo/Filecoder.BT
Kaspersky -> Trojan-PSW.Win32.Stealer.aosa
Malwarebytes -> Ransom.Bianlian
Microsoft -> Ransom:Win64/Bianlian!MSR
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan-qqpass.Qqrob.Hfh
TrendMicro -> Ransom.Win64.BIANLIAN.THHABBB.go
---

© Генеалогия: родство выясняется >> BianLian

Сайт "ID Ransomware" начал идентифицировать BianLian только с февраля 2023 года. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди атакованных объектов на данный момент только категории: insurance, education, medicine (страхование, образование, медицина). 

К зашифрованным файлам добавляется расширение: .bianlian

Записка с требованием выкупа называется: Look at this instruction.txt или как-то ещё

Содержание записки о выкупе:

To unblock your data write us to Tox(https://qtox.github.io/) A4B3B0845DA242A64BF17E0DB4278EDF85855739667D3E2AE8B89D5439015F07E81D12D767FC or SWikipedia@mail2tor.com

Don't try to recover yourself otherwise you may lose your data.

Tor website

http://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion/

Перевод записки на русский язык:

Чтобы разблокировать ваши данные, напишите нам на Tox(https://qtox.github.io/) A4B3B0845DA242A64BF17E0DB4278EDF85855739667D3E2AE8B89D5439015F07E81D12D767FC или SWikipedia@mail2tor.com

Не пытайтесь восстановить сами, иначе вы потеряете свои данные.

Tor-сайт 

http://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion/

Другой вариант записки:

Скриншоты с сайта вымогателей:  

На на сайте вымогателей опубликована информация по атакованным объектам: 

Mooresville Schools, 

High Power Technical Services, 

Anderson Insurance Associates, 

Mackenzie Medical

О том, что является объектом вымогательства по каждому объекту можно прочесть на следующих страницах сайта:

 

 

Со временем сайт может отказаться недоступен или удалён, поэтому эти скриншоты являются доказательством того, что это вымогательство имело место. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Кратко о шифровании:

Ключ AES не шифруется открытым ключом и не хранится в зашифрованных файлах. Выполняется прерывистое шифрование файлов, а эта тактика, которая помогает ускорить атаки за счет надежности блокировки данных. 

➤ Шифровальщик самоудаляется после шифрования файлов с помощью команды: cmd /c del <sample.exe> 

Список типов файлов, подвергающихся шифрованию:
Более 1013 расширений файлов. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Look at this instruction.txt - название файла с требованием выкупа;
anabolic.exe, Areg.exe, mativ.exe - известные названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\TEMP\mativ.exe

C:\Windows\Temp\Areg.exe

C:\Users\%username%\Pictures\windows.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion/

Email: SWikipedia@mail2tor.com

Tox: A4B3B0845DA242A64BF17E0DB4278EDF85855739667D3E2AE8B89D5439015F07E81D12D767FC

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

SHA-256: b60be0b5c6e553e483a9ef9040a9314dd54335de7050fed691a07f299ccb8bc6

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0c756fc8f34e409650cd910b5e2a3f00

SHA-1: 70d1d11e3b295ec6280ab33e7b129c17f40a6d2f

SHA-256: eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2

Vhash: 026066655d5d15541az27!z

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

Другие: IOC:

1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43

3a2f6e614ff030804aa18cb03fcc3bc357f6226786efb4a734cbe2a3a1984b6f

46d340eaf6b78207e24b6011422f1a5b4a566e493d72365c6a1cace11c36b28b

3be5aab4031263529fe019d4db19c0c6d3eb448e0250e0cb5a7ab2324eb2224d

a201e2d6851386b10e20fbd6464e861dea75a802451954ebe66502c2301ea0ed

ae61d655793f94da0c082ce2a60f024373adf55380f78173956c5174edb43d49

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 августа 2022:

Сообщение >>
IOC: VT, HA, IA, TG, AR, VMR, JSB

Новость от 23 января 2024:

Статья: Threat Assessment: BianLian

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

Added later: *
SecurityScoreCard report 
Decrypted: BianLian Ransomware 🔐

 Thanks: 
 Finch, BetterCyber
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

TheGodFather83

TheGodFather83 Ransomware

Aliases: TorPaste

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель сообщает, что блокирует интернет-соединение и шифрует данные пользователей, а затем требует выкуп $25 в BTC, чтобы вернуть файлы. Оригинальное название: TheGodFather83, указано в заголовке. На файле написано: windowswimn32.bat.
---
Обнаружения:
DrWeb -> ***

BitDefender -> Trojan.GenericKD.50595497

ESET-NOD32 -> BAT/Agent.OKK

Kaspersky -> Trojan.BAT.Agent.bsq

Microsoft -> Trojan:Win32/BatchWiper!MSR

Rising -> Trojan.Agent/BAT!8.1161C (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Malware.Win32.Gencirc.10bcc2e5

TrendMicro -> TROJ_GEN.R002C0WGE22

---

© Генеалогия: родство выясняется >> TheGodFather83

Сайт "ID Ransomware" TheGodFather83 пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt

Примеры:

README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(1511).txt

README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(13516).txt

README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(29497).txt

Содержание записки о выкупе:

Your Internet Connectivity Has Been Disabled and

Your Files Have Been Encrypted!

To Recover Your Files and Your Internet Connectivity, Please Follow The Instructions:

1. Send $25 USD worth in bitcoin to the following btc address:

3BkgCLuU34sG5RCAmSwZLteKLtCQVqARhg

2. Send an email with the payment proof and your personal instalation key to thegodfather83@mailfence.com

Your Personal Instalation Key: 38514-91863-68915

How To Buy Bitcoins? - https://www.blockchain.com/learning-portal/how-to-get-bitcoins

Перевод записки на русский язык:

Ваше подключение к Интернету отключено и

Ваши файлы были зашифрованы!

Чтобы восстановить файлы и подключение к Интернету, следуйте инструкциям:

1. Отправьте биткойны на сумму $25 США на следующий адрес:

3BkgCLuU34sG5RCAMSwZLteKLtCQVqARhg

2. Отправьте email с подтверждением оплаты и вашим личным ключом установки на thegodfather83@mailfence.com

Ваш персональный ключ установки: 38514-91863-68915

Как купить биткойны? - https://www.blockchain.com/learning-portal/how-to-get-bitcoins

Записка с требованием выкупа написана также на сайте вымогателей: 

Как видно на скриншотах, сайт вообще не использует HTML-разметку. 

Текст со скриншота: 

Your Internet Has Been Disabled, To Enable It Again Please Visit http://torpastezr7464pevuvdjisbvaf4yqi4n7sgz7lkwgqwxznwy5duj4ad.onion/raw/INLC7pVbQPGyfm0h/ ** YOU CAN ONLY ENTER TO THIS LINK WITH TOR BROWSER, DOWNLOAD IT AT https://torproject.org IN ANOTHER DEVICE ** > C:\Users\%USERNAME%\3D Objects\README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Выявленное, согласно VT, поведение:

Скрытно использует cmd и reg.exe для изменения данных в реестре или у файлов. Выполняет пакетные файлы. Создает файлы внутри каталога пользователя. Может заснуть (уклончивые петли), чтобы помешать динамическому анализу. И др. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_TO_RECOVER_YOUR_INTERNET_CONNECTIVITY(%RANDOM%).txt - название файла с требованием выкупа;
windowswimn32.bat - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: thegodfather83@mailfence.com
Tor-URL: torpastezr7464pevuvdjisbvaf4yqi4n7sgz7lkwgqwxznwy5duj4ad.onion/

BTC: 3BkgCLuU34sG5RCAmSwZLteKLtCQVqARhg

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 24b1647529c85490db5ad58a4f5a804a

SHA-1: 6c39e32f8edb6dadb2254b61bac396529db6d84c

SHA-256: 4758016824d430fcaab9c96056f0fd4d913826d26445824e19432560af540b26

Vhash: 06404e5f5d1d11z23z500280a5z37z12z3efz

Imphash: ebc638f1f6382a3fa539e03e3cd55aa5

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RedAlert, N13V

RedAlert Ransomware

N13V Ransomware

RedAlert Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные серверов Windows и Linux VMWare ESXi с помощью алгоритма NTRU (криптосистема с открытым ключом NTRUEncrypt), а затем требует выкуп в # BTC, чтобы вернуть файлы. Вымогатели угрожают опубликовать украденные данные на своем сайте, если пострадавшие не свяжутся с ними в течении 72 часов. Оригинальное название: N13V. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35562
BitDefender -> Trojan.RedAlert.A
ESET-NOD32 -> A Variant Of Linux/Filecoder.RedAlert.A
Kaspersky -> UDS:Trojan-Ransom.Linux.RedAlert.a
Microsoft -> Trojan:Script/Wacatac.B!ml, Ransom:Linux/RedAlert.A!MTB
Rising -> Ransom.RedAlert/Linux!8.160E2 (CLOUD)
Tencent -> Linux.Trojan.Redalert.Eera
TrendMicro -> Trojan.Linux.REDALERT.USELVG622
---

© Генеалогия: родство выясняется >> RedAlert (N13V)

Сайт "ID Ransomware" это идентифицирует как RedAlert. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2022 г. или даже раньше. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .crypt658

Возможно, расширение может быть другим и меняться для каждой жертвы. 

Записка с требованием выкупа называется: HOW_TO_RESTORE

Содержание записки о выкупе:

Hello, www.site-name

Your network was penterated

We have encrypted your files and stole large amount of sensitive data, including:

- NDA contracts and data

- Financial documents, payrolls, bank statements

- Employee data, personal documents, SSN, DL, CC

- Customer data, contracts, purchase agreements, etc.

- Credentials to local and remote devices

And more...

Encryption is reverssible process, your data can be easily recovered with our help

We offer you to purchase special decryption software, payment includes decryptor, key for it and erasure of stolen data

If you understand all seriousness of this sutation and ready to cooperate with us, follow the next steps:

1) Download TOR Browser from https://torproject.org

2) Install and launch TOR Browser

3) Visit our webpage: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion

On our webpage you will be able to purchase decryptor, chat with our support and decrypt few files for free

If you won't contact us in 72h we will start publishing stolen data in our blog part by part, DDoS site of your company and call employees of your company

We have analyzed financial documentation of your company so we will offer you the appropriate price

To avoid data loss and rising of the additional costs:

1) Don't modify contents of the encrypted files

2) Don't inform local authorities about this incident before the end of our deal

3) Don't hire recovery companies to negotiate with us

We guarantee that our dialogue will remain private and third-parties will never know about our deal

\%\%\%\%\%\%\%\%\%\%\%\%\%\%\% REDALERT UNIQUE IDENTIFIER START \%\%\%\%\%\%\%\%\%\%\%\%\%\%\%

Перевод записки на русский язык:

Привет, www.имя-сайта

Ваша сеть пенетрирована

Мы зашифровали ваши файлы и украли большое количество конфиденциальных данных, в том числе:

- Контракты и данные NDA

- Финансовые документы, платежные ведомости, банковские выписки

- Данные сотрудников, личные документы, SSN, DL, CC

- Данные клиентов, контракты, договоры купли-продажи и т. д.

- Учетные данные для локальных и удаленных устройств

И более...

Шифрование является обратимым процессом, ваши данные можно легко восстановить с нашей помощью

Предлагаем приобрести специальную программу для расшифровки, в оплату входит расшифровщик, ключ к нему и стирание украденных данных

Если вы понимаете всю серьезность этой ситуации и готовы сотрудничать с нами, выполните следующие действия:

1) Скачайте TOR браузер с https://torproject.org

2) Установите и запустите TOR браузер.

3) Посетите наш веб-сайт: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion

На нашей веб-странице вы сможете приобрести дешифратор, пообщаться с нашей службой поддержки и бесплатно расшифровать несколько файлов.

Если вы не свяжетесь с нами в течение 72 часов, мы начнем по частям публиковать украденные данные в нашем блоге, DDoS-сайте вашей компании и звонить сотрудникам вашей компании.

Мы проанализировали финансовую документацию вашей компании, поэтому предложим вам подходящую цену

Во избежание потери данных и увеличения дополнительных расходов:

1) Не изменяйте содержимое зашифрованных файлов

2) Не сообщайте местным властям об этом происшествии до окончания нашей сделки

3) Не нанимайте компании по восстановлению для ведения переговоров с нами.

Мы гарантируем, что наш диалог останется приватным и третьи лица никогда не узнают о нашей сделке.

\%\%\%\%\%\%\%\%\%\%\%\%\%\%\% REALERT УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР ЗАПУЩЕН \%\%\%\%\%\%\%\% \%\%\%\%\%\%\%

Скриншоты с сайта вымогателей:

Содержание первой страницы сайта:

YOUR NETWORK WAS PENETRATED

Your files are encrypted

Our system will automatically provide you decryptor and erase all stolen data on our servers

Any attempts to recover files using 3-rd party decryption software may lead to permanent data loss

Your data was stolen

We stole large amount of sensitive data from your network

We are going to sell your data or publish it in our blog

Your company will suffer big reputation losses

More then 100 people visiting our blog everyday

After publishing we inform the media about this attack

Now price is

1325.1200 XMR

-20%

$160000.0

Without discount

1656.4000 XMR

$200000

Discount ends in

03:07:59:56

Instructions  Live-chat  Data Breach

Send 1325.1200 XMR to the following XMR address:

Click to copy  

8ACXEsCf1iSSFm6czaRWz7RKLzKAPbTX2R9U1NGtYy5RUqrfHKsGRPqRNEEkFuxqTuMAkfj6wcKzp6eqT12PwXgJQxbVz6W

Create Monero (XMR) wallet

Deposit 1325.1200 XMR to your wallet

Transfer 1325.1200 XMR to payment address

Wait for 10 confirmations of your transaction on XMR network

Our system will automatically provide you decryptor and erase all stolen data on our server

If something goes wrong - text us in our chat

Содержание страницы "Board of shame":

syredis.fr

Data published

We have easily hacked corporate network of syredis.fr and downloaded more then 300 GB of sensitive data, including: - Customer data, contracts, credentials to local and remote devices in networks of customers of this company - Employee data, SSN, DL, CC - Financial documents, payrolls, banking statements - And more.... Network was hacked due very low level of security and incompetence of system administrator of syredis.fr. Also we have downloaded data from networks of customers of syredis.fr, we will attach links to data to this post :)

---

По нашим данным среди пострадавших есть несколько сайтов:

syredis.fr

www.wiensued.at

Но на странице сайта вымогателей опубликован пока только один: 

syredis.fr

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Скриншоты запуска на VMware:

Скриншоты из теста Bleeping Computer: 

Программа-вымогатель получила название RedAlert на основе последней строки, использованной в записке. Однако в результате теста из шифровальщика для Linux, полученного BleepingComputer, было получено название N13V. 

 

 

Шифровальщик для серверов Linux VMWare ESXi запускается с параметрами командной строки, которые позволяют злоумышленникам выключать любые работающие виртуальные машины перед шифрованием файлов.

Полный список параметров командной строки см. ниже.

-w  Run command for stop all running VM`s

-p   Path to encrypt (by default encrypt only files in directory, not include subdirectories)

-f   File for encrypt

-r   Recursive. used only with -p ( search and encryption will include subdirectories )

-t   Check encryption time(only encryption, without key-gen, memory allocates ...)

-n   Search without file encryption.(show ffiles and folders with some info)

-x   Asymmetric cryptography performance tests. DEBUG TESTS

-h   Show this message

Список типов файлов, подвергающихся шифрованию:
Только файлы, связанные с виртуальными машинами VMware ESXi, включая файлы журналов, файлы подкачки, виртуальные диски и файлы памяти:

.log, .vmdk, .vmem, .vswp, .vmsn

Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE - название файла с требованием выкупа;
redalert.exe - название вредоносного файла для Windows;

elf-файл - для Linux VMWare ESXi

Скриншоты частей кода: 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion

Email: -
XMR (Monero): 8ACXEsCf1iSSFm6czaRWz7RKLzKAPbTX2R9U1NGtYy5RUqrfHKsGRPqRNEEkFuxqTuMAkfj6wcKzp6eqT12PwXgJQxbVz6W

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f2fa9a3ce883a7f5b43ba5c9ff7bdf75

SHA-1: da6a7e9d39f6a9c802bbd1ce60909de2b6e2a2aa

SHA-256: 039e1765de1cdec65ad5e49266ab794f8e5642adb0bdeb78d8c0b77e8b34ae09

Vhash: e8adfad3b48440fe2975b62ba923fced

SSDEEP: 6144:65LjX/bdHB/q496k3amhqGDbQdnm2ENgJF7v+YT:I/DdHB/ukSokFgSv+YT

TLSH: T129846B0FFFA1CE5BC49943B188AF87667738D07CA7999723335991346C077E89E06A44

File type: ELF

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam, Lawrence Abrams, ланук
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Lilith

Lilith Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Lilith. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35547
BitDefender -> Trojan.GenericKD.49307970
ESET-NOD32 -> A Variant Of Win64/Filecoder.FC
Kaspersky -> Trojan-Ransom.Win32.Encoder.rqk
Malwarebytes -> Ransom.Filecoder
Microsoft -> Trojan:Win64/Vigorf.A
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Encoder.Pgwf
TrendMicro -> Ransom.Win64.LILITHCRYPT.YECGD
---

© Генеалогия: родство выясняется >> Lilith

Сайт "ID Ransomware" это идентифицирует как Lilith. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lilith

Записка с требованием выкупа называется: Restore_Your_Files.txt

Содержание записки о выкупе:

All your important files have been encrypted and stolen!

Contact us for price and get decryption software.

You have 3 days to contact us for negotiation.

If you don't contact within three days, we'll start leaking data.

1) Contact our tox.

Tox download address: https://tox.chat/

Our poison ID:

59B542C61F574BD8B3255E55651FC7C49EB53546FC6AD0698C7A12D97D193C7D6D**********

* Note that this server is available via Tor browser only

Follow the instructions to open the link:

1. Type the addres "https://www.torproject.org" in your Internet browser. It opens the Tor site.

2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

3. Now you have Tor browser. In the Tor Browser open :

hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Перевод записки на русский язык:

Все ваши важные файлы зашифрованы и украдены!

Свяжитесь с нами, чтобы узнать цену и получить программу для расшифровки.

У вас есть 3 дня, чтобы связаться с нами для переговоров.

Если вы не свяжетесь в течение трех дней, мы начнем слив данных.

1) Свяжитесь с нашим tox.

Адрес загрузки Tox: https://tox.chat/

Наш poison ID:

59B542C61F574BD8B3255E55651FC7C49EB53546FC6AD0698C7A12D97D193C7D6D**********

* Обратите внимание, что этот сервер доступен только через браузер Tor.

Следуйте инструкциям, чтобы открыть ссылку:

1. Введите адрес "https://www.torproject.org" в своем интернет-браузере. Он откроет сайт Tor.

2. Нажмите "Скачать Tor", затем нажмите "Скачать Tor Browser Bundle", установите и запустите его.

3. Теперь у вас есть браузер Tor. В браузере Tor откройте:

hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Скриншот сайта вымогателей:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Перед шифрованием завершает процессы, которые могут помешать шифрованию. Шифрование выполняется с использованием криптографического API Windows, а функция Windows CryptGenRandom генерирует случайный ключ.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых файлов и папок: 

.dll, .exe, .sys

Restore_Your_Files.txt

All Users, Windows, Windows.old, Program files, Program files (x86), ProgramData, $Recycle.Bin, ntldr, boot-файлы системы, ntuser-файлы и пр.

Internet Explorer, Google, Opera, Mozilla, Tor Browser и пр. 

ecdh_pub_k.bin - локальный открытый ключ, используемый в вымогателях на основе Babuk Ransomware. 

Файлы, связанные с этим Ransomware:
Restore_Your_Files.txt - название файла с требованием выкупа;
f3caa040efb298878b99f883a898f76d92554e07a8958e90ff70e7ff3cfabdf5.exe  - случайное название вредоносного файла;

PI1J3.txt - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b7a182db3ba75e737f75bda1bc76331a

SHA-1: cf0fe28214ad4106c48ec5867327319eaa82b3c3

SHA-256: f3caa040efb298878b99f883a898f76d92554e07a8958e90ff70e7ff3cfabdf5

Vhash: 025086655d55551515555088z6b!z

Imphash: 261a21398ec064ef3b57c9095d03d0e8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

Added later: Write-up

 Thanks: 
 JAMESWT, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.