CatB

CatB Ransomware

Aliases: FishA, CatFish, FishCat, Fish-Cat, FishA-CatB

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на компьютерах компаний с помощью комбинации алгоритмов (в тексте вымогателей указан только алгоритм RSA-2048), а затем требует заплатить выкуп в 50-130 BTC в течение нескольких дней (сумма растёт каждый день!), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Получил название по логину одного из email вымогателей. 
---

Обнаружения:

DrWeb -> Trojan.Encoder.36354

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Agent.BTE

Kaspersky -> Trojan-Ransom.Win32.Fishcat.b

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win64/CatB.AD!MTB

Rising -> Ransom.Cryptor!8.10A9 (CLOUD)

Tencent -> Malware.Win32.Gencirc.10bdf7fb

TrendMicro -> Ransom_Cryptor.R002C0PK822

---

DrWeb -> Trojan.Encoder.36257

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> Win64/Agent.BTE

Kaspersky -> Trojan-Ransom.Win64.Fishcat.a

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win64/CatB.AD!MTB

Rising -> Ransom.Cryptor!8.10A9 (CLOUD)

Tencent -> Malware.Win32.Gencirc.10be031c

TrendMicro -> Ransom_Cryptor.R06BC0PK322

---
Обнаружения:
DrWeb -> Trojan.Encoder.37041
BitDefender -> Trojan.Ransom.CatB.A
ESET-NOD32 -> A Variant Of Win64/Filecoder.GK
Kaspersky -> Trojan-Ransom.Win32.Fishcat.d
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/CatB.A!MTB
Rising -> Ransom.Fishcat!8.173F0 (CLOUD)
Tencent -> ***
TrendMicro -> Backdoor.Win64.COBEACON.YXCLBZ
---

© Генеалогия: родство выясняется >> CatB

Сайт "ID Ransomware" идентифицирует это как CatB (с 15 марта 2023). 

Информация для идентификации

Активность этого крипто-вымогателя началась в начале и в середине ноября 2022 г. и продолжилась в начале 2023 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были связаны с автомобильной промышленностью. 

К зашифрованным файлам никакое расширение не добавляется. 

Записка с требованием выкупа вписывается в каждый зашифрованный файл. Чтобы прочитать содержимое записки, нужно открыть зашифрованный файлы Блокноте Windows или альтернативной программе для текстовых файлов.  

Содержание текста о выкупе:

??? What happend???

!!!    Your files are encrypted   !!!

*All your files are protected by strong encryption with RSA-2048.*

*There is no public decryption software.*

###### Program and private key, What is the price? The price depends on how fast you can pay to us.######

1 day : 50 Bitcoin

2 day : 60 Bitcoin

3 day : 90 Bitcoin

4 day : 130 Bitcoin

5 day  : permanent data loss !!!!

Btc Address: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz

!!! After received, we will send program and private key to your IT department right now.!!!

*Free decryption As a guarantee, you can send us up to 3 free decrypted files before payment.*

email: catB9991@protonmail.com

!!! Do not attempt to decrypt your data using third-party software, this may result in permanent data loss.!!!

!!! Our program can repair your computer in few minutes.!!!

ХХХХХ

Перевод текста на русский язык:

??? Что случилось???

!!! Ваши файлы зашифрованы!!!

*Все ваши файлы защищены надежным шифрованием RSA-2048.*

*Отсутствует общедоступное программное обеспечение для расшифровки.*

###### Программа и приватный ключ, Какая цена? Цена зависит от того, как быстро вы сможете заплатить нам.######

1 день: 50 биткойнов

2 день: 60 биткойнов

3 день: 90 биткойнов

4 день: 130 биткойнов

5 день: безвозвратная потеря данных!!!!

Адрес BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz

!!! После получения мы отправим программу и закрытый ключ в ваш ИТ-отдел прямо сейчас.!!!

*Бесплатная расшифровка В качестве гарантии вы можете отправить нам до 3 бесплатных расшифрованных файлов перед оплатой.*

Email: catB9991@protonmail.com

!!! Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к безвозвратной потере данных.!!!

!!! Наша программа может исправить ваш компьютер за несколько минут.!!!

ХХХХХ


Другой вариант текста записки:

В нём указан Email: fishA001@protonmail.com

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ CatB обнаруживает виртуальные машины/песочницы, проверяя размер физической памяти. Это делается путем получения информации как о физической, так и о виртуальной памяти с помощью API-функции GlobalMemoryStatusEx. В данном случае CatB завершает работу, если на машине менее 2 ГБ физической памяти. 

➤ В дополнение к шифрованию и обфускации файлов CatB Ransomware попытается собрать конфиденциальную информацию из целевых систем. включая браузеры (Google Chrome, Microsoft Edge, Internet Explorer, Mozilla Firefox) и учётные данные.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., в том числе: exe, dll, sys, html.

Файлы, связанные с этим Ransomware:

key - специальный файл, оставляется на ПК каждой жертвы; 

<text inside> - текст с требованием выкупа вписан в каждый файл;

svchosts.exe - один из вредоносных файлов; 
oci.dll, version.dll, <random>.dll {exe} - название вредоносного dll-файла.

➤ CatB использует перехват DLL через координатора распределенных транзакций Microsoft (MSDTC) для извлечения и незаметного запуска пейлоада (полезной нагрузки) программы-вымогателя.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Public\key

C:\Users\Admin\Documents\OutInvoke.mht

C:\Users\Admin\Downloads\EditExpand.txt

C:\Users\Admin\AppData\Local\Google\Chrome\User Data\chrome_shutdown_ms.txt

C:\Users\Admin\AppData\Local\Microsoft\Internet Explorer\brndlog.txt

C:\Users\Admin\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\ErrorPage.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: catB9991@protonmail.com

Email-2: fishA001@protonmail.com
BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 152355ae53f89b83d40983afa3d9726b

SHA-1: 8c11109da1d7b9d3e0e173fd24eb4b7462073174

SHA-256: 512587a73cd03c6324ade468689510472c6b9e54074f3cf115aa54393b14f037

Vhash: 015076655d155515555az4f!z

Imphash: 9ee213cc92019de3ab89fab1fe03397f

---

IOC: VT, HA, IA, TG (TG), AR, VMR, JSB

MD5: b6c1128fbff30b2a37498a042261ebbf

SHA-1: 1028a0e6cecb8cfc4513abdbe3b9d948cf7a5567

SHA-256: 35a273df61f4506cdb286ecc40415efaa5797379b16d44c240e3ca44714f945b

Vhash: 115076655d155515155az5-z

Imphash: 36895010a51643fd82e39e17faab3448

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: edc87da8654e966bee0e5c9b92ed67cb

SHA-1: db99fc79a64873bef25998681392ac9be2c1c99c

SHA-256: 9990388776daa57d2b06488f9e2209e35ef738fd0be1253be4c22a3ab7c3e1e2

Vhash: 015076655d155515555az4f!z

Imphash: 9ee213cc92019de3ab89fab1fe03397f

Другие IOC: 

db99fc79a64873bef25998681392ac9be2c1c99c

dd3d62a6604f28ebeeec36baa843112df80b0933

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 MinervaLabs, PCrisk, SentinelOne, Fortinet
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RansomBoggs

RansomBoggs Ransomware

Sullivan Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 (режим CBC) + RSA для ключа, а затем требует написать вымогателям, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. ESET связывает этого вымогателя с Sandworm, который, якобы, связан с ГРУ России. 

---
Обнаружения:
DrWeb -> неизвестно
BitDefender -> неизвестно
ESET-NOD32 -> MSIL/Filecoder.Sullivan.A, MSIL/Filecoder.RansomBoggs.A
Kaspersky -> неизвестно
Malwarebytes -> неизвестно
Microsoft -> неизвестно
Rising -> неизвестно
Tencent -> неизвестно
TrendMicro -> неизвестно
---

© Генеалогия: предыдущие разработки >> RansomBoggs

Сайт "ID Ransomware" RansomBoggs пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в ноябре 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Так как компания ESET, описавшая этого вымогателя, как инструмент атаки ГРУ на Украину, находится в Словакии (член НАТО с 2004 года), много раз замечена в русофобском и антироссийском настроении, потому верить очередному "выплеску русофобии" нет необходимости. Антивирусные продукты ESET много лет занимаются шпионажем в пользу НАТО, потому должны быть удалены со всех компьютеров в России, Беларуси и изъяты из продаж в магазинах. 

Здесь мы только суммируем информацию. Программа-вымогатель есть, угроза шифрования файлов существует, а кто её запускает — это другая тема. 

К зашифрованным файлам добавляется расширение: .chsch 

Записка с требованием выкупа называется: SullivanDecryptsYourFiles.txt

Содержание записки о выкупе:

Dear human life form!

This is James P. Sullivan, an employee of Monsters, Inc.

Recently our company has again expecienced great financial problems and we require some cash to move on with our electronic crap.

So we are relying on you in these hard times and are crying for help.

I am extremely sorry for the inconvenience but I am currently encrypting your documents using AES-128.

This key is encrypted using RSA public key and saved to aes.bin file:

[ C:\Users\Administrator\Desktop\aes.bin ]

Please, DO NOT WORRY! I have a decrypting functionality too.

Just don't delete aes.bin, please. You will need it!

==================================================

You just need to contact me:

m0nsters-tnc@proton.me

https://t.me/m0nsters_tnc

TOX 76F64AF81368A06D514A98C129F56EF09950A8C7DF19BB1B839C996436DCD36A6F27C4DF00A6

==================================================

Перевод записки на русский язык:

Дорогая человеческая форма жизни!

Это Джеймс П. Салливан, сотрудник Monsters, Inc.

Недавно наша компания снова получила большие финансовые проблемы и нам нужны деньги, продолжить работу с электронным дерьмом.

Поэтому мы надеемся на вас в эти трудные времена и просим помощи.

Приносим извинения за неудобства, но сейчас я шифрую ваши документы с помощью AES-128.

Этот ключ зашифрован с открытым ключом RSA и сохранен в файле aes.bin:

[ C:\Пользователи\Администратор\Рабочий стол\aes.bin ]

Пожалуйста, не беспокойся! У меня тоже есть функция расшифровки.

Только не удаляйте aes.bin, пожалуйста. Вам это понадобится!

==================================================

Вам просто нужно связаться со мной:

m0nsters-tnc@proton.me

https://t.me/m0nsters_tnc

TOX 76F64AF81368A06D514A98C129F56EF09950A8C7DF19BB1B839C996436DCD36A6F27C4DF00A6

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Для атаки используются технологии Microsoft, встроенные в Windows, в том числе PowerShell. Сама программа-вымогатель написана на языке .NET, который тоже является разработкой Microsoft. Это еще раз подтверждается их вредоносность. 

Немного о шифровании:

RansomBoggs генерирует случайный ключ и шифрует файлы, используя AES-256 в режиме CBC (а не AES-128, как указано в записке), и добавляет к файлу расширение .chsch. Затем ключ шифруется RSA и записывается в aes.bin. В зависимости от варианта вредоносного ПО открытый ключ RSA может быть жестко запрограммирован в самом образце вредоносного ПО или предоставлен в качестве аргумента. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
aes.bin - специальный файл с открытым ключом RSA; 

SullivanDecryptsYourFiles.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Administrator\Desktop\aes.bin

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0nsters-tnc@proton.me

Telegram: @m0nsters_tnc

TOX: 76F64AF81368A06D514A98C129F56EF09950A8C7DF19BB1B839C996436DCD36A6F27C4DF00A6 

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

VT: F4D1C047923B9D10031BB709AABF1A250AB0AAA2

VT: 021308C361C8DE7C38EF135BC3B53439EB4DA0B4

ESET research почему-то не предоставил публичные образцы вредоносных файлов, потому считаю их исследование о том, что за распространением RansomBoggs Ransomware стоят российские хакеры, бездоказательным. Это мое личное мнение. Результат анализа файлов на сайте VirusTotal должен быть виден всем! 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 ESET research, BleepingComputer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

VIIPlusLoader

VIIPlusLoader Ransomware

VIIPlusLoader Wiper-Ransomware

(фейк-шифровальщик, стиратель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует связаться с вымогателями, чтобы узнать, как заплатить выкуп и вернуть файлы. На самом деле файлы стираются. Оригинальное название: VIIPlusLoader. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> VIIPlusLoader Wiper

Сайт "ID Ransomware" VIIPlusLoader Wiper пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине - второй половине ноября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам никакое расширение не добавляется. Внешне файлы выглядят, как обычно, но внутри они стёрты. Уплата выкупа бесполезна! 

Записка с требованием выкупа не используется, вместо этого используется текстовый файл LOADER.TXT с кодом ошибки и контактом для связи по email. 

Содержание текстового файла:

kennä HAS ENCRYPTED YOUR FILES!

CONTACT

VIIPlusLoader@PROTONMAIL.COM

INDICATING THESE ERROR CODES:

0x24592549CE91EE62545B5C6CE61293A1E707356803F7B6DBA7A1A5EC220366B8

0x74C18D8C106C93A9B66D472291E5508F

***

Перевод текстового файла на русский язык:

kennä ЗАШИФРОВАЛА ВАШИ ФАЙЛЫ!

КОНТАКТ

VIIPlusLoader@PROTONMAIL.COM

ПОКАЗАНЫ ЭТИХ КОДОВ ОШИБОК:

***


Другим информатором является текстовое сообщение, которое написано в каждом стёртом файле. 

Текст в стёртых файлах: encrypted by VIIPlusLoader contact VIIPlusLoader@PROTONMAIL.COM


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Для распространения вредоносной программы вымогатели инфицировали VIIPlusLoader — загрузчик, который используется для запуска программного обеспечения, и теперь используют его названия для названия вредоносной программы и логина контактной почты для связи с пострадавшими. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Заражая загрузчик вымогатели действуют нагло. Ведь, им достаточно заразить только загрузчик обновлений или сервер обновлений, чтобы это действие имело массовый характер и заразило всех без исключения пользователей данного ПО. Даже антивирус со скромным функционалом не сможет защитить, ведь обновление программы разрешено от имени пользователя или администратора с соответствующими настройками.

Ясно, что действует не один хакер, а группа вымогателей, хакеров и политизированных отморозков, у которых сейчас развязаны руки и дан зелёный свет атакам. Они заражают абсолютно все программное обеспечение, которое пользуется популярностью. Здесь они используют "VIIPlusLoader" в email-адрес VIIPlusLoader@PROTONMAIL.COM. Это заранее спланированное преступление, а не разовое действие.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LOADER.TXT - название оставляемого текстового файла с сообщением об ошибке и контактом;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: viiplusloader@protonmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Mystral75
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

QuiDDoss

QuiDDoss Ransomware

Fake-Russian Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем оставляет записку на псевдо-русском языке. Текст очень плохой, что говорит о том, что он был переведен с другого языка. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> QuiDDoss

Сайт "ID Ransomware" QuiDDoss пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине октября 2022 г. Имитирует ориентацию на русскоязычных пользователей, может распространяться по всему миру. Первые пострадавшие, которые сообщили об атаке, из Саудовской Аравии. В таком случае это скорее всего ответная антиарабская и антироссийская реакция на то, что Саудовская Аравия вместе с другими странами ОПЕК+ сократила добычу нефти на 2 млн баррелей в день, несмотря на призывы США увеличить добычу. Это выгодно для России, потому злоумышленники использовали русский язык в своих требованиях выкупа. Скорее всего требования выкупа и email-адрес фиктивные. Уплата выкупа бесполезна! 

К зашифрованным файлам добавляется расширение: .Прочти меня

Пример содержания разных зашифрованных файлов:

Зашифрованные файлы в папке вместе с запиской: 

Записка с требованием выкупа называется: Прочти меня.txt

Содержание записки о выкупе:

Сервер компании и все файлы сильно зашифрованы, чтобы взломать коды

Ваше устройство заблокировано. Нам удалось

Мы нацелены на корпоративные серверы через подустройство

Глупость вдохновителя сделала глупой жертвой

Чтобы отправить файл для разблокировки устройства, напишите нам с реквизитами электронного платежа

Файлы будут удалены с ведомого ПК через 7 дней с момента взлома.

Вы должны отправить нам сообщение, чтобы сохранить этот пароль, чтобы мы могли обслуживать вас

----

Программирование обхода паролей - qRnULPV0r2aPomaWc38qhKgZLyyaPeI64YQq6LDngrxrk*****

КуиДДосс@protonmail.com

Перевод записки на русский язык:
***уже сделан***


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Прочти меня.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: quiddoss@protonmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Alice

Alice Ransomware

Alice Ransomware Builder

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Alice Ransomware. На распространяемом файле написано: AliceRansomwareBuilder.exe.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> Alice Ransomware Builder

Сайт "ID Ransomware" Alice пока не идентифицирует. 

Информация для идентификации

Первые посты с сообщениями о продажу услуги по использованию этого крипто-вымогателя были опубликованы на форумах кибер-андеграунда 23 октября 2022 г. Ориентирован на русскоязычных и англоязычных покупателей услуги RaaS, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .alice

Записка с требованием выкупа называется: How to Restore Your Files.txt

Содержание записки о выкупе настраивается покупателем по своему усмотрению. 


Часть текста, размещаемого оператором (продавцом услуги RaaS) на форумах кибер-андеграунда:

Приветствуем тебя в нашем проекте "Alice in The Land of Malware" в нашем проекте главное честность, если ты:

1. Не хочешь переплачивать за пасты и получать ответы по несколько дней, так и не решив вопрос/проблему!

2. Хочешь найти софт который отвечал бы твоим параметрам, который будет служить долго и работать только на тебя!

3. Хочешь найти честный проект, который не будет тебе обещать миллионы приобретая софт. Поддержку по любым вопросам связанным с проектом, а также рассказать по желанию о себе).

Слушай друже ты попал куда нужно, тебе тогда стоит обратить внимание на наш проект и работая с нами ты не пожалеешь о потраченных деньгах и своем времени, поэтому мы готовы вести обратную связь с каждым.

Ransomware - Тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нём данных, а затем требует от жертвы выкуп для восстановления исходного состояния.

Выхлоп с этого очень-очень хороший, также мы предоставляем литературу и поддержку

Скриншоты с одного из форумов: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to Restore Your Files.txt - название файла с требованием выкупа;

AliceRansomwareBuilder.exe - файл крипто-строителя; 

Encryptor.exe - файл шифровальщика;

Decryptor.exe - получаемый дешифровщик. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Форумы, на которых продается (продавался) Alice Ransomware Builder:

hxxxs://bdfclub.com/threads/alice-in-the-land-of-malware-ransomware-shifrovalschik.152074/

hxxxs://darknet.ug/threads/alice-in-the-land-of-malware-ransomware-shifrovalschik.3845/post-15878

Сетевые подключения и связи:
Email оператора-распространителя: Alice_Malware@thesecure.biz
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Cyble, Bleeping Computer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.