FSHealth

FSHealth Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: svchost.exe. Вероятно, содержит инфостилер, похищает информацию из браузеров. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37434
BitDefender -> Gen:Heur.MSIL.Krypt.!cdmip!.2
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan-PSW.MSIL.Stealer.gen
Malwarebytes -> Malware.Heuristic.1003
Microsoft -> Backdoor:Win32/Bladabindi!ml
Rising -> Malware.Obfus/MSIL@AI.97 (RDM.MSIL***
Tencent -> Msil.Trojan-QQPass.QQRob.Ftgl
TrendMicro -> TROJ_GEN.R002H07CR23
---

© Генеалогия: более ранние варианты >> FSHealth

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце марта - начале апреля  2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .locked

Фактически используется составное расширение по шаблону: .[<ID{24}>][fshealth@outlookpro.net].locked

Пример такого расширения: .[8C30ED5CBFEBFBFF000506E5][fshealth@outlookpro.net].locked

Записка с требованием выкупа называется: How_to_decrypt_my_files.html

Содержание записки о выкупе:

ALL YOUR IMPORTANT FILES ARE STOLEN AND ENCRYPTED

If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

What guarantee is there that we won't cheat you?

Send us ONE small encrypted files to emails listed below.

We will decrypt these files and send them back to you as a proof.

fshealth@outlookpro.net | fshealth@jitjat.org

In subject line please write your personal ID 8C30ED5CBFEBFBFF000506E5

Warning! Do not delete or modify encrypted files, it will lead to problems with decryption of files!

Перевод записки на русский язык:

ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ УКРАДЕНЫ И ЗАШИФРОВАНЫ

Если вы не заплатите выкуп, данные будут опубликованы на наших сайтах даркнета TOR. Имейте в виду, что как только ваши данные появятся на нашем сайте утечки, их в любую секунду могут купить ваши конкуренты, поэтому не медлите. Чем раньше вы заплатите выкуп, тем скорее ваша компания будет в безопасности.

Какие гарантии, что мы вас не обманем?

Отправьте нам ОДИН небольшой зашифрованный файл на email-адреса, указанные ниже.

Мы расшифруем эти файлы и отправим их вам как доказательство.

fshealth@outlookpro.net | fshealth@jitjat.org

В теме письма укажите свой личный ID 8C30ED5CBFEBFBFF000506E5

Предупреждение! Не удаляйте и не изменяйте зашифрованные файлы, это приведет к проблемам с расшифровкой файлов!

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Деструктивная активность: 

Добавляется в Автозагрузку, создавая ключ в реестре. 

Может удалять теневые копии на дисках. 

Может заснуть, чтобы помешать динамическому анализу.

Может попытаться обнаружить виртуальную машину, чтобы помешать анализу.

Может попытаться завершить процессы авнтивирусов.  

Пытается собрать и украсть информацию из браузеров (история, пароли и т.д.).

Устанавливает расширение для Chrome.

Перезаписывает настройки Mozilla Firefox.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_to_decrypt_my_files.html - название файла с требованием выкупа; 

svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fshealth@outlookpro.net, fshealth@jitjat.org
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b488ff7fb5528a5e72433b02c1c7e117

SHA-1: 68a6c76955b90f03c4b188e5b042e485c9696770

SHA-256: 23b58cfbcfa0390c722955299dc5decf71784c64627f83b85be6ef870b93ea56

Vhash: 21505f765515161170992181040

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Andrew Ivanov (article author)
 quietman7, tetonbob
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Money-Encryptor

Money Message Ransomware

MoneyMessage Ransomware

Money-Encryptor Ransomware

Xxyyzzr Ransomware

(шифровальщик-вымогатель, пугатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов (возможно: ChaCha20, ECDH), а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Money Message. На файле написано: encryptor.exe. Написан на C++, имеет встроенный файл конфигурации JSON, определяющий способ шифрования устройства.
---
Обнаружения:
DrWeb -> Trojan.DelShadows.23
BitDefender -> Gen:Variant.Lazy.319354
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONS, A Variant Of Win32/Filecoder.MoneyMessage
Kaspersky -> HEUR:Trojan.Win32.DelShad.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Genasom
Rising -> Trojan.Generic@AI.91 (RDML:pWet***
Tencent -> Win32.Trojan.Filecoder.Hmnw
TrendMicro -> TROJ_GEN.R002H0CCU23
---

DrWeb -> Trojan.MulDrop21.52024

BitDefender -> Gen:Variant.Lazy.319354

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONS

Kaspersky -> HEUR:Trojan.Win32.DelShad.gen

Microsoft -> Trojan:Win32/Tiggre

Malwarebytes -> Ransom.FileCryptor

Rising -> Trojan.Generic@AI.91 (RDML:k9HTpfO

Tencent -> Win32.Trojan.Filecoder.Osmw

TrendMicro -> Ransom.Win32.MONEYMESS.THCCOBC

© Генеалогия: родство выясняется >> Money-Encryptor (Money message)

Сайт "ID Ransomware" это идентифицирует как MoneyMessage (с 2 апреля 2023). 

Информация для идентификации

Активность этого крипто-вымогателя была в середине-конце марта 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам в процессе шифрования добавляется временное расширение: xxyyzzr

Причем, такое расширение (без точки) добавляется к файлам, имеющим своё расширение. При этом файлы без расширений, например, 'Local State' получают расширение .xxyyzzr (с точкой). Это можно посмотреть по ссылке. 

По окончании шифрования временное расширение удаляется, чтобы зашифрованные файлы выглядели как обычные незашифрованные файлы. 

Записка с требованием выкупа называется: money_message.log

Содержание записки о выкупе:

Your files was encrypted by "Money message" profitable organization  and can't be accessed anymore.

If you pay ransom, you will get a decryptor to decrypt them. Don't try to decrypt files yourself - in that case they will be damaged and unrecoverable.

For further negotiations open this client bw7etcwm74fzltodeo7otuw2msnyxl4a5fa7uhn6fispj4j3qd.onion/chat.php?chatId=099048cdcba611edb917a0369feef504

using tor browser https://www.torproject.org/download/

In case you refuse to pay, we will post the files we stole from your internal network, in our blog:

blogvl7tjyjvsfthobttze52w36wwiz34hrfcmorgvdzb6hikucb7aqd.onion

Encrypted files can't be decrypted without our decryption software.

Перевод записки на русский язык:

Ваши файлы зашифрованы прибыльной организацией "Money message" и больше недоступны.

Если вы заплатите выкуп, вы получите дешифратор для их расшифровки. Не пытайтесь расшифровывать файлы сами - в этом случае они будут повреждены и не подлежат восстановлению.

Для дальнейших переговоров откройте этот клиент bw7etcwm74fzltodeo7otuw2msnyxl4a5fa7uhn6fispj4j3qd.onion/chat.php?chatId=099048cdcba611edb917a0369feef504

через тор браузер https://www.torproject.org/download/

Если вы откажетесь платить, мы разместим украденные файлы из вашей внутренней сети в нашем блоге:

blogvl7tjyjvsfthobttze52w36wwiz34hrfcmorgvdzb6hikucb7aqd.onion

Зашифрованные файлы невозможно расшифровать без нашей программы для расшифровки.

Содержание записки закодировано в коде программы с помощью Base64:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Перед шифрование вырубает следующие процессы:

sql.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefox.exe, tbirdconfig.exe, mdesktopqos.exe, ocomm.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, vmms.exe, vmwp.exe

Отключает следующие службы Windows:

backup, memtas, mepocs, sophos, sql, svc$, veeam, vmms, vss

Пропускает файлы: 

autorun.inf

boot.ini, bootfont.bin, bootsect.bak

desktop.ini

iconcache.db

ntldr

ntuser.ini, ntuser.dat, ntuser.dat.log

thumbs.db

Пропускает директории:

C:\$windows.~ws, C:\$windows.~bt

C:\windows, C:\windows.old

C:\system volume information

C:\boot

C:\msocache

C:\perflogs

C:\programdata, C:\program files (x86), C:\program files

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
money_message.log - название файла с требованием выкупа;
encryptor.exe - название вредоносного файла; 

decryptor.exe - название файла дешифровщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\encryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 12345-12345-12235-12354

Используется мьютекс, чтобы не шифровать файлы повторно. Вторая запущенная копия завершает работу. 

См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: blogvl7tjyjvsfthobttze52w36wwiz34hrfcmorgvdzb6hikucb7aqd.onion

Tor-URL: p6kxp556kkcbjdjsg24g3edmvr7v7ujecuychw4ibvqhl6wuomnrgbqd.onion

 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 400fa5d02c1ac704cd290d959b725e67

SHA-1: 456e5cb1739cb5f29020d1a692289a5af07ce90d

SHA-256: dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304c8de384dac

Vhash: 075056655d55556158z797z4035z1lz

Imphash: 1fce1172b1846e03a9af5ff84d37390e

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 163e651162f292028ca9a8d7f1ed7340

SHA-1: a85ff9091f298ea2d6823a7b0053daa08b237423

SHA-256: bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b

Vhash: 075056655d55556138z777z4035z1lz

Imphash: b4d5733390854900e9a765684837c828

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5-6 апреля 2023:

Статья на сайте BleepingComputer >>

Группа вымогателей "Money Message" утверждает, что украла исходный код из сети компании MSI (тайваньский производитель комплектующих для ПК).

Money Message угрожает опубликовать все украденные документы примерно через пять дней, если MSI не выполнит требования о выплате выкупа.

Вариант от 19 апреля 2023:

Сообщение >>

Записка: money_message.log

IOC: VT: MD5: 6dfe49b0f0b9dd4d488e10fc864a8456

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 Added later: Write-up

 Thanks: 
 Andrew Ivanov (article author)
 quietman7, RAKESH KRISHNAN
 Michael Gillespie
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Abyss Locker

Abyss Locker Ransomware

Abyss-Data Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на серверах компаний с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Abyss Locker. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38417
BitDefender -> Trojan.GenericKD.71114327
ESET-NOD32 -> A Variant Of Win64/Filecoder.Rook.B
Kaspersky -> UDS:Trojan.Win32.Generic
Malwarebytes -> Ransom.Filecoder
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Rising -> Ransom.Agent!1.C2C9 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10bf7fa8
TrendMicro -> Ransom.Win64.ABYSSLOCKER.THAOHBD
---

© Генеалогия: ✂ Babuk, ✂ LockBit + другой код >> Abyss Locker

Сайт "ID Ransomware" идентифицирует это как Abyss Locker (с 22 мая 2023). 

Информация для идентификации

Активность этого крипто-вымогателя была в марте 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Не только шифрует, но и крадет данные. 

К зашифрованным файлам добавляется расширение: .Abyss

Записка с требованием выкупа называется: WhatHappened.txt

Записка с требованием выкупа, написанная на сайте вымогателей: 

Содержание записки о выкупе:

We are the Abyss Locker, professionals in all aspects we perform.

Your company Servers are locked and Data has been taken to our servers. This is serious.

Good news:

-100% of your Server system and Data will be restored by our Decryption Tool;

- for now, your data is secured and safely stored on our server;

- nobody in the world is aware about the data leak from your company except you and Abyss Locker team.

FAQs:

Want to go to authorities for protection?

- they will do their job properly, but you will not get any win points out of it, only headaches; they will never make decryption for data or servers, they just can’t.

Also, they will take all of your IT infrastructure as a part of their procedures… but still they will not help you at all.

Think you can handle it without us by decrypting your servers and data using some IT Solution from third-party non-hackers' "specialists"?

- they will only make significant damage to all of your data; every encrypted file will be corrupted forever. Only our Decryption Tool will make decryption 100% guaranteed;

Think your partner IT Recovery Company will do files restoration?

- no they will not do restoration, only take 3-4 weeks for nothing; besides all of your data is on our servers and we can publish it at any time;

as well as send the info about the data breach from your company servers to your key partners and clients, competitors, media and youtubers, etc.

Those actions from our side towards your company will have irreversible negative consequences for your business reputation.

You don’t care in any case, because you just don’t want to pay hackers?

- We will make you business stop forever by using all of our experience to make your partners, clients, employees and whoever cooperates with your company change their minds by

having no choice but to stay away from your company.

As a result, in midterm you will have to close your business.

So lets get straight to the point.

What do we offer in exchange on your payment:

- decryption and restoration of all your systems and data within 24 hours with 100% guarantee;

- never inform anyone about the data breach out from your company;

- after data decryption and system restoration, we will delete all of your data from your servers forever;

- provide valuable advising on your company IT protection so no one can attack your again.

Now, in order to start negotiations, you need to do the following:

- download the Tor Browser using their official website: https://www.torproject.org/

- use these credentials to enter the Chat for text negotiation: hxxx://op635o7bjrfeni2d3mqd7eawotx5hkvpzxlbvjhxqq7zdmwhf5r3oryd.onion/***

There will be no bad news for your company after successful negotiations for both sides. But there will be plenty of those bad news if case of failed negotiations, so don’t think about how to avoid it.

Just focus on negotiations, payment and decryption to make all of your problems solved by our specialists within 1 day after payment received: servers and data restored, everything will work good as new.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WhatHappened.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла$

readme.bmp - изображение, заменяющее обои Рабочего стола. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://op635o7bjrfeni2d3mqd7eawotx5hkvpzxlbvjhxqq7zdmwhf5r3oryd.onion/

hxxx://jqlcrn2fsfvxlngdq53rqyrwtwfrulup74xyle54bsvo3l2kgpeeijid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 18baedf43f4a68455e8d36b657aff03c (публичный образец) 

MD5: 28E7CF3D80CFDC9FFB650BAAAC74DAA8 (непубличный образец) 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новость от 29 июля 2023: 

Linux-версия Abyss Locker Ransomware нацелена на серверы VMware ESXi.

Abyss Locker для Linux основан на Hello Kitty, но вместо этого использует шифрование ChaCha.

Статья BC об этом >>

=== 2024 ===

Новость от 26 февраля 2024: 

Спустя год после нашей публикации, наконец-то, обзор от Fortinet >>
Обзор включает версии 1 и 2. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 stefanofavarato, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Cactus

Cactus Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует от своих жертв крупный выкуп, чтобы получить возможность вернуть файлы. Оригинальное название: Cactus, указано в записке. 

---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Cactus

Сайт "ID Ransomware" идентифицирует это как Cactus. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине марта 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

При подготовке файла к шифрованию Cactus меняет его расширение на .CTS0. После шифрования расширение становится .CTS1.

У Cactus также есть "быстрый режим", который похож на легкий проход шифрования. Последовательный запуск вредоносной программы в быстром и обычном режимах приводит к двойному шифрованию одного и того же файла и добавлению нового расширения после каждого процесса (например, .CTS1 - .CTS7).

Записка с требованием выкупа называется: cAcTuS.readme.txt

Содержание записки о выкупе:

Your systems were accessed and encrypted by Cactus.

To recover your files and prevent data disclosure contact us via eieail: cactus@mexicomail.com

Your unique 10 reference: ***

Backup contact: TOX (https://tox.chat/):

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Подробности атаки и шифрования: 

Cactus получает первоначальный доступ к сети крупных коммерческих организаций, используя известные уязвимости в устройствах Fortinet VPN.

Во всех расследованных инцидентах хакеры проникали внутрь с VPN-сервера, используя учетную запись службы VPN.

Использование шифрования для защиты двоичного файла программы-вымогателя отличает Cactus от других выомгателей. Используется пакетный сценарий для получения двоичного файла шифратора с помощью 7-Zip. Исходный ZIP-архив удаляется, а двоичный файл развертывается с особым флагом, разрешающим его выполнение. Весь процесс необычен и исследователи полагают, что он предназначен для предотвращения обнаружения шифровальщика-вымогателя.

По данным исследователей из компании Kroll, существует три основных режима выполнения, каждый из которых выбирается с помощью определенного параметра командной строки: настройка (-s) , чтение конфигурации ( -r ) и шифрование ( -i ).

Аргументы -s и -r позволяют злоумышленникам настроить постоянство и сохранить данные в файле C:\ProgramData\ntuser.dat, который позже будет прочитан шифровальщиком при запуске с аргументом командной строки -r .

Чтобы шифрование файла было возможным, необходимо предоставить уникальный ключ AES, известный только злоумышленникам, с использованием аргумента командной строки -i .

Этот ключ необходим для расшифровки файла конфигурации программы-вымогателя, а открытый ключ RSA необходим для шифрования файлов. Он доступен в виде шестнадцатеричной строки, жестко закодированной в двоичном файле шифратора.

Декодирование HEX-строки предоставляет фрагмент зашифрованных данных, который разблокируется с помощью ключа AES.

Cactus, по сути, шифрует себя, что затрудняет его обнаружение и помогает обойти антивирусные инструменты и инструменты сетевого мониторинга. 

Запуск двоичного файла с правильным ключом для  параметра -i  (шифрование) разблокирует информацию и позволяет вредоносному ПО искать файлы и запускать процесс многопоточного шифрования.

Процесс шифрования файла

Схема от Kroll объясняет процесс выполнения двоичного кода Cactus в соответствии с выбранным параметром.

Процесс выполнения двоичного кода

Схема работы программы-вымогателя

Использование легитимных инструментов: 

Попав в сеть, злоумышленник использовал запланированное задание для постоянного доступа с помощью бэкдора SSH, доступного с сервера управления и контроля (C2). В частности, используется SoftPerfect Network Scanner (netscan) для поиска интересных целей в сети. Для более глубокой разведки злоумышленники используют команды PowerShell для перечисления конечных точек, идентификации учетных записей пользователей путем просмотра успешных входов в систему в средстве просмотра событий Windows и проверки связи с удаленными хостами.

Cactus использует модифицированный вариант инструмента PSnmap Tool с открытым исходным кодом, который является эквивалентом PowerShell сетевого сканера nmap.

Для запуска различных инструментов, необходимых для атаки, Cactus Ransomware пробует несколько методов удаленного доступа с помощью легитимных инструментов (Splashtop, AnyDesk, SuperOps RMM), а также Cobalt Strike и прокси-инструмента Chisel на базе Go. После повышения привилегий на машине операторы Cactus запускают пакетный скрипт, который удаляет наиболее часто используемые антивирусные продукты.

Кража данных: 

Кроме этого Cactus крадет данные жертв. Для этого процесса злоумышленник использует инструмент Rclone для передачи файлов прямо в облачное хранилище. После кражи данных хакеры используют сценарий PowerShell под названием TotalExec, который часто встречается в атаках BlackBasta Ransomware, чтобы автоматизировать развертывание процесса шифрования.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cAcTuS.readme.txt - название файла с требованием выкупа;

TotalExec.ps1, psnb.ps1, f1.bat, f2.bat - вредоносные сценарии; 
a12b-e4fg-c12g-zkc2.exe, abc1-d2ef-gh3i-4jkl.exe - примерные названия вредоносного файла и его копии;

 conhost.exe - вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cactus@mexicomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 78aea93137be5f10e9281dd578a3ba73

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 декабря 2023:

Статья на сайте BC >>

Обновление от 29 января 2024:
Статья на сайте BC >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 Kroll, BleepingComputer
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.