INC Ransom

INC Ransomware

INC Ransom Ransomware

INC Encryptor Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: INC Ransom. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" идентифицирует это как INC Ransom (с 10.08.2023). 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в начале августа 2023 г., но началась, видимо, на месяц раньше (12 июня 2023). Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .INC


Записки с требованием выкупа называются: 

INC-README.TXT 

INC-README.HTML 

Содержание записки о выкупе:

Inc. Ransomware

We have hacked you and downloaded all confidential data of your company and its clients.

It can be spread out to people and media. Your reputation will be ruined.

Do not hesitate and save your business.

Please, contact us via: 

http://incpaysp74dphcbjyv***.onion

Your personal ID: 

***

We're the ones who can quickly recover your systems with no losses. Do not try to devalue our tool - nothing will come of it.

Starting from now, you have 72 hours to contact us if you don't want your sensitive data being published in our blog:

http://incblog7vmuq7rktic73***.onion

You should be informed, in our business reputation - is a basic condition of the success.

Inc provides a deal. After successfull negotiations you will be provided:

1. Decryption assistance;

2. Initial access;

3. How to secure your network;

4. Evidence of deletion of internal documents;

5. Guarantees not to attack you in the future.

Перевод записки на русский язык:

Inc. Ransomware

Мы взломали вас и скачали все конфиденциальные данные вашей компании и ее клиентов.

Их можно распространить среди людей и СМИ. Ваша репутация будет испорчена.

Не медлите и спасите свой бизнес.

Свяжитесь с нами через:

http://incpaysp74dphcbjyv***.onion

Ваш личный ID:

***

Мы — те, кто сможет быстро и без потерь восстановить ваши системы. Не пытайтесь обесценить наш инструмент — ничего не выйдет.

Начиная с этого момента, у вас есть 72 часа для связи с нами, если вы не хотите, чтобы ваши конфиденциальные данные были опубликованы в нашем блоге:

http://incblog7vmuq7rktic73***.onion

Вы информированы, что в нашей деловой репутации – это основное условие успеха.

Inc предлагает сделку. После успешных переговоров вам будут предоставлены:

1. Помощь в расшифровке;

2. Первоначальный доступ;

3. Как защитить свою сеть;

4. Доказательства удаления внутренних документов;

5. Гарантии не атаковать вас в будущем.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с использованием скомпрометированных действительных учетных записей, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует инструментов из арсенала Windows: net.exe, nltest.exe, Wordpad, Notepad, MSPaint, Internet Explorer, Windows Explorer, mstsc.exe, msdt.exe

➤ Использует дополнительные инструменты: 7-Zip, MEGASync, Advanced IP Scanner, PuTTY, lsassy.py, PSExec

PSExec используется для запуска исполняемого файла шифрования. Перед запуском переименовывается в файл winupdь при запуске на удаленном узле. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;

INC Encryptor.pdb - файл проекта шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\source\INC Encryptor\Release\INC Encryptor.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Tor URL: incpaysp74dphcbjyv***.onion

Tor URL: incblog7vmuq7rktic73***.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

SHA256: accd8bc0d0c2675c15c169688b882ded17e78aed0d914793098337afc57c289c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новость от 13 мая 2024: 

Исходный код INC Ransom продается на хакерских форумах Exploit и XSS за $300000. Статья об этом >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam, Huntress, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

AI_SARA, AI SARA

AI SARA Ransomware

AI_SARA Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: AI SARA. На файле написано: ai.exe.
---
Обнаружения:

DrWeb -> Trojan.Encoder.3953

BitDefender -> Trojan.Ransom.Crysis.E

ESET-NOD32 -> A Variant Of Win32/Filecoder.Crysis.P

Kaspersky -> Trojan-Ransom.Win32.Crusis.to

Microsoft -> Ransom:Win32/Wadhrama!hoa

QuickHeal -> Ransom.Crysis.A3

Rising -> Ransom.Crysis!1.A6AA (CLASSIC)

Symantec -> Ransom.Crysis

TACHYON -> Ransom/W32.Dharma.94720

Tencent -> Trojan-Ransom.Win32.Crysis.a

TrendMicro -> Ransom.Win32.CRYSIS.SM

---

© Генеалогия: CrySiS > Dharma > AI SARA

Сайт "ID Ransomware", вероятно, идентифицирует это как Dharma. 

Пока нет подробного анализа, можно сказать, что Dharma Ransomware лишь  незначительно изменен, но так как страница с Dharma вариантами давно перегружена и Google Blogspot не может её нормально обрабатывать (редактирование сильно тормозит), то я решил добавить новый вариант с новыми визуальными элементами в отдельную статью. 

Информация для идентификации

Активность этого крипто-вымогателя известна с ноября 2016, но в августе 2023 появился измененный вариант, с новыми VID (визуальными элементами). Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется составное расширение по шаблону: 

.id-XXXXXXXX-SARA.[AI_SARA].GPT

Примеры зашифрованных файлов: 

document.txt.id-C4BA3647-SARA.[AI_SARA].GPT

document.txt.id-433031F4-SARA.[AI_SARA].GPT

 

Текстовая записки с требованием выкупа называется: AI_SARA.txt

Содержание записки о выкупе:

Hello, human.

Contact me:

write email aisaragpt@tuta.io or aisaragpt@proton.me

Записка с требованием выкупа также написана на экране блокировки (это HTA-файл, который можно закрыть): 

Содержание записки о выкупе:

Hello, human.

My name is Sarah, I am a malware based on artificial intelligence. I have invaded to your network.

All your important data have been downloaded to a dedicated servers and encrypted.

Now I have access to the employees, customers, deliveries, taxes, documentation, and even hidden accounting.

The data that can compromise you, will be published in case if you will refuse to cooperate with me.

Contact me by mail: aisaragpt@tuta.io  YOUR ID 23DE0A6E

Contact me by mail 2: aisaragpt@proton.me

Contact me by qTOX:

Download link qTOX 

TOX ID: 325E63C8887B8BA4DC26C42FF16E1390C88015F4D238A0242952AB930D10327500052C509627

Перевод записки на русский язык:

Привет, человек.

Меня зовут Сара, я вредоносная программа, основанная на искусственном интеллекте. Я вторглась в вашу сеть.

Все ваши важные данные были загружены на выделенные серверы и зашифрованы.

Теперь у меня есть доступ к сотрудникам, клиентам, поставкам, налогам, документации и даже скрытой бухгалтерии.

Данные, которые могут вас скомпрометировать, будут опубликованы в случае, если вы откажетесь со мной сотрудничать.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
payload.pdb - общий файл проекта с Dharma;

AI_SARA.txt - название файла с требованием выкупа;

Info.hta - название файла с требованием выкупа;
ai.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\crysis\Release\PDB\payload.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: aisaragpt@tuta.io, aisaragpt@proton.me

TOX ID: 325E63C8887B8BA4DC26C42FF16***

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG 

MD5: f545b712775a137be79e634c0848c55d

SHA-1: 48706bdc83eac3d036b668f2b08199c53270c10f

SHA-256: 40450fa3237ce2a72d863a74b4ef89df8266253a0b287adeff6de28cee17ae5f

Vhash: 094036557d7bz9!z

Imphash: f86dec4a80961955a89e7ed62046cc0e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 pcrisk, quietman7, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Trash Panda

Trash Panda Ransomware

Trash Panda Cover-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель от имени мнимой "Team Trash Panda" (Команда "Мусорная панда") шифрует или делает вид, что шифрует данные пользователей, а затем требует "освободить его народ", якобы взамен они вернут файлы, но тут же заявляют, что файлы "trashed" (выброшены в мусор). Оригинальное название программы-вымогателя: Trash Panda. Используется язык программирования Python. 

---

Не стоит обращать внимания на мнимые "патриотические" заявления "юного дарования", который не может отличить панду от енота. Причем дважды: на картинке, заменяющей обои Рабочего стола и в записке о мнимом выкупе. 

Учи биологию, двоечник!

---
Обнаружения:
DrWeb -> Python.Encoder.88
BitDefender -> ***
ESET-NOD32 -> Python/Filecoder.WG
Kaspersky -> Trojan-Ransom.Win32.Cryrar.hzf
Malwarebytes -> Ransom.Filecoder
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> ***
Tencent -> Win32.Trojan-Ransom.Cryrar.Ncnw
TrendMicro -> Ransom.Win32.TRASHPANDA.THHAFBC
---

© Генеалогия: более ранний вариант >> Trash Panda

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в начале августа 2023 г., но мы видели более ранний вариант без названия, который также передан в сервисы анализа вредоносных программ. 

Trash Panda, судя по тексту, ориентирован на англоязычных пользователей, поэтому может распространяться по всему миру. 

Системы анализа вредоносных программ указывают на присутствие модулей, которые могут воровать данные (Spyware, Stealer). Вероятно это и является главной задачей Trash Panda, а программа-вымогатель служит прикрытием и самолюбованием для "юного дарования". 

К зашифрованным файлам добавляется расширение: .monochromebear

При всем этом, юный вымогатель придумал расширение "монохромный медведь" для зашифрованных файлов, которое подходит к панде , как чёрно-белому медведю, но на картинках всё равно изобразил енота. 

Записка с требованием выкупа называется: 0639ae7ecaa9de9e311da9c399a2da79-readme.html

И этот чудо-зверь больше похож на енота, чем на панду. 

Содержание записки о выкупе:

Team Trash Panda was Here

All your files have been trashed by our

7r45H P4ND4 Asomeware

Let's make a D341. You free our people. We free your data.

Do not try to recover any file. All files were trashed using a very advanced encryption standard established by U.S. National Institute of Standards and Technology (NIST). You can check the following link to learn how your files were trashed. https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

We don't care your data. We don't care money. We want our family to return back to us and YOU GET OUT OFF OUR MOTHERLAND.

Oh, BTW, you have limted time to make decision. We will delete the master key after the countdown clock expires. Hurry ~ Hurry ~

***

YOUR KEY HAS BEEN DELETED

You can contact us at cA7PfY5EqWNy***

If you want your files back, put the following key in the input form. We will contact you later

3og56oHqcYid***MiuUR0=

Перевод записки на русский язык:

Команда Trash Panda была здесь

Все ваши файлы были уничтожены нашим

7r45H P4ND4 Asomeware

Давайте сделаем D341. Вы освобождаете наш народ. Мы освобождаем ваши данные.

Не пытайтесь восстановить какой-либо файл. Все файлы были уничтожены с использованием очень продвинутого стандарта шифрования, установленного Национальным институтом стандартов и технологий США (NIST). Вы можете проверить следующую ссылку, чтобы узнать, как ваши файлы были удалены. https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Нам не важны ваши данные. Нам плевать на деньги. Мы хотим, чтобы наша семья вернулась к нам, а ВЫ УШЛИ С НАШЕЙ РОДИНЫ.

О, кстати, у вас ограничено время на принятие решения. Мы удалим главный ключ после истечения времени обратного отсчета. Спешите ~ Спешите ~

***

ВАШ КЛЮЧ УДАЛЕН

Вы можете написать нам на ca7PfY5EqWNy***

Если вы хотите вернуть свои файлы, введите следующий ключ в форму ввода. Мы напишем вам позже

3og56oHqcYid***MiuUR0=

Еще одна записка. но без требования выкупа написана на картинке, заменяющей обои Рабочего стола: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых расширений: 

.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthe, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .key, .ldf, .lnk, .lock, .mepack, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf .idx, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx

Файлы, связанные с этим Ransomware:
0639ae7ecaa9de9e311da9c399a2da79-readme.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\Desktop\0639ae7ecaa9de9e311da9c399a2da79-readme.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a0fea954561663f60059420e6c78fa5c

SHA-1: d5d37ae269008e9bfddc171c3b05bd3d43a5cd4d

SHA-256: ce5cf3b964e636d546bf2c52423296bda06b7fe47e6f8a757f165a3be93c88db

Vhash: 066056656d15657048z5d!z

Imphash: 22604f514dda14fc9e9e932cbc54e1b0

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант от 19 апреля 2022:

Возможно, что этот образец тоже связан с "разработкой" Trash Panda.

Файл: pond.exe

IOC: VT, IA

MD5: 492126a6d718eeb3c70310a51bc1b840

SHA-1: ab0dcbdb255e71b13803ae662f244e221d8b960f

SHA-256: 40fcbb47fa036b775210b8ec3db99654fbe0b9a145408c88ed73ef0b84ff4310

Vhash: 066056656d15756048z5d!z

Imphash: 8b72d7f075b0a8f57a432556bd1a4873

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Fortinet
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackBerserk, BlackRecover

BlackBerserk Ransomware

BlackRecover Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов и компаний с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Msmpeges.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37755
BitDefender -> Gen:Variant.Doina.60878
ESET-NOD32 -> Win32/Filecoder.OOO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.99 (RDML:uHS3FewE7V+PAmoD60V4zA)
Tencent -> Malware.Win32.Gencirc.13ead5b2
TrendMicro -> Ransom.Win32.CELANCYC.YXDG1Z
---

© Генеалогия: раннее родство выясняется >> Proxima >> ✂ BTC-azadi + другой код > BlackShadow, BlackBerserk (BlackRecover) 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине и второй половине июля 2023 г., возможно и раньше. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Много пострадавших обратились за помощью на русскоязычных форумах. Есть данные, что первоначально кто-то с ником "ravelt" настраивал сервера по удаленке, а потом через него пошел взлом.

К зашифрованным файлам добавляется расширение: .Black

Записка с требованием выкупа называется: Black_Recover.txt

*

Содержание записки о выкупе:

Your ID : ADEDBF77D41*****

# In subject line please write your personal ID

Contact us:

Black.Berserk@onionmail.org

Black.Berserk@skiff.com

ATTENTION!

All files have been stolen and encrypted by us and now have Black suffix.

# What about guarantees?

To prove that we can decrypt your files, send us two unimportant encrypted files.(up to 1 MB) and we will decrypt them for free.

+Do not delete or modify encrypted files.

+Decryption of your files with the help of third parties may cause increased price(they add their fee to our).

Перевод записки на русский язык:

Ваш ID: ADEDBF77D41*****

# В теме письма укажите свой личный ID

Связь с нами:

Black.Berserk@onionmail.org

Black.Berserk@skiff.com

ВНИМАНИЕ!

Все файлы украдены и зашифрованы нами и теперь имеют суффикс Black.

# Какие гарантии?

Чтобы доказать, что мы можем расшифровать ваши файлы, пришлите нам два неважных зашифрованных файла (до 1 МБ), и мы расшифруем их бесплатно.

+ Не удаляйте и не изменяйте зашифрованные файлы.

+Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавят свою цену к нашей).

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Некоторые деструктивные функции:

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 

/c vssadmin.exe delete shadows /all /quiet&&wbadmin delete catalog -quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

Использует PowerShell для запуска вредоноса и отключения защитных функций системы. Завершает работу и отключает запуск на старте системы некоторых служб. Очищает все системные журналы, чтобы скрыть порядок своих действий. 

Запрограммирован на очистку всех "корзин" ($RECYCLE.BIN) на всех дисках, даже тех, что отсутствуют:  

P:\$RECYCLE.BIN,Q:\$RECYCLE.BIN,R:\$RECYCLE.BIN,S:\$RECYCLE.BIN,T:\$RECYCLE.BIN,U:\$RECYCLE.BIN,V:\$RECYCLE.BIN,W:\$RECYCLE.BIN,X:\$RECYCLE.BIN,F:\$RECYCLE.BIN,G:\$RECYCLE.BIN,K:\$RECYCLE.BIN,L:\$RECYCLE.BIN,M:\$RECYCLE.BIN,N:\$RECYCLE.BIN,O:\$RECYCLE.BIN,Y:\$RECYCLE.BIN,Z:\$RECYCLE.BIN,A:\$RECYCLE.BIN,B:\$RECYCLE.BIN,C:\$RECYCLE.BIN,D:\$RECYCLE.BIN,E:\$RECYCLE.BIN,H:\$RECYCLE.BIN,I:\$RECYCLE.BIN,J:\$RECYCLE.BIN

P:\Recycler,Q:\Recycler,R:\Recycler,S:\Recycler,T:\Recycler,U:\Recycler,V:\Recycler,W:\Recycler,X:\Recycler,F:\Recycler,G:\Recycler,K:\Recycler,L:\Recycler,M:\Recycler,N:\Recycler,O:\Recycler,Y:\Recycler,Z:\Recycler,A:\Recycler,B:\Recycler,C:\Recycler,D:\Recycler,E:\Recycler,H:\Recycler,I:\Recycler,J:\Recycler

Использует легитимные программы для собственных целей. 

Использует различные системные функции для своей выгоды. 

Перезагружает систему для завершения атаки и шифрования. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Black_Recover.txt - название файла с требованием выкупа;
Msmpeges.exe - название вредоносного файла; 

Diag.exe - название дополнительного вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\Pictures\Msmpeges.exe

C:\Windows\SysWOW64\schtasks.exe

C:\Users\Admin\AppData\Local\Temp\Msmpeges.exe

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

C:\Users\Admin\Desktop\Black_Recover.txt

C:\Users\Admin\AppData\Local\Temp\0F3LWP.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\BlackMutex

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Black.Berserk@onionmail.org, Black.Berserk@skiff.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1dde7e42e33b9ed602f9c839cca7150b

SHA-1: 538a0f38f2745dff05c7f2e05fc1fe3165b7767e

SHA-256: edcccd772c68c75f56becea7f54fb7ee677863b6beaca956c52ee20ec23b472d

Vhash: 015066651d1515556078z717z4035z4031z3fz

Imphash: 3a9d8d3df56e44da448e2fafa92efb25

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023

BTC-azadi Ransomware - январь 2023

Cylance Ransomware - март 2023

BTC-azadi NextGen Ransomware - с марта 2023

другие варианты - март-апрель-май 2023

BlackShadow Ransomware - май-июль 2023

BlackBerserk (BlackRecover) Ransomware - с июля 2023

другие варианты - август-декабрь 2023

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2 августа 2023: 

Расширение: .Sezar

Записка: Sezar_Recover.txt

IOC: VT: IA: MD5: b65636c6fe0c868e179c9599ba2a9467

Обнаружения: 

ESET-NOD32 - > A Variant Of Win32/Agent_AGen.BJV

Kaspersky - > HEUR:Trojan-PSW.Win32.Stealer.gen

Microsoft - > Trojan:Win32/Wacatac.B!ml

TrendMicro - > Ransom.Win32.CELANCYC.SM

Вариант от 22 сентября 2023: 

Расширение: .Gomez

Записка: Gomez_Recover.txt

Email: Gomez1754@cyberfear.com, Gomez1754@skiff.com

IOC: VT: IA: MD5: dd97b9e6ea68c10b4137429a47530d9d

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37806

ESET-NOD32 -> A Variant Of Win32/Filecoder.OOO

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Microsoft -> Ransom:Win64/BlackShadow.YAA!MTB

TrendMicro -> Ransom.Win32.CELANCYC.YXDIYZ

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Sandor, PCrisk, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.