DEADbyDAWN

DEADbyDAWN Ransomware

50_ransom_notes Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Распространяется группой вымогателей DEADbyDAWN Team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37710
BitDefender -> Trojan.GenericKD.68224946
ESET-NOD32 -> A Variant Of WinGo/Filecoder.DX
Kaspersky -> Trojan.Win32.DelShad.lmk
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Leonem
Rising -> ***
Tencent -> Win32.Trojan.Delshad.Qgil
TrendMicro -> Ransom.Win64.DAWNEDABYD.THGAGBC
---

© Генеалогия: родство выясняется >> DEADbyDAWN

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random{9}>

Пример: .OGUtdoNRE

Записка с требованием выкупа называется: README0.txt - README50.txt

Таким образом на Рабочем столе оставляется 51 записка о выкупе одинакового содержания. 

Содержание lheujq pfgbcrb о выкупе:

Title: We have encrypted your network - DEADbyDAWN Team

Hello Abdo,..This is Contact DEADbyDAWN Team.

As you may have already seen we have succesfully breached your infrastructure.

Let's discuss the current situation:

Our monitoring tool reported:

- We have breached your network.

- All the data, including confidential and PII documents were extracted to external servers..

- We finally encrypted at your end and exfiltrated the data..

- We have the capabilities to  announce the leak in mass media and social media, including Twitter and Facebook...

Our team can offer you the following services:

- Provide the universal decryption tool for the data

- Assist with infrastructure restore

From our side we can confirm the following:

- Infrastructure and the data restore will take not more than 1 business day

- Silence in Mass Media about the accident and the data itself

- Security report and recommendations will be provided to avoid accidents in the future

- Proofs of the data removing on our end

Otherwise, the data will published or sold to the 3rd parties.

We will continue to publish on mass Media and clients, partners and others will be informed.

Please, transfer information to your management (especially about data extraction) and double-check if you are authorized to keep financial part of the negotiations.

After the confirmation we will provide you the amount for our services we think is fair

We provided all the necessary evidence (you can see in the We provided all the necessary evidence (you can see in the chat) and are ready to discuss the problems with you. We are waiting for you in the chat (for access to the chat you need to download the Toruster hxxps://www.torproject.org and follow the link below)) and are ready to discuss the problems with you. We are waiting for you in the chat (for access to the chat you need to 

download the Toruster hxxps://www.torproject.org and follow the link below)

chat : hxxx://vqfgxpvvyqpbcy6kp2byth7ji63sd3y3ermsvjypw2wq7r5aoc23qgqd.onion  and email deritim@proton.me

We estimate the cost of our assistance in restoring your network infrastructure in :

We encourage you not to contact Police or any agency, since the consequences of such action will be catastrophic for your business.

Best Regards.

Перевод записки на русский язык:

Привет, Абдо! Это контакт с командой DEADbyDAWN.

Как вы, возможно, заметили, мы успешно взломали вашу инфраструктуру.

Давайте обсудим текущую ситуацию:

Наш инструмент мониторинга сообщил:

- Мы взломали вашу сеть..

- Все данные, включая конфиденциальные и персональные документы, извлечены на внешние серверы.

- Наконец-то мы зашифровали с вашей стороны и украли данные..

- У нас есть возможности сообщить об утечке в СМИ и соц. сетях, включая Twitter и Facebook.

Наша команда может предложить вам следующие услуги:

- Предоставить универсальный инструмент расшифровки данных.

- Помощь в восстановлении инфраструктуры

Со своей стороны можем подтвердить следующее:

- Восстановление инфраструктуры и данных займет не более 1 рабочего дня.

- Молчание в СМИ об этом случае и самих данных.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README0.txt - README50.txt - название файлов с требованием выкупа (содержание одинаковое);
CyQbfyxuPL.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://vqfgxpvvyqpbcy6kp2byth7ji63sd3y3ermsvjypw2wq7r5aoc23qgqd.onion

Email: deritim@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Spoosh, SophosEncrypt

Spoosh Ransomware

SophosEncrypt Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES-256 (режим CBC, дополнение PKCS#7), а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: spoosh.exe. Внутреннее название: sophos_encrypt. Исполняемый файл скомпилирован с использованием MinGW и содержит связанные библиотеки Rust. В изученных образцах есть версии: 0.0.8 и 0.0.9.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37969
BitDefender -> Generic.Ransom.DCRTR.7E80656D
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOL
Kaspersky -> Trojan-Ransom.Win32.Agent.bbil
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Paradise.BC!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bf0b04
TrendMicro -> Ransom.Win32.SPOOSH.THGAGBC
---

Этимология названия:

Spoosh <=> Sophos — один и тот же набор букв. 

Видимо, в какой-то момент разработчики-вымогатели решили сыграть на этом наборе букв и не определились с окончательным названием. 


© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" идентифицирует это как SophosEncrypt (c 18 июля 2023). 

Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Окно начального запуска

К зашифрованным файлам добавляется расширение: .sophos

Фактически используется составное расширение по шаблону: 

.[[random_alphanumeric{8}]].[[{email}]].sophos

Пример такого рашсирения:

.[[Bad7HTQx]].[[asd@asd.com]].sophos

Записка с требованием выкупа называется: information.hta

Содержание записки о выкупе:

All your files have been encrypted!

All your files have been encrypted due to a security issue with your computer. If you want to restore them, write to us by email ***

If you have not received a response within 24 hours, write to us at Jabber: ***

Write this ID in the title of your message ***

You will have to pay for decryption in bitcoins. The price depends on how quickly you write to us. After payment, we will send you a tool that will decrypt all your files.

Free decryption as guarantee

We can decrypt 1 small, not important file as proof of decryption. 1 megabyte of an unarchived file. We never decrypt important files for testing, such as XLS, databases and other important files.

How to obtain Bitcoins

Write to us and we will instruct you how to buy Bitcoin

Attention! If you ask for help from third parties, know that they raise the price (they add their own price from ours). Contact us for help and we will help you buy Bitcoin, it's not difficult. Our experts will fully tell you how to buy bitcoin.

Jabber client installation instructions:

Download the jabber (Pidgin) client from hxxps://pidgin.im/download/windows/

After installation, the Pidgin client will prompt you to create a new account.

Click 'Add'

In the 'Protocol' field, select XMPP

In 'Username' - come up with any name

In the field 'domain' - enter any jabber-server, there are a lot of them, for example - exploit.im

Create a password

At the bottom, put a tick 'Create account'

Click add

If you selected 'domain' - exploit.im, then a new window should appear in which you will need to re-enter your data:

User

password

You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)

If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+install

Attention!

Do not rename encrypted files.

Do not try to decrypt your data using third party software, this may lead to irreversible data loss.

No one else will be able to return your files except us!

Перевод записки на русский язык:

Все ваши файлы зашифрованы!

Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего компьютера. Если вы хотите их восстановить, напишите нам на почту ***

Если вы не получили ответ в течение 24 часов, напишите нам в Jabber: ***

Напишите этот ID в заголовке вашего сообщения ***

За расшифровку придется заплатить в биткойнах. Цена зависит от того, как быстро вы нам напишете. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.

***

Обои Рабочего стола заменяются изображением wallapaper.jpg (да, это слово содержит ошибку). 

Текст на изображении:

Sophos

ALL YOUR FILES HAVE BEEN ENCRYPTED!

To decrypt the files, you can contact the Email address indicated on the encrypted file and specify the ID specified there in the file name!

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

✋ Подробнее о шифровании читайте в статья SophosLabs >>

➤ Удаляет теневые копии файлов и очищает Корзину командами: 

%System%\cmd.exe /C "vssadmin delete shadows /all /quiet"

%System%\cmd.exe /C "rd /s /q %systemdrive%\$Recycle.bin"

➤ Использует системный PowerShell для своих целей. 

➤ Подключается к определенному сайту для обмена информацией, имеющему IP-адрес, используемый вредоносным фреймворком Cobalt Strike.

➤ Подключается к следующему сайту для загрузки изображения для обоев: 

hxxxs://i.postimg.cc/JzpfvBFf/wallapaper.jpg

Подключается к следующему сайту для определения внешнего IP-адреса устройства:

hxxxs://myexternalip.com

➤ При запуске проверяет языковые настройки системы и завершает работу, если в системе используется русский язык.

➤ Завершает следующие процессы, которые мешают шифрованию файлов: 

Agntsvc.exe

Dbeng50.exe

Dbsnmp.exe

Encsvc.exe

Excel.exe

Firefox.exe

Infopath.exe

Isqlplussvc.exe

Msaccess.exe

Mspub.exe

Mydesktopqos.exe

Mydesktopservice.exe

Notepad.exe

Ocautoupds.exe

Ocomm.exe

Ocssd.exe

Onenote.exe

Oracle.exe

Outlook.exe

Powerpnt.exe

Sqbcoreservice.exe

Sql.exe

Steam.exe

Synctime.exe

Tbirdconfig.exe

Thebat.exe

Thunderbird.exe

Ut.exe

Utweb.exe

Visio.exe

Winword.exe

Wordpad.exe

Xfssvccon.exe

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список типов файлов, пропускаемых при шифровании: 
.adv, .ani, .bat, .com, .cpl, .cur, .deskthemepack, .Devos, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .faust, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .inf, .ini, .joker, .key, .ldf, .lnk, .lock, .log, .mkp, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .regtrans-ms, .rom, .rtp, .scr, .shs, .sophos, .spl, .sys, .theme, .themepack, .tmp, .wpx, 

Список директорий с файлами, пропускаемых при шифровании: 

$RECYCLE.BIN

$Recycle.Bin

$WINDOWS.~BT

$WINDOWS.~WS

$WinREAgent

$Windows.~WS

AdwCleaner

AppData

dev

Documents and Settings

Hyberfil

MSOCache

Pagefile

PerfLogs

Program Files

Program Files (x86)

ProgramData

Recovery

SYSTEM.SAV

System Volume Information

Thumbs

Thumbs.db

Windows.old

windows.old

Windows.old.000

windows.old.000

Файлы, связанные с этим Ransomware:
information.hta - название файла с требованием выкупа;
spoosh.exe, 3da3.exe, <random>.exe  - названия вредоносных файлов;

wallapaper.jpg - изображение, заменяющее обои Рабочего стола, в котором используется логотип антивирусной компании Sophos. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%System Root%\Boot\cs-CZ\information.hta

Записи реестра, связанные с этим Ransomware:

HKEY_CURRENT_USER\Printers\SettingsLow DI = {8 Random Alphanumeric Characters}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLinkedConnections = 1

HKEY_CURRENT_USER\Printers\SettingsLow

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion

Этот сайт Tor не является местом переговоров или утечки данных, а, скорее, представляет собой партнерскую панель для работы с программами-вымогателями как услугой.

Jabber: используется, но не указан

Email: asd@asd.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, BA

MD5: c4e82318d5f902c6dda61e2b00c4cac8

SHA-1: 5869cddb0f1ef9d0828618d01def805d7d6ed791

SHA-256: 3da31ee0a6c6410b3c66aad41623d05aac61a4dbb85045eb89f5810ffdc93066

Vhash: 0561676d15655c0d5d1d00d3zb2z1d2804031z603021zd013z14z157z

Imphash: bf53b2b4fc842ae9135d9ee3b4ff11f5

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam, Michael Gillespie, S!Ri, Lawrence Abrams
 Andrew Ivanov (article author)
 TrendMicro, SophosLabs, BleepingComputer
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

XXXXXX, Darxe

XXXXXX Ransomware

Darxe Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: AAA.exe. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37643
BitDefender -> Trojan.GenericKD.65372298
ESET-NOD32 -> WinGo/Filecoder.DQ
Kaspersky -> Trojan-Ransom.Win64.Agent.dqq
Malwarebytes -> Malware.AI.4273547575
Microsoft -> Trojan:Win64/Delf!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10be7865
TrendMicro -> Trojan.Win64.DELF.R002C0TAN23
---

© Генеалогия: родство выясняется >> XXXXXX (Darxe)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .XXXXXX

Записка с требованием выкупа называется: HOW_TO_FIX_FILES.XXXXXX.txt

Содержание записки о выкупе:

Attention!

----------------------------

| What happened?

----------------------------

We hacked your network and now all your files, documents, photos, databases, and other important data are safely encrypted with reliable algorithms.

You cannot access the files right now. But do not worry. You can get it back! It is easy to recover in a few steps.

After the payment the decryptor will be given to you, so you can restore all your files.

----------------------------

| How to contact us and get my files back?

----------------------------

The only method to restore your files and be safe from data leakage is to purchase a unique for you private key which is securely stored on our servers. 

To contact us and purchase the key you have to email us.

- Email me at : darxe@onionmail.org

----------------------------

| What about guarantees?

----------------------------

We understand your stress and worry.

So you have a FREE opportunity to test a service by instantly decrypting for free three files from every system in your network.

If you have any problems our friendly support team is always here to assist you in a email!

Dear system administrators, do not think you can handle it by yourself. Inform leadership as soon as possible.

By hiding the fact of the breach you will be eventually fired and sometimes even sued.

-------------------------------------------------------------------------------

THIS IS A SPECIAL BLOCK WITH A PERSONAL AND CONFIDENTIAL INFORMATION! DO NOT TOUCH IT WE NEED IT TO IDENTIFY AND AUTHORIZE YOU

---BEGIN KEY---

0ded5548dee4c5***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_FIX_FILES.XXXXXX.txt - название файла с требованием выкупа;
AAA.exe - название вредоносного файла/ 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: darxe@onionmail.org
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Aravind3367, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DarkRace

DarkRace Ransomware

Variants: DoNex Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: DarkRace, указано в записке. На файле написано: нет данных.

---
Обнаружения:
DrWeb -> Trojan.Encoder.38091; Trojan.Encoder.37626
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Agent.AEUZ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor; Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/DarkTrace.MA!MTB
Rising -> Trojan.Generic@AI.99 (RDML:fqCEx***); Trojan.Generic@AI.100 (RDML:8/EjuW81***)
Tencent -> Malware.Win32.Gencirc.10bee8db; Malware.Win32.Gencirc.10beed96
TrendMicro -> Ransom.Win32.DARKRACE.THFOBBC; Ransom.Win32.DARKRACE.THJAABC
---

© Генеалогия: родство выясняется >> DarkRace > DoNex

Сайт "ID Ransomware" DarkRace пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце мая - начале июня 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди пострадавших было замечено 10 компаний. 

К зашифрованным файлам добавляется расширение: .1352FF327

Фактически в расширении используется ID жертвы. 

Кроме того, зашифрованные файлы получают оригинальный значки. 

Записка с требованием выкупа называется: Readme.1352FF327.txt
Фактически в названии используется ID жертвы. 

Содержание записки о выкупе:

~~~ DarkRace ransomware ~~~

>>>> Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom 

Links for Tor Browser:

http://wkrlpub5k52rjigwxfm6m7ogid55kamgc5azxlq7zjgaopv33tgx2sqd.onion

>>>> What guarantees that we will not deceive you? 

We are not a politically motivated group and we do not need anything other than your money. 

If you pay, we will provide you the programs for decryption and we will delete your data. 

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future. 

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

>>>> You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser https://www.torproject.org/

Write to a chat and wait for the answer, we will always answer you. 

You can install qtox to contanct us online https://tox.chat/download.html

Tox ID Contact: ************************

Mail (OnionMail) Support: darkrace@onionmail.org

>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

>>>> Warning! If you do not pay the ransom we will attack your company repeatedly again!

Перевод записки на русский язык:

>>>> Ваши данные украдены и зашифрованы

Данные будут опубликованы на TOR сайте, если вы не заплатите выкуп.

Ссылки для Tor браузера:

http://wkrlpub5k52rjigwxfm6m7ogid55kamgc5azxlq7zjgaopv33tgx2sqd.onion

>>>> Какие гарантии, что мы вас не обманем?

Мы не политически мотивированная группа и нам не нужно ничего, кроме ваших денег.

Если вы заплатите, мы предоставим вам программы для расшифровки и удалим ваши данные.

Если мы не предоставим вам расшифровщики или не удалим ваши данные после оплаты, то в дальнейшем нам никто платить не будет.

Поэтому для нас очень важна наша репутация. Мы атакуем компании по всему миру и после оплаты не осталось недовольных жертв.

>>>> Вам нужно связаться с нами и бесплатно расшифровать один файл на этих TOR сайтах с вашим личным DECRYPTION ID.

Загрузите и установите браузер TOR https://www.torproject.org/.

Пишите в чат и ждите ответа, мы всегда Вам ответим.

Вы можете установить qtox, чтобы связаться с нами онлайн https://tox.chat/download.html.

Tox ID Contact: ************************

Почтовая поддержка (OnionMail): darkrace@onionmail.org

>>>> Внимание! НЕ УДАЛЯЙТЕ и НЕ ИЗМЕНЯЙТЕ файлы, это может привести к проблемам с восстановлением!

>>>> Внимание! Если вы не заплатите выкуп, мы снова нападем на вашу компанию!

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Завершает ряд процессов со всеми заданиями: 

msaccess, outlook, excel, onenote, winword, powerpnt, oracle, sql, mysq, wuauclt, veeam, chrome, firefox

Удаляет теневые копии файлов с помощью следующих команд, затем перезагружает компьютер: 

wmic shadowcopy delete /nointeractive

vssadmin Delete Shadows /All /Quiet

wmic shadowcopy delete /nointeractive

C:\Windows\SysWOW64\shutdown.exe shutdown -r -f -t 0

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme.1352FF327.txt - название файла с требованием выкупа;

c.exe - название вредоносного файла;

1.bat - вредоносный командный файл;

icon.ico - иконка для визуализации зашифрованных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ProgramData\1.bat

C:\ProgramData\icon.ico

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://wkrlpub5k52rjigwxfm6m7ogid55kamgc5azxlq7zjgaopv33tgx2sqd.onion

Tox ID: ***

Email: darkrace@onionmail.org
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1933fed76a030529b141d032c0620117 

SHA-1: c55c60a23f5110e0b45fc02a09c4a64d3094809a 

SHA-256: 0e60d49a967599fab179f8c885d91db25016be996d66a4e00cbb197e5085efa4 

Vhash: 025056655d55556168z63hz23z25z17z 

Imphash: f6a114275ec71b0f9e53c5ebb7d8d51d

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: cb1c423268b1373bde8a03f36f66b495 

SHA-1: 892cd69f889b25cb8dc11b0ac75c330b6329e937 

SHA-256: 74b5e2d90daaf96657e4d3d800bb20bf189bb2cf487479ea0facaf6182e0d1d3 

Vhash: 025056655d55556168z62hz23z25z17z 

Imphash: 8c15953665973cafd1715edd2e4e4284

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

DarkRace Ransomware - май 2023

DoNex Ransomware - февраль, март 2024

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 5 марта 2024:

Самоназвание: DoNex Ransomware

Сообщение >>

Расширение: .f58A66B51 

Записка: Readme.f58A66B51.txt

Email: donexsupport@onionmail.org

Tox ID: 2793D009872AF80ED9B1A461F7B9BD6209744047DC1707A42CB622053716AD4BA624193606C9

Tor-URL: hxxx://g3h3klsev3eiofxhykmtenmdpi67wzmaixredk5pjuttbx7okcfkftqd.onion

 

➤ Расположения файлов, как в DarkRace:

C:\ProgramData\1.bat

C:\ProgramData\icon.ico

Зашифрованные файлы получают оригинальный значки, такие же, как в DarkRace. 

Активность этого варианта была в середине февраля - начале марта ноября 2024 г. В числе пострадавших компании из следующих стран: Италия, США, Германия, Нидерланды, Бельгия, Чехия и другие.

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.MulDrop26.34134

BitDefender -> Gen:Heur.Ransom.Imps.1

ESET-NOD32 -> A Variant Of Win32/Agent.AEUZ

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win32/DarkTrace.MKV!MTB

Rising -> Trojan.Generic@AI.100 (RDML:Wmdc/FuE/ws2zjWnI++q5w)

Tencent -> Malware.Win32.Gencirc.10bfb722

TrendMicro -> Ransom.Win32.DARKRACE.THCOFBD

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.