GroundingConductor

GroundingConductor Ransomware

Grounding Encrypter Ransomware

(шифровальщик-вымогатель, zip-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель блокирует данные, помещает каждый файл в отдельный zip-архив. Для запирания файлов используются возможности zip-архиватора, в их числе шифрование AES-256 и парольная защита. Затем требует связаться с вымогателями через приложение Session, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: GroundingConductor, в записке указан контакт с таким именем. На файле написано: encrypter.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop23.36428
BitDefender -> Trojan.GenericKD.69294092
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOW
Kaspersky -> Trojan-Ransom.Win32.Encoder.ups
Malwarebytes -> Ransom.Filecoder
Microsoft -> Ransom:Win32/BeastRansom.YAA!MTB
Rising -> Trojan.Generic@AI.95 (RDML:z1l***
Tencent -> Malware.Win32.Gencirc.10bf238b
TrendMicro -> Ransom.Win32.BEASTRANSOM.A
---

© Генеалогия: родство выясняется >> GroundingConductor

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября — середине октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение .Grounding Conductor.zip

Фактически используется составное расширение по шаблону: .{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}.Grounding Conductor.zip

Пример: .{E02989DD-1B9B-FC2D-2B13-9DA770161220}.Grounding Conductor.zip

В каждом таком архиве  находится исходный файл и файл записки readme.txt. Записку можно извлечь и прочитать, а файл блокируется. Это можно увидеть в разделе "Replay Monitor" по этой ссылке. 

Записка с требованием выкупа называется: 

readme.txt 

Содержание записки о выкупе:

CAN I DECRYPT MY FILES ?

YES.

SURE.

We guarantee that you can recover FULL of your data easily!. We are give you full instruction. And help you untill decryption process is totaly finished.

CONTACT US:

Download the (Session) messenger (hxxps://getsession.org) in messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e" You have to add this Id and we will complete our converstion.

You have to pay for decryption BITCOIN ONLY!

!!! ATTENTION !!!

IF YOU WILL CONTACT DATA RECOVER COMPANY THEY WILL WASTE YOUR TIME AND TRY TO GET MONEY FROM YOU, than they will try to contact us and try to got your money from 2 sides.

REMEMBER : IF SOMEONE PROMISE YOU DECRYPT !!! YOUR PERSONAL INFORMATION IS ONLY IN OUR HANDS !

REMEMBER !!!! This money will be from your pocket any way.

We can give you 1 - 2 encrypted files not big , NOT VALUE,for test (You send us encrypted we send you back decrypted data).

You data encrypted and only WE ARE have decryption key.(To decrypt your data you need just 1-3 hours, after payment to got your data back fully )

Do not rename encrypted files, do not try to decrypt your data by using third party software, it may permanent data loss.

We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.

You have 12 hours to contact us.

Otherwise, your data will be sold or MADE PUBLIC!

IF YOU CONTACT DATA RECOVERY COMPANIES !!!! YOU MUST UNDESTAND YOU HAVE SO MUCH MORE CHANSE TO BE PUBLISHED ! ! !

We have a lot info about you and your clients , its can kill your organization ! DONT KILL YOU PESONAL AND BUSSINES.

PAY and NO ONE WILL BE KNOW ABOUT THAT situation .

Текст содержит ошибки! - Выделены красным. 

Перевод записки на русский язык:

МОГУ ЛИ Я РАСШИФРОВАТЬ СВОИ ФАЙЛЫ?

ДА.

КОНЕЧНО.

Мы гарантируем, что вы сможете легко восстановить ПОЛНОСТЬЮ ваши данные!. Мы даем вам полную инструкцию. И помогать вам, пока процесс расшифровки не будет полностью завершен.

СВЯЗАТЬСЯ С НАМИ:

Загрузите мессенджер (Session) (hxxps://getsession.org) в мессенджер :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e". Вам нужно добавить этот Id, и мы завершим преобразование.

За расшифровку нужно платить ТОЛЬКО БИТКОИН!

!!! ВНИМАНИЕ !!!

ЕСЛИ ВЫ ОБРАТИТЕСЬ В КОМПАНИЮ ПО ВОССТАНОВЛЕНИЮ ДАННЫХ, ОНИ ПОТРАТЯТ ВАШЕ ВРЕМЯ И ПЫТАЮТСЯ ПОЛУЧИТЬ ОТ ВАС ДЕНЬГИ, тогда они попытаются связаться с нами и попытаться получить ваши деньги с двух сторон.

ПОМНИТЕ: ЕСЛИ КТО-ТО ОБЕЩАЕТ ВАМ РАСШИФРОВАТЬ!!! ВАША ЛИЧНАЯ ИНФОРМАЦИЯ ТОЛЬКО В НАШИХ РУКАХ!

ПОМНИТЕ !!!! Эти деньги в любом случае будут из вашего кармана.

Мы можем предоставить вам 1–2 зашифрованных файла небольшого размера, НЕ ЦЕННЫХ, для теста (вы отправляете нам зашифрованные данные, мы отправим вам расшифрованные данные).

Ваши данные зашифрованы, и только У НАС есть ключ для расшифровки. (Чтобы расшифровать ваши данные, вам понадобится всего 1-3 часа, после оплаты вы получите свои данные обратно полностью)

Не переименовывайте зашифрованные файлы, не пытайтесь расшифровать данные с помощью сторонних программ, это может привести к необратимой потере данных.

Мы уже давно в вашей сети. Мы знаем о вашей компании все, большая часть вашей информации уже загружена на наш сервер. Рекомендуем не тратить время зря, если вы не хотите, чтобы мы начали вторую часть.

У вас есть 12 часов, чтобы связаться с нами.

В противном случае ваши данные будут проданы или ОПУБЛИКОВАНЫ!

ЕСЛИ ВЫ ОБРАЩАЕТЕСЬ В КОМПАНИИ ПО ВОССТАНОВЛЕНИЮ ДАННЫХ!!!! ВЫ ДОЛЖНЫ ПОНЯТЬ, У ВАС ЕСТЬ НАМНОГО БОЛЬШЕ ШАНСОВ НА ПУБЛИКАЦИЮ! ! !

У нас много информации о вас и ваших клиентах, это может убить вашу организацию! НЕ УБИВАЙТЕ ВЫ ЛИЧНОЕ И БИЗНЕС.

ПЛАТИТЕ и НИКТО НЕ УЗНАЕТ ОБ ЭТОЙ ситуации.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
encrypter.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 74fd302390dc8e8b5f49d2da186e3e8c

SHA-1: 63b7aedf094158e30980a46da8b8f4eaf88524e5

SHA-256: 526488b37415ae2c692f7da97a18c337b0efd4675fd1ac31b4acaa55c63d2725

Vhash: 0740466d755561b01011z200511z23z6025z905001d1z400127z

Imphash: 0aa65e45e800aaf1672b9e2617c32ec4

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 октября или раньше:

Расширение: .GroundingConductor

Записка: ReadMeToDecryptYourFiles.txt

Telegram: @GROUNDINGCONDUCTOR

➤ Содержание записки: 

WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! !

WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! ! 

WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! ! 

CAN I DECRYPT MY FILES ? 

YES.

SURE.

WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! !                        

We guarantee that you can recover FULL of your data easily!. We are give you full instruction. And help you untill decryption process is totaly finished.

CONTACT US:

Download the (Session) messenger (https://getsession.org) in messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e" You have to add this Id and we will complete our converstion.

Telrgram : @GROUNDINGCONDUCTOR (BE CAREFUL ABOUT FAKE)

WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! ! 

You have to pay for decryption BITCOIN ONLY!

!!! ATTENTION !!! 

IF YOU WILL CONTACT DATA RECOVER COMPANY THEY WILL WASTE YOUR TIME AND TRY TO GET MONEY FROM YOU, than they will try to contact us and try to got your money from 2 sides.

REMEMBER : IF SOMEONE PROMISE YOU DECRYPT !!! YOUR PERSONAL INFORMATION IS ONLY IN OUR HANDS !

REMEMBER !!!! This money will be from your pocket any way.

We can give you 1 - 2 encrypted files not big , NOT VALUE,  for test (You send us encrypted we send you back decrypted data).

You data encrypted and only WE ARE have decryption key.(To decrypt your data you need just 1-3 hours, after payment to got your data back fully )

Do not rename encrypted files, do not try to decrypt your data by using third party software, it may permanent data loss. 

We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.

You have 12 hours to contact us.

WARNING WARNING WARNING ! ! !   DO NOT DELETE FILE  .blob if you delete it data will be not able to decrypt ! ! ! 

Otherwise, your data will be sold or MADE PUBLIC!

IF YOU CONTACT DATA RECOVERY COMPANIES !!!! YOU MUST UNDESTAND YOU HAVE SO MUCH MORE CHANSE TO BE PUBLISHED ! ! !

We have a lot info about you and your clients , its can kill your organization ! DONT KILL YOU PESONAL AND BUSSINES. 

PAY and NO ONE WILL BE KNOW ABOUT THAT situation . 

---

В этом новом варианте шифруется каждый файл с помощью ChaCha20. Архивация файлов не используется. 

Файловый маркер в конце каждого зашифрованного файла: &XChaCha20 (или XChaCha20)

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk, quietman7, Bimmer123
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Magaskosh

Magaskosh Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Magaskosh Ransomware. На файле написано: MagasFinisher.exe. Это не файл шифратора. 
---
Обнаружения:
DrWeb -> Trojan.Badjoke.65
BitDefender -> Gen:Variant.Zusy.485511
ESET-NOD32 -> A Variant Of MSIL/Agent_AGen.BJE
Kaspersky -> HEUR:Trojan.MSIL.Agent.gen
Malwarebytes -> Malware.AI.560909678
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:MSIL/Magaskosh.MA!MTB
Rising -> Trojan.Agent!8.B1E (CLOUD)
Tencent -> Msil.Trojan.Agent.Wmhl, Malware.Win32.Gencirc.13ee22c9
TrendMicro -> TROJ_GEN.R002H07I223, Trojan.MSIL.MAGASKOSH.THIOEBC
---

© Генеалогия: родство выясняется >> Magaskosh 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .magaskosh

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

ALL OF YOUR FILES HAVE BEEN ENCRYPTED BY MAGASKOSH

6 DAYS

to DELETE all of your files..

If you want to restore them, please send an email to 666.accidenthappy.666@tutanota.com

You only have LIMITED time to get back your files!

- if timer runs out and you dont pay us , all of files will be DELETED and yuor hard disk will be seriously DAMAGED.

- you will lose some of your data on day 2 in the timer.

- you can buy more time for pay Just email us .

- THIS IS NOT A JOKE! you can wait for the timer to run out .and watch deletion of your files :)

What is our decryption guarantee?

Before paying you can send us up to 3 test files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information, (databases.backups. large excel sheets, etc.)

How to obtain Bitcoins

The easiest way to buy bitcoins is buy.bitcoin.com site.You have to register, click 'Buy bitcoins'. and select the seller by payment method and price.

Also you can find other places to buy Bitcoins and beginners guide here: https://www.bitcoin.com/get-started/how-to-buy-bi

Перевод записки на русский язык:

ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ MAGASKOSH

6 ДНЕЙ

до УДАЛЕНИЯ всех ваших файлов..

Если вы хотите вернуть их, отправьте email по адресу 666.accidenthappy.666@tutanota.com.

У вас есть только ОГРАНИЧЕННОЕ время, чтобы вернуть свои файлы!

- если таймер истечет, а вы не заплатите нам, все файлы будут УДАЛЕНЫ, а ваш жесткий диск будет серьезно ПОВРЕЖДЕН.

- вы потеряете часть своих данных на второй день таймера.

- Вы можете купить больше времени за оплату. Просто напишите нам.

- ЭТО НЕ ШУТКА! вы можете дождаться истечения таймера и наблюдать за удалением ваших файлов :)

Какова наша гарантия расшифровки?

Перед оплатой вы можете отправить нам до 3 тестовых файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 2 Мб (не в архиве), файлы не должны содержать ценной информации (базы данных.резервные копии, большие листы Excel и т. д.).

Как получить биткойны

Самый простой способ купить биткойны — это сайт buy.bitcoin.com. Вам надо зарегистрироваться, нажать "Купить биткойны", и выбрать продавца по способу оплаты и цене.

Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь: https://www.bitcoin.com/get-started/how-to-buy-bi

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
MagasFinisher.exe, 2019-08-26.jpg.exe - название файла экрана блокировки;

MagasFinisher.pdb - файл проекта программы-вымогателя. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%USERPROFILE%\Desktop\MagasFinisher - Copy\MagasFinisher\MagasFinisher\obj\Release\MagasFinisher.pdb

Маркер зашифрованных файлов:

rymozvpgflsstrhd

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 666.accidenthappy.666@tutanota.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 41011bd9af96dc9207533b5b2b819274

SHA-1: 25eae501b9604c2d6bf668d836aa3b96ecf4b127

SHA-256: 1b00ab6aec02a12e61143b6b351ad0d978f701413f02eff948eba397674a0c0e

Vhash: 25503675151140827132012

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CiphBit

CiphBit Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CiphBit. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущий вариант без названия >> CiphBit

Сайт "ID Ransomware" идентифицирует это как CiphBit (с 31.08.2023).

Информация для идентификации

Ранняя активность этого крипто-вымогателя была в марте - апреле - середине мая 2023 г. Может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: ***нет данных ***

Исследователь MalwareHunterTeam предоставил только копию "Уведомления о вызове в полицию" на болгарском языке. Вероятно, это говорит о том, что пострадавшие находятся в Болгарии. Из этого следует, что вымогатели выдают себя за правоохранительные органы Болгарии. 

Содержание текста на болгарском языке:

Известие за полицейска призовка

Въз основа на компютърно търсене Националната полиция предприема съдебни действия срещу вас за детска порнография, педофилия и киберпорнография. За ваша информация: Законодателят е определил, че престъпленията и простъпките (съгласно определението в Наказателния кодекс), извършени чрез използване на телекомуникационни мрежи, ще подлежат на по-тежко наказание.

Нашите следователи прихванаха комуникации между Вас и непълнолетни лица под 16-годишна възраст, по време на които открихме, че еротични съобщения, сексуални сцени или мастурбационни сесии се предават чрез сесии с уебкамери и незабавни чатове.

Моля, разберете, че съдържанието с недвусмислен сексуален характер и съобщенията със сексуален характер, достъпни за непълнолетни под 16-годишна възраст, представляват престъпления като детска порнография, педофилия и киберпорнография, които се наказват строго от закона. Информацията, получена чрез проникване в киберпространството, е важен източник на доказателства за тези престъпни дейности.

Изпратете ни имейл с обосновката си в рамките на 48 часа, за да я разгледаме. Ако не получим отговор след посочения срок, ще поддържаме обвиненията срещу вас. Следователно ще издадем заповед за арест, ще бъдете отведен в най-близкия полицейски участък и ще бъдете съден от съдебните органи на съда във вашия район.

След това ще бъдете вписан в Националния регистър на сексуалните престъпници и това наказателно дело ще бъде предадено на антипедофилските организации и медиите.  

Моля, изпратете отговора си до генералния директор на Националната полиция: 

Адрес на електронна поща : ***

Перевод текста на русский язык:

Уведомление о вызове в полицию

На основании компьютерного поиска Национальная полиция возбудила против вас судебный иск за детскую порнографию, педофилию и кибер-порнографию. Для справки: законодательный орган постановил, что преступления и проступки (согласно определению Уголовного кодекса), совершенные с использованием телекоммуникационных сетей, подлежат более строгому наказанию.

Наши следователи перехватили общение между вами и несовершеннолетними в возрасте до 16 лет, в ходе которого мы обнаружили, что эротические сообщения, сексуальные сцены или сеансы мастурбации передавались через сеансы веб-камеры и мгновенные чаты.

Пожалуйста, поймите, что откровенно сексуальный контент и сообщения сексуального характера, доступные несовершеннолетним в возрасте до 16 лет, представляют собой такие преступления, как детская порнография, педофилия и кибер-порнография, которые строго наказываются по закону. Информация, полученная посредством кибервторжения, является важным источником доказательств этой преступной деятельности.

Отправьте нам свое обоснование в течение 48 часов, чтобы мы могли его рассмотреть. Если мы не получим ответа по истечении указанного времени, мы сохраним обвинения против вас. Поэтому мы издадим приказ

для ареста вас доставят в ближайший полицейский участок и предстанут перед судебными органами вашего района.

Затем вы будете внесены в Национальный реестр лиц, совершивших сексуальные преступления, и это уголовное дело будет передано в антипедофильские организации и средства массовой информации.

Пожалуйста, отправьте свой ответ Генеральному директору Национальной полиции:

Адрес электронной почты: ***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;

Известие за полицейска призовка.pdf - файл на болгарском языке, который распространяют вымогатели. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ***@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Megazord

Megazord Ransomware

PowerRanges Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритма асимметричного шифрования с эллиптической кривой Curve25519 и алгоритма симметричного шифрования Sosemanuk, а затем требует выкуп, чтобы вернуть файлы. Оригинальное внутреннее название: Megazord. На файле написано: megazord.exe. Написан на языке программирования Rust. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37993
BitDefender -> Trojan.GenericKD.68960416
ESET-NOD32 -> A Variant Of Win64/Filecoder.Akira.B
Kaspersky -> Trojan-Ransom.Win64.Akira.c
Malwarebytes -> Malware.AI.3563367514
Microsoft -> Ransom:Win32/Megazord.A!dha
Rising -> Ransom.Megazord!1.EA79 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10bf3f33
TrendMicro -> Ransom.Win64.MEGAZORD.THHBIBC
---

© Генеалогия:  Akira ⇒ Megazord

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в конце августа 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .powerranges


Записка с требованием выкупа называется: powerranges.txt

Содержание записки о выкупе:

Whatever who you are and what your title is if you're reading this it means the internal infrastructure of your company is fully or partially dead, all your backups - virtual, physical - everything that we managed to reach - are completely removed. Moreover, we have taken a great amount of your corporate data prior to encryption.

Well, for now let's keep all the tears and resentment to ourselves and try to build a constructive dialogue. We're fully aware of what damage we caused by locking your internal sources. At the moment, you have to know:

1. Dealing with us you will save A LOT due to we are not interested in ruining your financially. We will study in depth your finance, bank & income statements, your savings, investments etc. and present our reasonable demand to you. If you have an active cyber insurance, let us know and we will guide you how to properly use it. Also, dragging out the negotiation process will lead to failing of a deal.

2. Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours approximately. Our decryptor works properly on any files or systems, so you will be able to check it by requesting a test decryption service from the 

beginning of our conversation. If you decide to recover on your own, keep in mind that you can permanently lose access to some files or accidently corrupt them - in this case we won't be able to help.

3. The security report or the exclusive first-hand information that you will receive upon reaching an agreement is of a great value, since NO full audit of your network will show you the vulnerabilities that we've managed to detect and used in order to get into, identify backup solutions and upload your data.

4. As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes - generally speaking, everything that has a value on the darkmarket - to multiple threat actors at ones. Then all of this will be published in our blog - hxxxs://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion.

5. We're more than negotiable and will definitely find the way to settle this quickly and reach an agreement which will satisfy both of us.

If you're indeed interested in our assistance and the services we provide you can reach out to us following simple instructions:

1. Install TOR Browser to get access to our chat room - hxxxs://www.torproject.org/download/.

2. Paste this link - hxxxs://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion.

3. Use this code - 7929-TZ-RQXZ-ULRM - to log into our chat.

Keep in mind that the faster you will get in touch, the less damage we cause.

Перевод записки на русский язык:

Кто бы вы ни были и как бы ни назывались, если вы читаете это, значит, внутренняя инфраструктура вашей компании полностью или частично мертва, все ваши резервные копии - виртуальные, физические - все, до чего мы  добрались, - полностью удалены. Более того, мы забрали большое количество ваших корпоративных данных перед шифрованием.

Что ж, давайте пока оставим все слезы и обиды при себе и постараемся выстроить конструктивный диалог. Мы прекрасно понимаем, какой ущерб мы нанесли, заблокировав ваши внутренние источники. На данный момент вы должны знать:

1. Работая с нами, вы сэкономите ОЧЕНЬ много, так как мы не заинтересованы в вашем финансовом разорении. Мы досконально изучим ваши финансы, выписки из банковских счетов и справки о доходах, ваши сбережения, инвестиции и т.д. и представим вам наше обоснованное требование. Если у вас есть активная кибер-страховка, сообщите нам об этом, и мы подскажем вам, как правильно ее использовать. Кроме того, затягивание процесса переговоров приведет к срыву сделки.

2. Заплатив нам, вы сэкономите свое время, деньги, силы и вернетесь к работе примерно в течение 24 часов. Наш дешифратор корректно работает с любыми файлами и системами, поэтому вы сможете проверить это, запросив услугу тестовой расшифровки в самом начале нашего разговора. 

Если вы решите восстанавливать самостоятельно, имейте в виду, что вы можете навсегда потерять доступ к некоторым файлам или случайно повредить их - в этом случае мы не сможем помочь.

3. Отчет по безопасности или эксклюзивная информация из первых рук, которую вы получите по достижении договоренности, имеет большую ценность, так как НЕ полный аудит вашей сети покажет вам уязвимости, которые нам удалось обнаружить и использовать для проникновения, определения решений резервного копирования и загрузки ваших данных.

4. Что касается ваших данных, то, если нам не удастся договориться, мы попытаемся продать персональную информацию/торговые секреты/базы данных/исходные коды - в общем, все, что имеет ценность на темном рынке, - сразу нескольким угрожающим субъектам. Затем все это опубликуем в нашем блоге - hxxxs://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion.

5. Мы более чем готовы к переговорам и обязательно найдем способ быстро уладить это дело и достичь соглашения, которое удовлетворит нас обоих.

Если вы действительно заинтересованы в нашей помощи и предоставляемых нами услугах, вы можете связаться с нами, следуя простым инструкциям:

1. Установите браузер TOR, чтобы получить доступ к нашему чату - hxxxs://www.torproject.org/download/.

2. Вставьте эту ссылку - hxxxs://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion.

3. Используйте этот код - 7929-TZ-RQXZ-ULRM - для входа в наш чат.

Помните, что чем быстрее вы выйдете на связь, тем меньший ущерб мы нанесем.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
powerranges.txt - название файла с требованием выкупа;
megazord.exe - название вредоносного файла;

megazord.pdb - название проекта вредоносного файла.

Скриншоты из pestudio:

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
TOR-URL: 

hxxxs://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion

hxxxs://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9df999f142f137b0794b8afcaaedc588

SHA-1: a420fbd6cb9d10db807251564c1c9e1718c6fbc5

SHA-256: c9c94ac5e1991a7db42c7973e328fceeb6f163d9f644031bdfd4123c7b3898b0

Vhash: 016066555d1565155018z763z3@z

Imphash: d0f1c6a6d9b90898749c1a859a88de75

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, Davinci
 Andrew Ivanov (article author)
 SentinelOne
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.