Lambda

Lambda Ransomware

Lambda Ransomware (2023)

LambdaCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов (возможно: Curve25519, ChaCha20), а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: LambdaCrypter.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38085
BitDefender -> Gen:Variant.ClipBanker.180
ESET-NOD32 -> Win32/Filecoder.OPB
Kaspersky -> HEUR:Trojan-Ransom.Win32.Gen.gen
Malwarebytes -> Malware.AI.1027041180
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.100 (RDML:h7*
Tencent -> Malware.Win32.Gencirc.11b74af6
TrendMicro -> Ransom.Win32.CELANCYC.THJOFBC
---

© Генеалогия: ✂ Proxima >> ✂ BTC-azadi, BTC-azadi NG, BlackShadow, BlackRecover и другие > Lambda (2023)

Сайт "ID Ransomware" идентифицирует это как Lambda Ransomware. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Lambda


Записка с требованием выкупа называется: LAMBDA_README.txt

Содержание записки о выкупе:

[[=== Lambda Ransomware ===]]

[+] What's happened?

All your files are encrypted and stolen, but you need to follow our instructions. otherwise, you cant return your data (NEVER).

[+] What guarantees?

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.

To check the ability of returning files, we decrypt one file for free. That is our guarantee.

If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. time is much more valuable than money.

[+] Instructions:

a) Download and install Tor Browser from this site: https://www.torproject.org/

b) Open our website: hxxx://nn5ua7gc7jkllpoztymtfcu64yjm7znlsriq3a6v5kw7l6jvirnczyyd.onion

c) Enter this UID in the input: ****************

!!! DANGER !!!

DON'T try to change files by yourself, DON'T use any third party software for restoring your data or antivirus/edr solutions - its may entail damage of the private key and, as result, The Loss all data.

SPEAK for yourself. Since no one else has the private key, any interfere of third party companies/individuals is tantamount to scamming you.

ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.

!!! !!! !!!

Перевод записки на русский язык:

[[=== Lambda Ransomware ===]]

[+] Что случилось?

Все ваши файлы зашифрованы и украдены, но вам нужно следовать нашим инструкциям. иначе вы не сможете вернуть свои данные (НИКОГДА).

[+] Какие гарантии?

Это просто бизнес. Нам абсолютно плевать на вас и ваши сделки, кроме получения выгоды. Если мы не выполним свою работу и обязательства – с нами никто сотрудничать не будет. Это не в наших интересах.

Для проверки возможности возврата файлов мы бесплатно расшифруем один файл. Это наша гарантия.

Если вы не будете сотрудничать с нашим сервисом – для нас это не имеет значения. Но вы потеряете свое время и данные, ведь приватный ключ есть только у нас. время гораздо ценнее денег.

[+] Инструкции:

а) Загрузите и установите Tor Browser с этого сайта: https://www.torproject.org/

б) Откройте наш сайт: hxxx://nn5ua7gc7jkllpoztymtfcu64yjm7znlsriq3a6v5kw7l6jvirnczyyd.onion

в) Введите этот UID во входные данные: ****************

!!! ОПАСНОСТЬ !!!

НЕ пытайтесь изменить файлы сами, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные/EDR-решения - это может повлечь за собой повреждение закрытого ключа и приведет к потере всех данных.

Говори за себя. Поскольку никто больше не имеет закрытого ключа, любое вмешательство сторонних компаний/частных лиц равносильно мошенничеству.

ЕЩЕ РАЗ: В ваших интересах вернуть свои файлы. Мы со своей стороны (лучшие специалисты) делаем все для восстановления, но просьба не мешать.

!!! !!! !!!

Добавляет текст на экран входа Windows: 
All of your files are stolen and encrypted!Find LAMBDA_README.txt and follow instructions

Интересные "Hello Kitty" и "hot-dog" в коде:

 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Препятствует восстановлению файлов: 

Удаляет теневые копии файлов, очищает журналы системы, очищает корзины от удаленных файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, бэкапы, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LAMBDA_README.txt - название файла с требованием выкупа;

LLTKTPF.bmp, LPW10.tmp, 0F3LWP.tmp - вспомогательные временные файлы; 

LambdaDebug.txt - файл записи отладочной информации; 
LambdaCrypter.exe - название вредоносного файла. 

Скриншоты из pestudio:

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
SOFTWARE\Classes\.Lambda\DefaultIcon

См. ниже результаты анализов.

Мьютексы:

Global\ClickToRunPackageLocker

Global\LambdaMutex

См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://nn5ua7gc7jkllpoztymtfcu64yjm7znlsriq3a6v5kw7l6jvirnczyyd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6c292c92e703a155612fe50ea96161d1

SHA-1: e6ea7c6f564a2fbe15beaf3419dc334d536f250c

SHA-256: a1bcb4ceb586cd9dc78323ce2888080ea88a58708a3a95e546bff46d74fc13c8

Vhash: 025056655d15556155zc00771z3041z4045z4061z51z71zf7z

Imphash: 1c948a2965f69dde54a4b06b3846df84

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023

BTC-azadi Ransomware - январь 2023

Cylance Ransomware - март 2023

BTC-azadi NextGen Ransomware - с марта 2023

другие варианты - март-апрель-май 2023

BlackShadow Ransomware - май-июль 2023

BlackBerserk (BlackRecover) Ransomware - с июля 2023

другие варианты - август-ноябрь 2023

Lambda (LambdaCrypter) Ransomware - октябрь 2023

Synapse Ransomware (Exotic) Ransomware - февраль 2024

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 10 февраля 2024: 

Самоназвание: SynapseCrypter Ransomware

Доп. название: Exotic Ransomware

Сообщение >>

Расширение: .Synapse

Записка: RO9qk5Nq7.README.txt

Tor-URL: hxxx://ugoakjk3v6hop3epjhdgn4num43ndb5glgixhraeg2xm455gxqtu2qid.onion

Файл: SynapseCrypter.exe

IOC: VT, IA

MD5: 4b33216a968a3a12895b87b9ee258637 

SHA-1: 1667d33737263cfe955429bd704b1190070026db 

SHA-256: aaf01487c83e889aae33f7e8874f1f96eb3ed50b894af513872c10812bff983f 

Vhash: 025056655d15556265zc00841z7051z4043z204081z51z500117z 

Imphash: a7865d61935a63d927451a29461faab5

Обнаружения: 

DrWeb -> Trojan.Encoder.38619

ESET-NOD32 -> A Variant Of Win32/Filecoder.LambdaCrypter.A

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Tencent -> Win32.Trojan.Filecoder.Rimw

TrendMicro -> TROJ_GEN.R002H09BC24

---

Шифровальшик пропускает папки:

$recycle.bin, config.msi, $windows.~bt, $windows.~ws, windows, windows nt, windows.old, boot, programdata, system volume information, tor browser, intel, msocache, perflogs, public, all users, default, microsoft, Microsoft Visual Studio 16.0

Шифровальшик пропускает файлы:

autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db, GDIPFONTCACHEV1.DAT, d3d9caps.dat 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Michael Gillespie, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

LuckBit

LuckBit Ransomware

(шифровальщик-вымогатель, хакерская группа, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель атакует пользователей и шифрует данные с помощью комбинации алгоритмов, а затем требует выкуп в #BTC, чтобы вернуть файлы. Оригинальное название: LuckBit Ransomware. На файле написано: нет данных. 

---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: неизвестна. 

Сайт "ID Ransomware" это идентифицирует как Luckbit. 

Информация для идентификации

Сайт этого крипто-вымогателя был обнаружен в начале октября 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К сожалению, исследователь не сделал других скриншотов сайта и не предоставил адрес этого сайта. 

Скриншот с сайта

Содержание начальной страницы:

Thank you for visiting us. If you're reaching into this webpage, meaning your infrastructure/machine/server possibly vulnerable to the attacker.

What is Luckbit? Luckbit is our precious ransomware campaign. The name have nothing to do with any company, individual or ship. This is solely based on random generated name from the AI.

We are offering the world cheapest ransom as possible to fit into your budget and depending on your currency and financial status. We are non-political related on any attacks.

To let you know, this webpage has been generated by AI and possibly at very less human interaction with its client.

Thus, there will be no person behind this server to interact with its client. This webpage, server side script are generated by AI.

Our goal:

• We are not focusing much on profit. Enough to make this server up and running.

• Encourage company to patch their machine with the ransomware attack.

• Exfilterated data will be published on this webpage except user pay the ransom.

• Reporting to the authority is useless as we will published all user data immediately whether paid or not.

• Payment option will have flexible as much as possible.

• The attack is covering all over the world including future Moonbase and Mars base camp.

Перевод:

Спасибо за то, что посетили нас. Если вы зашли на эту веб-страницу, это означает, что ваша инфраструктура/машина/сервер, возможно, уязвима для атакующего.

Что такое Luckbit? Luckbit — наша ценная ransomware кампания. Название не имеет никакого отношения к какой-либо компании, физическому лицу или кораблю. Это основано исключительно на случайно сгенерированном имени ИИ.

Мы предлагаем самый дешевый в мире выкуп, который вписывается в ваш бюджет и зависит от вашей валюты и финансового состояния. Мы неполитично относимся к любым атакам.

Чтобы вы знали, эта веб-страница была создана ИИ и, возможно, при очень меньшем взаимодействии человека с клиентом.

Таким образом, за этим сервером не будет человека, который мог бы взаимодействовать с его клиентом. Эта веб-страница и серверный сценарий генерируются ИИ.

Наша цель:

• Мы не уделяем особого внимания прибыли. Достаточно, чтобы этот сервер заработал.

• Поощряйте компанию исправлять свои машины после атаки программы-вымогателя.

• Украденные данные будут опубликованы на этой веб-странице, если пользователь не заплатит выкуп.

• Сообщать властям бесполезно, поскольку мы немедленно опубликуем все пользовательские данные независимо от того, оплачены они или нет.

• Вариант оплаты будет максимально гибким.

• Атака охватывает весь мир, включая будущую лунную базу и базовый лагерь на Марсе.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CryptoExpertoo

CryptoExpertoo Ransomware

(rar-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель блокирует файлы пользователей и помещает их в RAR-архив, а затем предлагает помочь за определенную плату, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: другие RAR и ZIP вымогатели >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в сентябре 2023 г. Ориентирован на англоязычных пользователей, но взапсике текст продублирован на испанском, русском, турецкомможет распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .CRYPTED

Фактически используется составное расширение по шаблону: .ID-<XXXXXXXXX>.{cryptoexpertoo@hotmail.com}.CRYPTED

Пример зашифрованного файла:

пт.pdf.ID-17716AR69.{cryptoexpertoo@hotmail.com}.CRYPTED

Записка с требованием выкупа называется: readme_files encrypted.txt

Содержание записки о выкупе:

Hello!

All files are encrypted.

Attempting to decrypt files will damage them.

I can help you for a fee.

Your ID 17716AR69.

Contact me by email - cryptoexpertoo@hotmail.com

Hallo!

Alle Dateien sind verschlüsselt.

Beim Versuch, Dateien zu entschlüsseln, werden diese beschädigt.

Ich kann Ihnen gegen eine Gebühr helfen.

Ihre ID 17716AR69.

Kontaktieren Sie mich per E-Mail - cryptoexpertoo@hotmail.com

Привет!

Все файлы зашифрованы.

Попытка расшифровать файлы приведет к их повреждению.

Я могу помочь вам за определенную плату.

Ваш ID 17716AR69.

Свяжитесь со мной по электронной почте — cryptoexpertoo@hotmail.com.

Merhaba!

Tüm dosyalar şifrelenmiştir.

Dosyaların şifresini çözmeye çalışmak onlara zarar verir.

Ücret karşılığında yardımcı olabilirim.

Kimliğiniz 17716AR69.

Bana e-posta yoluyla ulaşın - cryptoexpertoo@hotmail.com

¡Hola!

Todos los archivos están cifrados.

Intentar descifrar archivos los dañará.

Puedo ayudarte pagando una tarifa.

Su DNI 17716AR69.

Contáctame por correo electrónico: cryptoexpertoo@hotmail.com

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

LostTrust

LostTrust Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: LostTrust Ransomware. На файле написано: ransomware.exe. Используется для вымогательства и кражи данных группой LostTrust Team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34939
BitDefender -> Gen:Variant.Ransom.Sfile.37
ESET-NOD32 -> A Variant Of Win32/Filecoder.SFile.A
Kaspersky -> Trojan.Win32.DelShad.mas
Malwarebytes -> Malware.AI.491590415
Microsoft -> VirTool:Win32/Injector.FU
Rising -> Trojan.Generic@AI.100 (RDML:NW/5j1***
Tencent -> Win32.Trojan.Filecoder.Htgl
TrendMicro -> Ransom.Win32.SFILE.SM
---

© Генеалогия: SFile, SFile2 >> MetaEncryptor >> LostTrust

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Начал атаковать организации в марте 2023 года, но получил широкую известность только в сентябре, когда начал использовать сайт утечки данных. Ориентирован на англоязычных пользователей, может распространяться по всему миру. На момент написания статьи на сайте утечки данных перечислено около 50 жертв из разных стран (США, Канада, Мексика, Италия, Румыния и др.), при этом данные некоторых из них уже утекли из-за неуплаты выкупа.

К зашифрованным файлам добавляется расширение: .losttrustencoded

Записка с требованием выкупа называется: !LostTrustEncoded.txt

Содержание записки о выкупе:

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

LOSTTRUST            

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

To the board of directors.

Your network has been attacked through various vulnerabilities found in your system.

We have gained full access to the entire network infrastructure.

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

Our team has an extensive background in legal and so called white hat hacking.

However, clients usually considered the found vulnerabilities to be minor and poorly paid for our services.

So we decided to change our business model. Now you understand how important it is to allocate a good budget for IT security.

This is serious business for us and we really don't want to ruin your privacy, 

reputation and a company.

We just want to get paid for our work whist finding vulnerabilities in various networks.

Your files are currently encrypted with our tailor made state of the art algorithm.

Don't try to terminate unknown processes, don't shutdown the servers, do not unplug drives, all this can lead to partial or complete data loss.

We have also managed to download a large amount of various, crucial data from your network.

A complete list of files and samples will be provided upon request.

We can decrypt a couple of files for free. The size of each file must be no more than 5 megabytes.

All your data will be successfully decrypted immediately after your payment.

You will also receive a detailed list of vulnerabilities used to gain access to your network.

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

If you refuse to cooperate with us, it will lead to the following consequences for your company:

1. All data downloaded from your network will be published for free or even sold

2. Your system will be re-attacked continuously, now that we know all your weak spots 

3. We will also attack your partners and suppliers using info obtained from your network

4. It can lead to legal actions against you for data breaches

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

                    !!!!Instructions for contacting our team!!!!

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

   ---> Download and install TOR browser from this site : https://torproject.org

   ---> For contact us via LIVE CHAT open our website : hxxx://hscr6cjzhgoybibuzn2xud7u4crehuoo4ykw3swut7m7irde74hdfzyd.onion/s/qnwbjsfd

   ---> If Tor is restricted in your area, use VPN

   ---> All your Data will be published in 3 Days if NO contact made

   ---> Your Decryption keys will be permanently destroyed in 3 Days if no contact made

   ---> Your Data will be published if you will hire third-party negotiators to contact us

�

Перевод записки на русский язык:

LOSTTRUST

Совету директоров.

Ваша сеть подверглась атаке через различные уязвимости, обнаруженные в вашей системе.

Мы получили полный доступ ко всей сетевой инфраструктуре.

Наша команда имеет богатый опыт в области легального и так называемого "белого" хакинга. Однако клиенты, как правило, считали найденные уязвимости незначительными и плохо оплачивали наши услуги.

Поэтому мы решили изменить нашу бизнес-модель. Теперь вы понимаете, насколько важно выделять хороший бюджет на обеспечение ИТ-безопасности.

Для нас это серьезный бизнес, и мы очень не хотим испортить вашу частную жизнь, репутацию и компанию, репутацию и компанию.

Мы просто хотим получать деньги за свою работу по поиску уязвимостей в различных сетях.

В настоящее время ваши файлы зашифрованы с помощью нашего современного алгоритма.

Не пытайтесь завершить неизвестные процессы, не выключайте серверы, не отключайте диски, все это может привести к частичной или полной потере данных.

Кроме того, нам удалось скачать из вашей сети большое количество разнообразных, критически важных данных.

Полный список файлов и образцов будет предоставлен по запросу.

Мы можем бесплатно расшифровать несколько файлов. Размер каждого файла не должен превышать 5 мегабайт.

Все ваши данные будут успешно расшифрованы сразу после оплаты.

Вы также получите подробный список уязвимостей, используемых для получения доступа к вашей сети.

Если Вы откажетесь от сотрудничества с нами, это приведет к следующим последствиям для Вашей компании:

1. Все данные, загружаемые из вашей сети, будут публиковаться бесплатно или даже продаваться

2. Ваша система будет постоянно подвергаться повторным атакам, поскольку мы знаем все ваши слабые места. 

3. Мы также будем атаковать ваших партнеров и поставщиков, используя информацию, полученную из вашей сети.

4. Это может привести к судебным искам против вас в связи с утечкой данных

!!!!Инструкции для связи с нашей командой!!!!

---> Скачайте и установите браузер TOR с этого сайта: https://torproject.org

---> Для связи с нами через LIVE CHAT откройте наш сайт: hxxx://hscr6cjzhgoybibuzn2xud7u4crehuoo4ykw3swut7m7irde74hdfzyd.onion/s/qnwbjsfd

---> Если Tor запрещен в вашем регионе, используйте VPN

---> Все ваши данные будут опубликованы через 3 дня, если с вами не свяжутся 

---> Ваши ключи дешифрования будут уничтожены в течение 3 дней, если с вами не свяжутся 

---> Ваши данные будут опубликованы, если вы наймете сторонних переговорщиков для связи с нами

�

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ LostTrust Team сами о себе

➤ Очищает журналы системы, удаляет теневые копии, останаливает ряд процессов.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!LostTrustEncoded.txt - название файла с требованием выкупа;
ransomware.exe -  название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
TOR-URL: hxxx://hscr6cjzhgoybibuzn2xud7u4crehuoo4ykw3swut7m7irde74hdfzyd.onion/

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 4ae8efc6c80fe086aa27117619718fc2

SHA-1: 09170b8fd03258b0deaa7b881c46180818b88381

SHA-256: 25a906877af7aed44c21b4c947a34666c3480629a929a227b67b273245ee3708

Vhash: 035046655d156068z512z121z21z13z20a1zffz

Imphash: e8fe6c58a0a1d7d1162ad35656f7aaec

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 BleepingComputer, TheCyberExpress
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.