CHKLST.RU

Шифровирусы шумной толпою...

124»

Комментарии

  • Специалисты компании Sophos сообщили о всплеске атак вымогателя MegaCortex — вредоносной программы, ранее замеченной лишь в единичных нападениях. Злоумышленники нацелены на корпоративный сектор и пытаются получить доступ к контроллеру домена организации, чтобы доставить шифровальщик на максимальное количество рабочих станций.

    Первые сообщения о MegaCortex датируются январем этого года, однако до последнего времени экспертами Sophos зафиксировано лишь 29 подтвержденных атак вымогателя. Между тем в первые дни мая стало известно о как минимум новых 47 попытках установки зловреда. Аналитики отмечают, что в каждом случае речь идет о проникновении в корпоративную сеть.

    Попав на целевое устройство, зловред запускает PowerShell-скрипт, который разворачивает многофункциональную оболочку Meterpreter в сети жертвы. При помощи этого инструмента злоумышленники получают доступ к контроллеру домена компании и доставляют полезную нагрузку на подключенные к нему машины. В компьютеры внедряется исполняемый файл и пакетный сценарий, отвечающий за выгрузку из памяти сотен процессов. Киберпреступники отключают системы безопасности, антивирусные сканеры и другие службы, которые могут помешать шифрованию данных.

    В завершение на устройство доставляется файл winnit.exe, который отвечает за загрузку DLL-библиотеки со случайным именем из восьми символов. Она шифрует пользовательскую информацию и размещает в корневом каталоге записку с требованием выкупа. Послание стилизовано под обращение Морфеуса — одного из героев фильма «Матрица».

    https://threatpost.ru/megacortex-ransomware-attacks-enterprise-networks/32552/
  • отредактировано 1 Jun PM
    Как стало известно ZDNet, создатели Ransomware GandCrab объявили вчера, что они закрывают свой сервис Ransomware-as-a-Service (RaaS).

    GandCrab RaaS - это онлайн-портал, на котором мошенники регистрируются и платят, чтобы получить доступ к пользовательским сборкам вымогателей GandCrab, которые они позже распространяют через спам по электронной почте, наборы эксплойтов или другими способами.

    Когда зараженный пользователь платит выкуп, первоначальный автор GandCrab зарабатывает небольшую комиссию, а остальная часть денег уходит на мошенника, который распространял вымогателей.

    В планах удалить ключи дешифрования

    В теме форума оставлено сообщение для жертв GandCrab, в котором операторы GandCrab RaaS заявили, что планируют удалить все ключи дешифрования, что делает невозможным восстановление файлов для зараженных жертв.

    Некоторые из исследователей безопасности, к которым мы обратились, сказали ZDNet, что это может быть уловкой, чтобы заставить паниковать жертв и платить требование выкупа. Однако они изменили свои взгляды, когда узнали, что клиентам GandCrab RaaS также было приказано свернуть операции.

    В прошлом, когда операции вымогателей прекращались, они, как правило, бесплатно выпускали все ключи расшифровки жертвы, чтобы пользователи могли восстановить свои данные. Нечто подобное произошло с жертвами семей-вымогателей, таких как TeslaCrypt, XData, Crysis и FilesLocker.

    За последний год семейство вымогателей GandCrab стало одной из самых активных угроз для вымогателей. Это был один из немногих штаммов вымогателей, которые распространялись в массовом порядке через спам и наборы эксплойтов по электронной почте, но также как часть целенаправленных атак против высокопоставленных организаций одновременно.

    Программа-вымогатель часто обновлялась и в настоящее время имеет версию 5.2 во время сегодняшнего выключения.

    За последний год фирма Bitdefender, специализирующаяся в области кибербезопасности, трижды выпускала расшифровщики GandCrab. Это приложения, которые позволяют жертвам восстанавливать зашифрованные файлы без уплаты выкупа. Последний был выпущен в феврале этого года и мог расшифровать версии GandCrab до версии 5.1 (за исключением версий v2 и v3)

    https://www.zdnet.com/article/gandcrab-ransomware-operation-says-its-shutting-down/

    +
  • отредактировано 2 Jun PM
    Спустя почти полтора года операторы GandCrab Ransomware прекращают свою работу, и предлагают аффилированным лицам прекратить распространение вымогателей.

    Заполняя "свободное место" ("денежное место пустым не бывает"), оставшееся после прекращения крупномасштабных компаний по вымогательству, таких как TeslaCrypt, CryptoWall и Spora, GandCrab ворвался в мир вымогателей 28 января 2018 года, когда они начали продавать свои услуги на подпольных криминальных сайтах.

    С тех пор они стали одним из доминирующих, если не самым доминирующим, участником операций по вымогательству, и их операции только начали замедляться в течение последних нескольких месяцев.

    По словам исследователей безопасности Дамиана и Дэвида Монтенегро, которые следили за эксплойтами GandCrab на подпольном форуме по взлому и вредоносным программам Exploit.in, операторы GandCrab объявили, что закрывают свою работу.

    На изображениях, предоставленных BleepingComputer Дамианом, мы видим, что операторы заявляют, что они получили более 2 миллиардов долларов в качестве выкупа при средней еженедельной выплате в 2,5 миллиона долларов. Далее они говорят, что лично заработали 150 миллионов долларов, которые они обналичили и инвестировали в легальные бизнес-структуры.

    gandcrab-message.jpg

    В своем объявлении GandCrab заявил, что прекращает продвижение вымогателей, попросил филиалы прекратить распространение вымогателей в течение 20 дней и просит удалить их тему в конце месяца.

    https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-25-billion/

    BleepinComputer:
    While they state that they are deleting their keys, we hope they will follow other large-scale ransomware operations like TeslaCrypt and Crysis and release the master keys when they shutdown. BleepingComputer has contacted them to ask them to do this. Come on Crab 🦀🦀🦀!

    Хотя они заявляют, что удалят все свои ключи, мы надеемся, что они поступят так же как TeslaCrypt и Crysis и опубликуют мастер ключи, после завершения работы. BleepingComputer связался с ними, чтобы попросить их сделать это.
  • отредактировано 15 Jul PM
    +
    JakubKroustek:
    '.BSC' - '[email protected]' - https://www.virustotal.com/gui/file/2e0490c69212fb4ad20cd342bc8d257450f7602930700dc582196032d572f34d/ … #CrySiS #Dharma #ransomware

    замечен на российских форумах:
    +
    demonslay335:
    #Dharma #Ransomware spotted with extension ".kjh" on ID Ransomware
    +
    JakubKroustek:
    '.html' 🤦‍♂️ - '[email protected]' - https://www.virustotal.com/gui/file/4e1729be38023e15056914fab40c9ff3e04990c998c5c97­11b4376acb919fdae/ … #CrySiS #Dharma #ransomware
    +
    '.HACK' - '[email protected]' - https://www.virustotal.com/gui/file/5d4e9a73323a109fb00d56ac8ab28cbfa056616d502d0bf985a56855ef28bfb5/ … #CrySiS #Dharma #ransomware
    *.hack уже есть на российских форумах:
    https://virusinfo.info/showthread.php?t=223030
    +
    #Dharma #Ransomware spotted with extension ".0day" (🤦‍♂️) on ID Ransomware
    *.0day уже есть на российских форумах
    https://forum.kasperskyclub.ru/index.php?showtopic=63078
    +
    #Dharma #Ransomware spotted on ID Ransomware with extension ".hccapx"
    +
    #Dharma #Ransomware spotted with extension ".cap" on ID Ransomware
    +
    '.xxxx' - '[email protected]' - https://www.virustotal.com/gui/file/c6517e4d2a9c5bbb6ea64b0de2135d89815433a987132eed2f65d8bd917becda/ … #CrySiS #Dharma #ransomware
    +
    #Dharma #Ransomware spotted on ID Ransomware with extension ".crash"
    +
    JakubKroustek:
    '.php' + '.dqb' - '[email protected]' + '[email protected]' - (link: https://www.virustotal.com/gui/file/ac4a4747011aa436dda454c1cc59e5002d63847bdb67836589cd756f09c39f79/) virustotal.com/gui/file/ac4a4… + (link: https://www.virustotal.com/gui/file/fd3a4710e21b89324240728ee99cba2c71b54cfb03d4fc742b47de068e45f608/) virustotal.com/gui/file/fd3a4… #CrySiS #Dharma #ransomware
    +
    virusinfo.info:
    *.[[email protected]].save
    https://app.any.run/tasks/8d6aa39b-73a2-413b-9c37-e6c0c9771431
    https://www.hybrid-analysis.com/sample/3f0a06a63a39b5585ce8e2afe584a2680e71b93de7a835d51e05d776a15e9c60/5d233950028838148448cae7
    desktop.ini.id-EC2CAE93.[[email protected]].save
    O4 - HKLM\..\Run: [C:\Users\admin\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\admin\AppData\Roaming\Info.hta"

    (link: https://virusinfo.info/showthread.php?t=223167) virusinfo.info/showthread.php…
    +
    #Dharma #Ransomware w/ extension ".KICK", email "[email protected]" spotted on ID Ransomware
    +
    Jakub Kroustek:
    '.1BTC' - '[email protected]' - (link: https://www.virustotal.com/gui/file/cac6e9235a45bf266bd38b35fb0ff1072b6cf6b9e6fdfe94eb956bbf5d912590/) virustotal.com/gui/file/cac6e… #CrySiS #Dharma #ransomware

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC

  • отредактировано 6 Jul PM
    #Cryakl#Ransomware имеет новое расширение ".cs16" - например, "[email protected] 1.6.id-.fname-NEWS.RTF.cs16"
Войдите или Зарегистрируйтесь чтобы комментировать.