Шифровирусы шумной толпою...

124

Комментарии

  • Специалисты компании Sophos сообщили о всплеске атак вымогателя MegaCortex — вредоносной программы, ранее замеченной лишь в единичных нападениях. Злоумышленники нацелены на корпоративный сектор и пытаются получить доступ к контроллеру домена организации, чтобы доставить шифровальщик на максимальное количество рабочих станций.

    Первые сообщения о MegaCortex датируются январем этого года, однако до последнего времени экспертами Sophos зафиксировано лишь 29 подтвержденных атак вымогателя. Между тем в первые дни мая стало известно о как минимум новых 47 попытках установки зловреда. Аналитики отмечают, что в каждом случае речь идет о проникновении в корпоративную сеть.

    Попав на целевое устройство, зловред запускает PowerShell-скрипт, который разворачивает многофункциональную оболочку Meterpreter в сети жертвы. При помощи этого инструмента злоумышленники получают доступ к контроллеру домена компании и доставляют полезную нагрузку на подключенные к нему машины. В компьютеры внедряется исполняемый файл и пакетный сценарий, отвечающий за выгрузку из памяти сотен процессов. Киберпреступники отключают системы безопасности, антивирусные сканеры и другие службы, которые могут помешать шифрованию данных.

    В завершение на устройство доставляется файл winnit.exe, который отвечает за загрузку DLL-библиотеки со случайным именем из восьми символов. Она шифрует пользовательскую информацию и размещает в корневом каталоге записку с требованием выкупа. Послание стилизовано под обращение Морфеуса — одного из героев фильма «Матрица».

    https://threatpost.ru/megacortex-ransomware-attacks-enterprise-networks/32552/
  • отредактировано June 2019 PM
    Как стало известно ZDNet, создатели Ransomware GandCrab объявили вчера, что они закрывают свой сервис Ransomware-as-a-Service (RaaS).

    GandCrab RaaS - это онлайн-портал, на котором мошенники регистрируются и платят, чтобы получить доступ к пользовательским сборкам вымогателей GandCrab, которые они позже распространяют через спам по электронной почте, наборы эксплойтов или другими способами.

    Когда зараженный пользователь платит выкуп, первоначальный автор GandCrab зарабатывает небольшую комиссию, а остальная часть денег уходит на мошенника, который распространял вымогателей.

    В планах удалить ключи дешифрования

    В теме форума оставлено сообщение для жертв GandCrab, в котором операторы GandCrab RaaS заявили, что планируют удалить все ключи дешифрования, что делает невозможным восстановление файлов для зараженных жертв.

    Некоторые из исследователей безопасности, к которым мы обратились, сказали ZDNet, что это может быть уловкой, чтобы заставить паниковать жертв и платить требование выкупа. Однако они изменили свои взгляды, когда узнали, что клиентам GandCrab RaaS также было приказано свернуть операции.

    В прошлом, когда операции вымогателей прекращались, они, как правило, бесплатно выпускали все ключи расшифровки жертвы, чтобы пользователи могли восстановить свои данные. Нечто подобное произошло с жертвами семей-вымогателей, таких как TeslaCrypt, XData, Crysis и FilesLocker.

    За последний год семейство вымогателей GandCrab стало одной из самых активных угроз для вымогателей. Это был один из немногих штаммов вымогателей, которые распространялись в массовом порядке через спам и наборы эксплойтов по электронной почте, но также как часть целенаправленных атак против высокопоставленных организаций одновременно.

    Программа-вымогатель часто обновлялась и в настоящее время имеет версию 5.2 во время сегодняшнего выключения.

    За последний год фирма Bitdefender, специализирующаяся в области кибербезопасности, трижды выпускала расшифровщики GandCrab. Это приложения, которые позволяют жертвам восстанавливать зашифрованные файлы без уплаты выкупа. Последний был выпущен в феврале этого года и мог расшифровать версии GandCrab до версии 5.1 (за исключением версий v2 и v3)

    https://www.zdnet.com/article/gandcrab-ransomware-operation-says-its-shutting-down/

    +
  • отредактировано June 2019 PM
    Спустя почти полтора года операторы GandCrab Ransomware прекращают свою работу, и предлагают аффилированным лицам прекратить распространение вымогателей.

    Заполняя "свободное место" ("денежное место пустым не бывает"), оставшееся после прекращения крупномасштабных компаний по вымогательству, таких как TeslaCrypt, CryptoWall и Spora, GandCrab ворвался в мир вымогателей 28 января 2018 года, когда они начали продавать свои услуги на подпольных криминальных сайтах.

    С тех пор они стали одним из доминирующих, если не самым доминирующим, участником операций по вымогательству, и их операции только начали замедляться в течение последних нескольких месяцев.

    По словам исследователей безопасности Дамиана и Дэвида Монтенегро, которые следили за эксплойтами GandCrab на подпольном форуме по взлому и вредоносным программам Exploit.in, операторы GandCrab объявили, что закрывают свою работу.

    На изображениях, предоставленных BleepingComputer Дамианом, мы видим, что операторы заявляют, что они получили более 2 миллиардов долларов в качестве выкупа при средней еженедельной выплате в 2,5 миллиона долларов. Далее они говорят, что лично заработали 150 миллионов долларов, которые они обналичили и инвестировали в легальные бизнес-структуры.

    gandcrab-message.jpg

    В своем объявлении GandCrab заявил, что прекращает продвижение вымогателей, попросил филиалы прекратить распространение вымогателей в течение 20 дней и просит удалить их тему в конце месяца.

    https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-25-billion/

    BleepinComputer:
    While they state that they are deleting their keys, we hope they will follow other large-scale ransomware operations like TeslaCrypt and Crysis and release the master keys when they shutdown. BleepingComputer has contacted them to ask them to do this. Come on Crab ???!

    Хотя они заявляют, что удалят все свои ключи, мы надеемся, что они поступят так же как TeslaCrypt и Crysis и опубликуют мастер ключи, после завершения работы. BleepingComputer связался с ними, чтобы попросить их сделать это.
  • отредактировано August 2019 PM
    +
    JakubKroustek:
    '.BSC' - '[email protected]' - https://www.virustotal.com/gui/file/2e0490c69212fb4ad20cd342bc8d257450f7602930700dc582196032d572f34d/ … #CrySiS #Dharma #ransomware

    замечен на российских форумах:
    +
    demonslay335:
    #Dharma #Ransomware spotted with extension ".kjh" on ID Ransomware
    +
    JakubKroustek:
    '.html' ?‍♂️ - '[email protected]' - https://www.virustotal.com/gui/file/4e1729be38023e15056914fab40c9ff3e04990c998c5c97­11b4376acb919fdae/ … #CrySiS #Dharma #ransomware
    +
    '.HACK' - '[email protected]' - https://www.virustotal.com/gui/file/5d4e9a73323a109fb00d56ac8ab28cbfa056616d502d0bf985a56855ef28bfb5/ … #CrySiS #Dharma #ransomware
    *.hack уже есть на российских форумах:
    https://virusinfo.info/showthread.php?t=223030
    +
    #Dharma #Ransomware spotted with extension ".0day" (?‍♂️) on ID Ransomware
    *.0day уже есть на российских форумах
    https://forum.kasperskyclub.ru/index.php?showtopic=63078
    +
    #Dharma #Ransomware spotted on ID Ransomware with extension ".hccapx"
    +
    #Dharma #Ransomware spotted with extension ".cap" on ID Ransomware
    +
    '.xxxx' - '[email protected]' - https://www.virustotal.com/gui/file/c6517e4d2a9c5bbb6ea64b0de2135d89815433a987132eed2f65d8bd917becda/ … #CrySiS #Dharma #ransomware
    +
    #Dharma #Ransomware spotted on ID Ransomware with extension ".crash"
    +
    JakubKroustek:
    '.php' + '.dqb' - '[email protected]' + '[email protected]' - (link: https://www.virustotal.com/gui/file/ac4a4747011aa436dda454c1cc59e5002d63847bdb67836589cd756f09c39f79/) virustotal.com/gui/file/ac4a4… + (link: https://www.virustotal.com/gui/file/fd3a4710e21b89324240728ee99cba2c71b54cfb03d4fc742b47de068e45f608/) virustotal.com/gui/file/fd3a4… #CrySiS #Dharma #ransomware
    +
    virusinfo.info:
    *.[[email protected]].save
    https://app.any.run/tasks/8d6aa39b-73a2-413b-9c37-e6c0c9771431
    https://www.hybrid-analysis.com/sample/3f0a06a63a39b5585ce8e2afe584a2680e71b93de7a835d51e05d776a15e9c60/5d233950028838148448cae7
    desktop.ini.id-EC2CAE93.[[email protected]].save
    O4 - HKLM\..\Run: [C:\Users\admin\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\admin\AppData\Roaming\Info.hta"

    (link: https://virusinfo.info/showthread.php?t=223167) virusinfo.info/showthread.php…
    +
    #Dharma #Ransomware w/ extension ".KICK", email "[email protected]" spotted on ID Ransomware
    +
    Jakub Kroustek:
    '.1BTC' - '[email protected]' - (link: https://www.virustotal.com/gui/file/cac6e9235a45bf266bd38b35fb0ff1072b6cf6b9e6fdfe94eb956bbf5d912590/) virustotal.com/gui/file/cac6e… #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.com2' - '[email protected]' - (link: https://www.virustotal.com/gui/file/965315221716fa0b80f2cf88873b7d1f7e5b368a0ac01f52d2ade330328d04fe/) virustotal.com/gui/file/96531… #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.Acuf2' - '[email protected]' - (link: https://www.virustotal.com/gui/file/5b420065bcd0653fb053045398dd6477ab8b6df270245c5d5d4590c2af30f329/) virustotal.com/gui/file/5b420… #CrySiS #Dharma #ransomware
    на российских форумах:
    https://forum.kasperskyclub.ru/index.php?showtopic=63398
    +
    Jakub Kroustek:
    '.nqix' - '[email protected]' - (link: https://www.virustotal.com/gui/file/a847fe149f3ff49b9234975c2e52176176e5aced6ebe1bc0b9db444fa14c55dd/) virustotal.com/gui/file/a847f… #CrySiS #Dharma #ransomware

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix

  • отредактировано July 2019 PM
    #Cryakl#Ransomware имеет новое расширение ".cs16" - например, "[email protected] 1.6.id-.fname-NEWS.RTF.cs16"
  • отредактировано October 2019 PM
    +
    Jakub Kroustek
    '.Q1G' - '[email protected]' - (link: https://www.virustotal.com/gui/file/44586a87f4307beaf584b7b2639e9120e90cd7ad226d47ba171ccb8967285102/) virustotal.com/gui/file/44586… #CrySiS #Dharma #ransomware
    +
    JakubKroustek
    '.pdf' ?‍♂️ - '[email protected]' - https://virustotal.com/gui/file/77122136a32a1950ca53a723ad5b6b7f895a6077ef4b7aa727c16997421b16ba/
    #CrySiS #Dharma #ransomware
    +
    JakubKroustek:
    '.cmd' ?‍♂️ - '[email protected]' - https://virustotal.com/gui/file/b39b8bc226a16cadf7e269f154d3578b2378c88a9db652061be4d1e4115eb9f6/ #CrySiS #Dharma #ransomware
    +
    JakubKroustek:
    '.MGS' - '[email protected]' - https://virustotal.com/gui/file/54a6cde2a40da13331d3d5715878155697c5f5d794a457684443b276cef9fc18/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.RSA' - '[email protected]' - https://virustotal.com/gui/file/6bf30d7000369173f28b38f111a3e4294e69052ae844897c348d6754db2b96ef/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.ebola' - '[email protected]' - https://virustotal.com/gui/file/6531224b249f1aa18577ad2f31c5ccec0d51941de3dd7cc6df1f8ff03bf2b6c1/ #CrySiS #Dharma #ransomware
    на российских форумах уже есть пострадавшие от данного варианта шифратора.
    https://virusinfo.info/showthread.php?t=223596
    https://app.any.run/tasks/529afed8-780e-4693-9df2-479f8b598602
    +
    Jakub Kroustek:
    '.money' - '[email protected]' - https://virustotal.com/gui/file/951294b8e0a4fbfd638cf9e38794527449229e0a754014bda7a8bd3c4b1b5d63/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.VIVAL' - '[email protected]' - https://virustotal.com/gui/file/5cae1527311e2d76114f6556741c37e9f4c57f06439a43abc6b20d363b3aa80b/ #CrySiS #Dharma #ransomware
    thyrex:
    .UTC [email protected]
    https://forum.kasperskyclub.ru/index.php?showtopic=63802
    #CrySiS #Dharma #ransomware

    thyrex/Jakub Kroustek:
    ".CASH" - "[email protected]"
    https://virustotal.com/gui/file/1cc40068f4b1cdefb3972a9cf1e098ab9657022ed66d90c015329b8e38c5e480/ #CrySiS #Dharma #ransomware
    на российских форумах есть пострадавшие от данного варианта:
    https://forum.kasperskyclub.ru/index.php?showtopic=63822
    +
    Jakub Kroustek:
    '.KRAB' - '[email protected]' - https://virustotal.com/gui/file/0fa6d75bd7ca77559097623aca2cc19ebb7d144d67b3e7d2e5652577954f15e2/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.oo7' - '[email protected]' - https://virustotal.com/gui/file/55ce1bdbbe9404d8c2518b1e44fdb2eee2da43c00911f66d6bbd18e941207831/ #CrySiS #Dharma #ransomware
    +
    raby_mr:
    Extensions: id-XXXXXX.[[email protected]].uta
    Vt:https://virustotal.com/gui/file/6a9c530c5700c2e5ae73b7c5959d04d9d8f2d9a9c5432e7dccd3ef8f13ac1ed9/detection
    Sample:https://app.any.run/tasks/9eb22017-fb30-4efd-a612-c097a6629bd5/
    #Dharma #Ransomware
    +
    Jakub Kroustek:
    '.bot' - '[email protected]' - https://virustotal.com/gui/file/35b611b8907719f724b0a51d451747931f7af25538701027a672ffe9c8c2e50d/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.wiki' - '[email protected]' - https://virustotal.com/gui/file/598bb407798b538f375db298cf11f0fe708851d873ef543c60bcb75fb990eca2/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.PBD' - '[email protected]' - https://virustotal.com/gui/file/3411acc4f44bed33ace32ce9691f7daf1130673cc48717da18a132c090ebecc0/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.one' - '[email protected]' - https://virustotal.com/gui/file/487a1543677dfdaa1c2707b9b0b5609703534200b24d361740c2e1f2e5feaddb/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.xda' - '[email protected]' - https://virustotal.com/gui/file/31409b7ba068040936cf1aa0e3571110c986d4f06b5bceea18032cf1d203f7a5/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.start' - '[email protected]' - https://virustotal.com/gui/file/d1609699ddfcc905ad6e88df90c0f3f87b34ee9ebd27a01d7eea58a95645565c/
    #CrySiS #Dharma #ransomware
    +
    '.asus' - '[email protected]' - https://virustotal.com/gui/file/a3e9b258b67f106c268405877b3b34439a9d407d040d23166e7a847ad32a5561/ #CrySiS #Dharma #ransomware

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus

  • отредактировано December 2019 PM
    +
    Jakub Kroustek:
    '.VIRUS' - '[email protected]' - https://virustotal.com/gui/file/bbb4d93f9c79e555d6f6ef77fd3696a53c8fb84227401d568eab55cf6bbf81ea/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.rsa' - '[email protected]' - https://virustotal.com/gui/file/3a26e4f27282f65126757df72dbb3bbf8e7c0c811a60e356a16d4db485459791/ #CrySiS #Dharma #ransomware
    +
    '.kr' - '[email protected]' - https://virustotal.com/gui/file/8edf3b965617286ea70601965eb69244960f63ccb464fa2baa5afffb6f59a7d1/ #CrySiS #Dharma #ransomware
    +
    '.ninja' - '[email protected]' - https://virustotal.com/gui/file/a3fbf4f7e4f3da447e4bbc773110c123021b9d149d510b220ad37cec77416c4a/ #CrySiS #Dharma #ransomware
    +
    GrujaRS:
    #Dharma #Ransomware extension .id-.[[email protected]].nvram!
    Ransom note;FILES ENCRYPTED.txt sample VT https://www.virustotal.com/gui/file/a05821afed3f5930cb98c8e5ab51172b421f9ef9eb848b010601d017ca753c6a/detection
    +
    Jakub Kroustek:
    '.SySS' - '[email protected]' - https://virustotal.com/gui/file/51c576530f036e4d1c120bcd245bb46e31b5d6bfe5cbcdea14a23068048935c8/ #CrySiS #Dharma #ransomware
    +
    Raby:
    New Variant #Dharma #Ransomware ! RansoNote: "RETURN FILES.txt"
    Ext: XXXXX.[[email protected]].kharma
    Email: [email protected] or [email protected]
    VT:https://virustotal.com/gui/file/80ea514104f77b355ca6a4b8bc024f8a13370cc06d376a5ea36d9af2f05cb04c/detection
    Sample:https://app.any.run/tasks/19823d86-aa0d-4e3c-87f7-16270c003683/
    +
    safety:
    ".abc" - [email protected] - r/n:FILES ENCRYPTED.txt; info.hta
    VT: https://www.virustotal.com/gui/file/ded0bf44a335e57387902f0ef102f95eefed714bbcfb2434847c8cd24f222813/detection
    HA: https://www.hybrid-analysis.com/sample/ded0bf44a335e57387902f0ef102f95eefed714bbcfb2434847c8cd24f222813/5dd577d5cfe28a634f06dcfe
    ANYRUN: https://app.any.run/tasks/05a4b9a0-4b4d-4dc7-b41d-2fe9c1f12eb1
    #CrySiS #Dharma #ransomware
    +
    Amigo_A_:
    New variant of #Dharma #Ransomware
    https://id-ransomware.blogspot.ru/2016/11/dharma-ransomware.html
    Ext: ".2048"
    Note: FILES ENCRYPTED.txt
    Emails: [email protected], [email protected]
    +
    Jakub Kroustek:
    '.ROGER' - '[email protected]' - https://virustotal.com/gui/file/82ba384a75fbfc0dd1745b0abf08e04b976a13fdc39cbc6277219bb6273bf6ec/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.bitx' - '[email protected]' - https://virustotal.com/gui/file/3c74ec2e7d5c4212ee79734c0076505a2c48c153bef5b79b10bdac8f1542845e/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.IMI' - '[email protected]' - https://virustotal.com/gui/file/bd3f59f207c7f0dcec8fa308ffaf711673a04505b88045b254ce1aba3bba9e92/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.asd' - '[email protected]' - https://virustotal.com/gui/file/64e78fba999a79f1de37b581bf25b43e05cf35b2999fa4e7a60056aba357d6c7/
    #CrySiS #Dharma #ransomware

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd
  • отредактировано November 2019 PM
    A new version of the MegaCortex Ransomware has been discovered that not only encrypts your files, but now changes the logged in user's password and threatens to publish the victim's files if they do not pay the ransom.

    For those not familiar with MegaCortex, it is a targeted ransomware installed through network access provided by trojans such as Emotet. Once the MegaCortex actors gain access, they then push the ransomware out to machines on the network via an active directory controller or post-exploitation kits.

    Обнаружена новая версия MegaCortex Ransomware, которая не только шифрует ваши файлы, но и изменяет пароль пользователя, вошедшего в систему, и угрожает опубликовать файлы жертвы, если они не заплатят выкуп.

    Для тех, кто не знаком с MegaCortex, это целевая программа-вымогатель, устанавливаемая через сетевой доступ, предоставляемый троянами, такими как Emotet. Как только субъекты MegaCortex получают доступ, они затем распространяют вымогателей на компьютеры в сети с помощью активного контроллера домена или через комплект эксплойтов.

    MegaCortex теперь настроит официальное уведомление на зашифрованном компьютере так, чтобы оно отображало основное выкупное сообщение «Locked by MegaCortex» с контактами электронной почты, прежде чем пользователь даже войдет в систему.

    MegaCortex меняет пароль жертвы в Windows


    Разработчики вымогателей нередко делают угрозы, которые не осуществляются, чтобы напугать жертв до уплаты.

    в записке с требованием о выкупе указано, что учетные данные жертвы были изменены,

    «Все ваши учетные данные были изменены, а ваши файлы зашифрованы».

    После тестирования вымогателей и перезагрузки зашифрованного компьютера обнаружено что нет возможности войти в свою учетную запись.

    Дальнейший анализ кода Kremez подтвердил, что MegaCortex действительно меняет пароль для учетной записи Windows жертвы.

    https://www.bleepingcomputer.com/news/security/new-megacortex-ransomware-changes-windows-passwords-threatens-to-publish-data/
  • thyrex:
    New #Cryakl #Ransomware now adds to filename [CS 1.7.0.1][[email protected]].xxx, xxx - random extension
  • отредактировано November 2019 PM
    Как атакуют шифраторы? Что защитники должны знать о наиболее распространенных и постоянных семействах вредоносных программ? Поведение вымогателей - это его ахиллесова пята, поэтому Sophos тратит так много времени на его изучение. В этом отчете мы собрали некоторые из поведенческих моделей десяти наиболее распространенных, разрушительных и постоянных вымогателей. Наша цель состоит в том, чтобы дать операторам безопасности руководство по пониманию основных моделей поведения....

    9yobnhkaqjwa.jpg


    Code signing/Подписание кода
    Злоумышленники могут попытаться свести к минимуму обнаружение, подписав свое вымогатель с законным сертификатом аутентификации, что может помочь вымогателю избежать обнаружения неподписанного кода некоторыми инструментами безопасности программного обеспечения. Однако этот подход сопряжен с некоторыми рисками. Чтобы приобрести сертификат для подписи кода Authenticode, вам необходимо купить (или украсть) сертификат, а также предоставить платежную и контактную информацию. Это означает, что обнаружение может привести не только к отзыву сертификата (и все вредоносные программы, подписанные с ним, должны быть помещены в карантин), но, возможно, к идентификации злоумышленников за вымогателями.
    Privilege escalation/Повышение привилегий
    Ограничение прав доступа к данным является основной практикой безопасности, но, к сожалению, все более и более неэффективной. Существует ряд эксплойтов, которые позволяют злоумышленникам повышать привилегии и злоупотреблять похищенными учетными данными администратора независимо от прав доступа скомпрометированного пользователя.

    Примеры включают в себя печально известный эксплойт EternalBlue, используемый WannaCry, а также эксплойт для запроса контроля доступа пользователей (UAC), который позволяет запускать любые вымогатели с повышенными привилегиями. Есть и такие, которые позволяют злоумышленникам запускать произвольный код в режиме ядра и, как следствие, устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя - независимо от привилегий вошедшего в систему пользователя.

    Lateral movement/Боковое движение
    После того, как сервер или конечная точка скомпрометированы, злоумышленники могут отключить программное обеспечение безопасности, установить средство удаленного доступа (RAT) для обеспечения гибкости и устойчивости и перейти к поиску файлов данных и серверов резервного копирования. Они могут контролировать сервер через протокол удаленного рабочего стола (RDP) и уничтожать резервные копии данных с помощью шифрования с выкупом или простого удаления, чтобы гарантировать, что жертва не сможет восстановиться. Наконец, они могут распространять вымогателей на одноранговые конечные точки и файловые серверы.

    Для этого они могут использовать надежную утилиту двойного назначения, создав сценарий, который копирует и запускает вымогателей на компьютеры. Обычно на это уходит меньше часа, и обычно это происходит ночью, когда ИТ-команда дома спит. К тому времени, когда жертва замечает, что происходит, уже слишком поздно.

    Злоумышленники также используют похищенные учетные данные или используют уязвимости в решениях удаленного мониторинга и управления (RMM), обычно используемых провайдерами управляемых услуг (MSP) для управления ИТ-инфраструктурой и / или системами конечных пользователей.

    Network first/Сеть первая
    Чтобы жертвы заплатили, вымогатель постарается зашифровать как можно больше документов, как можно быстрее, а затем усложнить, если не невозможно, восстановление более ранних или дублированных версий.

    Документы часто хранятся на локальных фиксированных и съемных дисках, а также на подключенных удаленных общих дисках. Программа-вымогатель может сначала расставить приоритеты для определенных дисков или форматов документов, чтобы обеспечить успех, прежде чем они будут обнаружены программным обеспечением для защиты конечных точек или замечены жертвами. Например, программа-вымогатель может быть запрограммирована на одновременное шифрование нескольких документов через несколько потоков, установление приоритетов для документов меньшего размера или даже запуск с атаки на документы на подключенных удаленных общих дисках.

    Важно отметить, что сами файловые серверы часто не заражены вымогателями. Угроза обычно запускается на одной или нескольких скомпрометированных конечных точках, используя учетную запись привилегированного пользователя с правами администратора для удаленной атаки на документы. Таким образом, даже если файловый сервер защищен антивирусным программным обеспечением, сама угроза фактически не работает на сервере.

    Multi-threaded/Многопоточная
    Компьютеры теперь имеют один или несколько многоядерных центральных процессоров (ЦП) с технологиями одновременной многопоточности (SMT) или Hyper-Threading (HT). Такие достижения в микропроцессорном оборудовании предлагают огромные преимущества в производительности для повседневных деловых операций, поскольку они позволяют параллельное выполнение и лучшее использование системы для повышения производительности. Некоторые вымогатели, разработанные для эффективного использования современного аппаратного обеспечения ЦП, используют эту функцию (если имеется) для распараллеливания отдельных задач. Это помогает обеспечить более быстрое (и более сильное) воздействие, прежде чем жертвы обнаружат, что они подвергаются атаке.

    File encryption and renaming/Шифрование и переименование файлов
    В зависимости от того, как он шифрует документы, вымогателей можно разделить на две группы: перезаписать и копировать.

    Перезаписать (на месте)

    Зашифрованный документ хранится на тех же секторах диска, что и исходный документ. шаги:

    1. Прочитать оригинал документа; открыт для чтения / записи
    2. Записать зашифрованную версию поверх оригинального документа
    3. Переименовать документ

    Копировать

    Зашифрованный документ хранится на свободных доступных секторах диска. шаги:

    1. Прочитать оригинал документа; открыт только для чтения
    2. Написать (создать) зашифрованную копию (с другим именем файла или расширением файла)
    3. Удалить оригинальный документ

    Encryption by proxy/Шифрование через доверенное приложение или процесс
    Некоторые вымогатели, такие как GandCrab и Sodinokibi, используют Windows PowerShell для извлечения скрипта PowerShell из Интернета, который настроен на автоматический запуск вымогателей через несколько дней, в результате чего атака кажется возникшей из ниоткуда. В этом сценарии сама атака с использованием шифрования файлов выполняется доверенным процессом Windows POWERSHELL.EXE, заставляя программное обеспечение безопасности думать, что доверяемое приложение изменяет документы. Другие вымогатели, такие как Ryuk и MegaCortex, используют аналогичный подход для шифрования документов из доверенного процесса.

    Key blob/Блок ключей.
    Чтобы восстановить зашифрованные документы, Ransomware хранит ключ, который инструмент дешифрования с закрытым ключом может использовать для восстановления ущерба. Этот блок данных добавляется, добавляется или хранится в одном или нескольких отдельных файлах, в зависимости от семейства вымогателей.
    +++
  • отредактировано November 2019 PM
    Обои.
    Для того, чтобы жертвы сразу же поняли, что произошло, и призвали их заплатить выкуп, некоторые вымогатели, такие как WannaCry и Sodinokibi, заменяют обои рабочего стола Windows сообщением, с которым сталкивается жертва.
    VSSADMIN.
    К сожалению, злоумышленники обычно удаляют теневые копии томов во время атаки с помощью утилиты Windows VSSADMIN.EXE. Эта утилита предоставляет интерфейс командной строки со службой теневого копирования томов и требует повышенных прав администратора. Злоумышленники обычно крадут или уже обладают привилегированными учетными данными или используют эксплойт для повышения привилегий. Альтернативный метод удаления теневых копий томов - через инструментарий управления Windows (WMI). Windows включает утилиту командной строки под названием WMIC.EXE для доступа к WMI, которая используется многими приложениями в качестве интерфейса сценариев. Простая блокировка или использование групповой политики для ограничения WMIC.EXE, скорее всего, нарушит некоторые повседневные задачи.

    Cipher
    Ransomware, такие как LockerGoga и MegaCortex, используют инструмент командной строки CIPHER.EXE от Microsoft®, чтобы убедиться, что жертвы вымогателей не могут восстановить удаленные документы со своих накопителей. Этот инструмент входит в состав Windows начиная с Windows 2000 и предназначен для управления законно зашифрованными данными с использованием шифрованной файловой системы (EFS). CIPHER.EXE также позволяет навсегда перезаписать (или «стереть») все удаленные данные на накопителе - это используется некоторыми вымогателями. Эта функция предназначена для повышения безопасности благодаря тому, что даже злоумышленник, получивший полный физический контроль над компьютером Windows, не сможет восстановить ранее удаленные данные. В руках злоумышленников, вымогателей, CIPHER.EXE добавляет еще большую проблему.
    BCDEdit
    Вместе с удалением резервных копий документов и других файлов, хранящихся в теневой службе томов Windows, вымогатели могут также попытаться помешать жертвам и Windows приступить к процедуре восстановления для восстановления компьютера. Для этого он использует команду Windows BCDEDIT.EXE, которая позволяет манипулировать данными конфигурации загрузки Windows (BCD). Такие вымогатели обычно устанавливают следующие параметры: 1. recoveryenabled No - отключить функцию диагностики и восстановления Windows, чтобы она больше не запускалась автоматически после третьей неудачной загрузки компьютера. bootstatuspolicy IgnoreAllFailures - игнорировать ошибки, если произошел сбой загрузки, неправильное завершение работы или ошибки контрольной точки. Компьютер попытается нормально загрузиться после возникновения ошибки
    технический отчет Sophos:
    https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf
  • отредактировано December 2019 PM
    ФБР выдает предупреждение по LockerGoga и MegaCortex Ransomware

    ФБР предупреждает частную индустрию о двух заражениях вымогателями и о том, как они атакуют сеть.

    «С января 2019 года LockerGoga Ransomware предназначался для крупных корпораций и организаций в Соединенных Штатах, Великобритании, Франции, Норвегии и Нидерландах. MegaCortex Ransomware, впервые идентифицированный в мае 2019 года, аналогичен LockerGoga. "

    Согласно предупреждению, участники LockerGoga и MegaCortex закрепятся в корпоративной сети, используя эксплойты, фишинговые атаки, инъекции SQL и украденные учетные данные для входа.

    Как только сеть взломана, субъекты угроз установят инструмент тестирования на проникновение под названием Cobalt Strike. Этот инструмент позволяет злоумышленникам развертывать «маяки» на скомпрометированном устройстве для «создания оболочек, выполнения сценариев PowerShell, повышения привилегий или запуска нового сеанса для создания прослушивания в системе жертвы».

    Когда сеть подвергается атаке, субъекты будут находиться в сети в течение нескольких месяцев, прежде чем развернуть заражение вымогателями LockerGoga или MegaCortex.

    злоумышленники в этот период, вероятно, извлекают данные, внедряют трояны, крадущие информацию, и еще больше компрометируют рабочие станции и серверы.

    После того, как в сети будет собрано что-то ценное, злоумышленники развернут заражение LockerGoga или MegaCortex, чтобы начать шифрование устройств в сети. Это создаст окончательный источник дохода для злоумышленников.

    Во время развертывания субъекты выполняют пакетный файл kill.bat или stop.bat, который завершает процессы и службы, связанные с программами безопасности, отключает функции сканирования Защитника Windows и отключает службы, связанные с безопасностью.

    Участники угрозы также будут использовать различные LOLBins и законное программное обеспечение, такое как
    7-Zip, сценарии PowerShell, wmic, nslookup, adfind.exe, mstds.exe, Mimikatz, Ntsdutil.exe и massscan.exe.

    К сожалению, оба из этих вымогателей используют безопасный алгоритм шифрования, что означает, что невозможно дешифровать их бесплатно.

    ФБР рекомендует меры предупреждения

    ФБР предлагает рекомендации по предупреждению последствий, которые владельцы бизнеса должны использовать, чтобы минимизировать свой риск для вымогателей LockerGoga и MegaCortex.
    - Самое важное предупреждение состоит в том, чтобы вы «регулярно делали резервные копии данных, сохраняли резервные копии в автономном режиме и проверяли целостность процесса резервного копирования».

    Имея работающие и проверенные резервные копии, особенно автономные, вымогатели не представляют большой угрозы, так как вы всегда можете восстановить свои данные.

    Другие меры по предупреждению включают в себя:

    - Убедитесь, что все установленное программное обеспечение и операционные системы постоянно обновляются. Это помогает предотвратить использование уязвимостей злоумышленниками.
    - Включите двухфакторную аутентификацию (2fa) и надежные пароли, чтобы блокировать фишинговые атаки, украденные учетные данные или другие компрометации при входе в систему.
    - Поскольку общедоступные серверы удаленных рабочих столов являются обычным способом для злоумышленников сначала получить доступ к сети, предприятиям следует проводить аудит журналов для всех протоколов удаленного подключения.
    - Аудит создания новых учетных записей.
    - Сканирование открытых или прослушивающих портов в сети и блокирование их доступности.
    - Отключите SMBv1, поскольку в протоколе существует множество уязвимостей и слабостей.
    - Отслеживайте изменения в Active Directory и группе администраторов организации для неавторизованных пользователей.
    - Убедитесь, что вы используете самую последнюю версию PowerShell, и удалите все старые версии.
    - «Включить ведение журнала PowerShell и отслеживать необычные команды, особенно выполнение PowerShell в кодировке Base64»

    Это руководство является достаточно общим, что оно применимо ко всем инфекциям-вымогателям и должно соблюдаться всеми организациями и даже потребителями.

    https://www.bleepingcomputer.com/news/security/fbi-issues-alert-for-lockergoga-and-megacortex-ransomware/
  • отредактировано 18 Jan PM
    + новый вариант Сryakl версия: CS 1.8.0.0
    https://virusinfo.info/showthread.php?t=224233

    readme.txt:
    send your country and ip to
    [email protected]
    name_decrypt_file:
    name_file[[email protected]][random_data (10)-(10) ].random_ext(3)

    xdh8qvyhfzoq.jpg

    +

    Albert Zsigovits:
    #Cryakl ransomware New Version {CS 1.8.0.0}
    SHA256: 7c7a469abf068c64a865a94b4c6976a7f87db646c4714eece6a17a83fcbd8a4b
    E-mails: [email protected] and [email protected]



    yv87tlnlfi90.jpg

    https://app.any.run/tasks/52d9ab51-4704-4a1e-9646-6f7936ff7963/



  • отредактировано 10 Jan PM
    Штат Ransomware в США: отчет и статистика 2019

    Первоначально этот отчет планировалось опубликовать 1 января 2020 года. Однако мы решили выпустить его немедленно из-за недавнего инцидента, в результате которого атака вымогателей могла привести к попаданию данных муниципального правительства в руки киберпреступников. Мы считаем, что это развитие повышает угрозу вымогателей до уровня кризиса, и что правительства должны действовать незамедлительно, чтобы повысить свою безопасность и снизить риски. Если этого не произойдет, вполне вероятно, что подобные инциденты также приведут к крайне секретной информации, которую правительства считают украденной и утекшей. Мы надеемся, что ранний выпуск этого отчета поможет начать дискуссии и позволит быстрее находить решения, а не позже. Эти решения крайне необходимы. Числа, содержащиеся в отчете, будут обновлены в новом году и, к сожалению, почти наверняка будут больше, чем числа, заявленные в настоящее время.
    Обновление - 23 декабря 2019 года. Сегодня Maze Group опубликовала в открытом доступе 2 ГБ данных, украденных из города Пенсакола. Мы повторяем предупреждение, сделанное выше: уровень угрозы сейчас чрезвычайно высок, и правительства должны действовать незамедлительно, чтобы повысить свою готовность и снизить риски.

    Все правительственные учреждения и другие организации, предоставляющие критические услуги, должны быть подчинены федеральным или государственным нормативам базовой безопасности и проверены на соответствие этим стандартам. Кроме того, видим, что законы и проверки не обязательно приводят к соблюдению, необходимо создать механизмы, которые позволят учреждениям выполнять эти стандарты.
    Дополнительные рекомендации: кибербезопасность сложна, и ее правильная реализация может быть сложной, особенно для небольших организаций. Небольшой муниципалитет нуждается в таком же уровне безопасности, что и крупный город, но у него меньше людских и финансовых ресурсов для его достижения. Чем меньше организация, тем сложнее задача. И что именно должны делать организации для достижения удовлетворительного уровня безопасности? Следует ли небольшому школьному округу инвестировать в ежегодное тестирование на проникновение, мониторинг безопасности сторонней сети, и то и другое, или ни одного из них? В настоящее время даже самые маленькие организации должны проводить свои собственные исследования и делать такие вызовы самостоятельно. Это и ненужная трата ресурсов, и путь к катастрофе, поскольку, очевидно, многие организации не принимают правильных решений. Следовательно, как упоминалось выше, необходимо установить базовые стандарты безопасности. Это важно не только для последовательного достижения приемлемых уровней безопасности, но и для разумного расходования средств.

    https://blog.emsisoft.com/en/34822/the-state-of-ransomware-in-the-us-report-and-statistics-2019/

  • отредактировано 3 Mar PM
    +
    Michael Gillespie:
    #Dharma #Ransomware w/ extension ".RIDIK" spotted on ID Ransomware
    +
    Raby:
    New Variant of #Dharma #Crysis #Ransomware !Ext: .XXXXXX.[[email protected]].Z9
    Email: [email protected] or [email protected]

    'Z9' [email protected] #CrySiS #Dharma #ransomware
    https://app.any.run/tasks/7129530d-e3d4-4b67-a63e-12fbb4561d67
    +
    https://forum.kasperskyclub.ru/index.php?showtopic=64562
    ".LIVE" - [email protected]
    +
    Michael Gillespie:
    #Dharma #Ransomware w/ extension ".2NEW", emails "[email protected]" + "[email protected]"
    +
    Raby:
    New Variant #Dharma (cezar Family) #Ransomware
    Ext:.NEWS mail: [email protected]
    https://www.virustotal.com/gui/file/489176967b6b7cfb372d6d70267f29d596c47b0fab876642a7b56d4eb5d76dfa/detection
    +
    https://forum.drweb.com/index.php?showtopic=332833#entry878086
    https://virusinfo.info/showthread.php?t=224323
    ext: .msh -- mail: [email protected]
    +
    https://forum.kasperskyclub.ru/index.php?showtopic=64596
    "wrar" [email protected]
    +
    https://www.bleepingcomputer.com/forums/t/712303/files-encrypted-with-id-92733654cyberuniontutaiocu/
    ext: .CU; mail: [email protected]
    +
    dnwls0719:
    ext: .rajar ; mail: [email protected]
    RansomNote: N4M7K1HN-FILES ENCRYPTED.txt
    https://app.any.run/tasks/af2f733f-e61b-429a-ac13-fab1beab12be/
    +
    dnwls0719:
    ext: .blend; mail: [email protected]
    https://www.virustotal.com/gui/file/375df8e73548aafa70bda2a15704308709f6e8ec92d0c83625fb79acca29ced8/detection
    https://app.any.run/tasks/e8270a42-a90b-4352-997d-0b0efbf7896b
    +
    Raby:
    New Variant #Dharma #Crysis #Ransomware ! Ext: .xxxxx.[[email protected]].WHY
    https://www.virustotal.com/gui/file/336ef9c220589b8fd523f2e1c436e71f31890275a4f23b879fa9919b8a58c1da/detection
    https://www.hybrid-analysis.com/sample/336ef9c220589b8fd523f2e1c436e71f31890275a4f23b879fa9919b8a58c1da?environmentId=100
    +
    ext: ".crown"; mail: [email protected]
    r/n:FILES ENCRYPTED.txt
    all your data has been locked us
    You want to return?
    write email [email protected]
    https://id-ransomware.malwarehunterteam.com/identify.php?case=4fd3b9198707c9626803f577ac176b4067443dcb
    https://www.bleepingcomputer.com/forums/t/713339/i-need-help-id-cryptolocker-i-havent-figured-it-out-yet/
    +
    dnwls0719:
    CrySis/Dharma #Ransomware
    New Extension: .id-xxxxxxxx.[[email protected]].ncov
    https://virustotal.com/gui/file/dddf7894b2e6aafa1903384759d68455c3a4a8348a7e2da3bd272555eba9bec0/detection
    https://app.any.run/tasks/634454ee-89b6-4da0-9072-38467145d794/
    +
    Jakub Kroustek:
    '.self' - '[email protected]' - https://virustotal.com/gui/file/270e465ca40ea4c7d3e561861eea25e6b552a309f7318dbad11004c8dfdd483f/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.PAY' - '[email protected]' - https://virustotal.com/gui/file/870a9f338ff52d8352c760c14a1e0a10093d1f73a0b4569f1a02136f4d3d5177/ #CrySiS #Dharma #ransomware
    +
    "qbix" --"[email protected]"
    https://www.virustotal.com/gui/file/f53ae130881ef3226139ebeed7066fcb178d388f07c111ed383ff7c37956421d/detection

    https://www.hybrid-analysis.com/sample/f53ae130881ef3226139ebeed7066fcb178d388f07c111ed383ff7c37956421d?environmentId=120
    https://app.any.run/tasks/5bd9e905-33c3-455c-b4c2-d2d244c135de
    +
    Jakub Kroustek:
    '.NcOv' - '[email protected]' - https://virustotal.com/gui/file/3bcf1fef95c81ccaa0362068645c12776a13bc35009383a3973b0b5d4ab0cbdf/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.PLEX' - '[email protected]' - https://virustotal.com/gui/file/46082f602558d2588eb9d2ab4da3efe5d5e0a7c7ef3a4812daa9b60d35fa5e63/
    #CrySiS #Dharma #ransomware
    +
    Michael Gillespie:
    #Dharma #Ransomware w/ extension ".YKUP" (email [email protected]) spotted on ID Ransomware
    +
    raby_mr:
    New Variant #Dharma (.cezar Family) #Ransomware !
    Ext: id-XXXXX.[[email protected]].8800
    Email: [email protected] or [email protected]
    Vt:https://virustotal.com/gui/file/ae56c68519963679e6d0a248598f828bf3ba788895c50fab39dffabfadcfb201/detection

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cezar/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; 2NEW; .NEWS; .msh; .wrar; .CU; .rajar; .blend; .WHY; .crown; .ncov; .self; .PAY; .NcOv; .PLEX; .YKUP; .8800

  • отредактировано 10 Jan PM
    Sodinokibi Ransomware выходит на Travelex и требует 3 миллиона долларов

    Прошло более шести дней с тех пор, как в результате кибератаки были уничтожены услуги международной компании по обмену иностранной валюты Travelex, и BleepingComputer смог подтвердить, что системы компании были заражены Sodinokibi Ransomware.

    Атака произошла 31 декабря и затронула некоторые службы Travelex. Это побудило компанию отключить все свои компьютерные системы, что означало «защитить данные и предотвратить распространение вируса».

    В результате клиенты больше не могли использовать веб-сайт или приложение для транзакций или совершать платежи с помощью кредитных или дебетовых карт в более чем 1500 магазинах по всему миру. Сотни жалоб клиентов поступили через социальные сети с момента отключения.

    Вся сеть заблокирована, файлы украдены

    3 января журнал ComputerWeekly получил инсайдерскую информацию о том, что лондонская компания по обмену иностранной валюты стала жертвой вымогателей, хотя семейство вредоносных программ оставалось неизвестным.

    Сегодня в том же выпуске новостей сообщалось, что вымогателем, использованным в атаке Travelex, является Sodinokibi.

    BleepingComputer смог самостоятельно подтвердить, что системы Travelex действительно были заражены REvil Ransomware. Нам сказали, что расширение, добавленное к некоторым зашифрованным файлам, представляет собой строку из более чем пяти случайных символов, аналогично .u3i7y74. Эта вредоносная программа обычно добавляет различные расширения к файлам, заблокированным на других компьютерных системах.
    В дополнение к записке с требованием выкупа команда Sodinokibi сообщила BleepingComputer, что они зашифровали всю сеть Travelex и скопировали более 5 ГБ персональных данных, которые включают даты рождения, номера социального страхования, информацию о карте и другие детали.

    Нам сказали, что они удалили файлы резервных копий и что выкуп потребовал 3 миллиона долларов; если не заплатить в течение семи дней (обратный отсчет, вероятно, начался 31 декабря), злоумышленники заявили, что опубликуют украденные данные.

    Travelex оставил дверь открытой

    Подробная информация о том, как произошло вторжение, в данный момент недоступна, но до инцидента Travelex использовала небезопасные службы, что могло объяснить, как злоумышленник мог проникнуть в сеть.

    Компания использует корпоративное решение Pulse Secure VPN для безопасной связи, которое было исправлено в прошлом году против «невероятно плохой» уязвимости (CVE-2019-11510), как описывает ее исследователь Кевин Бомонт в недавнем сообщении в блоге.

    В не исправленных системах «ошибка» позволяет людям без действительных имен пользователей и паролей удаленно подключаться к корпоративной сети, которую устройство должно защищать, отключать элементы многофакторной аутентификации, удаленно просматривать журналы и кэшированные пароли в виде простого текста (включая пароли учетных записей из Active Directory), "объясняет Бомонт.

    https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-hits-travelex-demands-3-million/
  • Операторы Maze Ransomware выпустили дополнительные 14 ГБ файлов, которые, по их утверждению, были украдены у одной из их жертв за неуплату вымогателей.

    В декабре (2019) операторы Maze Ransomware атаковали Southwire, производителя проводов и кабелей из Грузии, и якобы украли файлы объемом 120 ГБ, прежде чем шифровать 878 устройств в сети.

    Затем Maze потребовал $ 6 миллионов в биткойнах, или они публично выпустят украденные файлы Southwire.

    https://www.bleepingcomputer.com/news/security/maze-ransomware-publishes-14gb-of-stolen-southwire-files/
  • отредактировано 16 Jan PM
    Ryuk Ransomware использует функцию Wake-on-Lan для включения выключенных устройств в скомпрометированной сети, чтобы добиться большего успеха при их шифровании.

    Wake-on-Lan - это аппаратная функция, которая позволяет выключить или включить устройство, отправив ему специальный сетевой пакет. Это полезно для администраторов, которым может потребоваться отправить обновления на компьютер или выполнить запланированные задачи, когда он выключен.

    Согласно недавнему анализу Ryuk Ransomware, сделанному руководителем SentinelLabs Виталием Кремезом, при запуске вредоносного ПО он вызывает подпроцессы с аргументом «8 LAN».

    Если они смогут смонтировать общий ресурс, Ryuk также зашифрует диск этого удаленного компьютера.

    В разговорах с BleepingComputer Кремез заявил, что эта эволюция в тактике Рюка позволяет лучше охватить скомпрометированную сеть с одного устройства и демонстрирует навыки оператора Рюк, обходящие корпоративную сеть.

    «Именно так группа адаптировала модель вымогателей в масштабах всей сети, чтобы воздействовать на большее количество компьютеров с помощью одного заражения и путем доступа к машинам через WOL & ARP», - сказал Кремез BleepingComputer. «Это обеспечивает большую досягаемость и меньшую изоляцию и демонстрирует их опыт работы с крупными корпоративными средами».

    Чтобы смягчить эту новую функцию, администраторы должны разрешать только пакеты Wake-on-Lan с административных устройств и рабочих станций.

    Это позволило бы администраторам по-прежнему пользоваться этой функцией, добавляя при этом некоторую безопасность конечным точкам.

    В то же время это не помогает, если административная рабочая станция скомпрометирована, что часто случается при целенаправленных атаках вымогателей.


    https://www.bleepingcomputer.com/news/security/ryuk-ransomware-uses-wake-on-lan-to-encrypt-offline-devices/
  • отредактировано 24 Jan PM
    +
    Companies that get hit by ransomware aren't yet treating such security incidents as data breaches even though a wide range of sensitive records containing personal, financial, and medical information now also gets swiped before being encrypted and ransomed.

    This will most probably change in the near future, as lawmakers will take notice and will push out legislation also requiring data breach disclosures following ransomware attacks.
    Компании, которые пострадали от ransomware, еще не рассматривают такие инциденты безопасности как утечку данных, несмотря на то, что широкий спектр конфиденциальных записей, содержащих личную, финансовую и медицинскую информацию, теперь также подвергается угрозам, прежде чем быть зашифрованным и выкупленным.

    Скорее всего, это изменится в ближайшем будущем, так как законодатели примут к сведению и будут распространять законодательство, также требующее раскрытия информации о нарушениях данных после атак вымогателей.

    https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-threatens-to-publish-data-of-automotive-group/
  • Новый Ryuk Info Stealer нацелен на государственные и военные секреты
    Новая версия вредоносной программы Ryuk Stealer была усовершенствована, чтобы позволить ей красть большее количество конфиденциальных файлов, связанных с военными, правительственными, финансовыми отчетами, банковскими и другими конфиденциальными данными.

    В сентябре 2019 года мы сообщили о новом вредоносном ПО, которое включало ссылки на Ryuk Ransomware и использовалось для кражи файлов, если имя файла соответствовало определенным ключевым словам.

    Что мы действительно знаем, так это то, что вредоносное ПО нацелено на очень конкретные ключевые слова, которые могут иметь катастрофические последствия для правительств, военных операций и правоохранительных органов, если раскрыты украденные файлы.

    Новые функции, добавленные в Ryuk Stealer

    MalwareHunterTeam обнаружил новый вариант вредоносного ПО Ryuk Stealer, который добавляет новую функцию сканирования содержимого файлов и дополнительные ключевые слова, которые он нацеливает на кражу.

    В предыдущей версии Ryuk Stealer сканировал файлы компьютера на наличие документов Word (docx) и Excel (xlsx).

    Согласно Kremez, эта новая версия Stealer будет искать дополнительно семь типов файлов, связанных с исходным кодом C ++, другими типами документов Word и Excel, PDF, файлами изображений JPG и кошельками криптовалют.

    Полный список целевых расширений:
    .cpp
    .h
    .xls
    .xlsx
    .doc
    .docx
    .pdf
    wallet.dat
    .jpg

    Если файл соответствует одному из указанных выше расширений, стилер проверит содержимое файла и выяснит, не содержат ли они одно из 85 ключевых слов, перечисленных ниже.
    'personal', 'securityN-CSR10-SBEDGAR', 'spy', 'radar', 'agent', 'newswire', 'marketwired', '10-Q', 'fraud', 'hack', 'defence', 'treason', 'censored', 'bribery', 'contraband', 'operation', 'attack', 'military', 'tank', 'convict', 'scheme', 'tactical', 'Engeneering', 'explosive', 'drug', 'traitor', 'suspect', 'cyber', 'document', 'embeddedspy', 'radio', 'submarine', 'restricted', 'secret', 'balance', 'statement', 'checking', 'saving', 'routing', 'finance', 'agreement', 'SWIFT', 'IBAN', 'license', 'Compilation', 'report', 'secret', 'confident', 'hidden', 'clandestine', 'illegal', 'compromate', 'privacy', 'private', 'contract', 'concealed', 'backdoorundercover', 'clandestine', 'investigation', 'federal', 'bureau', 'government', 'security', 'unclassified', seed', 'personal', 'confident', 'mail', 'letter', 'passport', 'victim', 'court', 'NATO', 'Nato', 'scans', 'Emma', 'Liam', 'Olivia', 'Noah', 'William', 'Isabella', 'James', 'Sophia', 'Logan', 'Clearance'

    Кроме того, стилер проверит, содержит ли имя файла одно из следующих 55 ключевых слов:
    'SECURITY', 'N-CSR', '10-SB', 'EDGAR', ' spy ', 'radar', 'censored', 'agent', 'newswire', 'marketwired', '10-Q', 'fraud', 'hack', 'NATO', 'Nato', 'convictMilitary', 'military', 'submarine', 'Submarinesecret', 'Secret', 'scheme', 'tactical', 'Engeneering', 'explosive', 'drug', 'traitor', 'embeddedspy', 'radio', 'suspect', 'cyber', 'document', 'treasonrestricted', 'private', 'confident', 'important', 'pass', 'victim', 'court', 'hidden', 'bribery', 'contraband', 'operation', 'undercover', 'clandestine', 'investigation', 'federal', 'bureau', 'government', 'security', 'unclassified', 'concealed', 'newswire', 'marketwired', 'Clearance'

    Когда соответствующий документ найден, вредоносная программа загрузит его на FTP-сайт, который находится под контролем злоумышленника. Два встроенных FTP-сайта, которые в настоящее время используются вредоносной программой, отключены.

    Ориентация на конфиденциальные документы

    Как видите, целевые ключевые слова связаны с чувствительными темами для различных категорий данных, таких как:
    Banking: 'SWIFT', 'IBAN', 'balance', 'statement', 'checking', 'saving', 'routing'
    Finance: 'N-CSR', '10-SB', 'EDGAR', 'newswire', 'marketwired', '10-Q'
    Law Enforcement: 'clandestine', 'investigation', 'federal', 'bureau', 'government', 'security', 'victim', 'court'
    Military: 'NATO', 'operation', 'attack', 'spy', 'radar', 'tactical', 'tank', 'submarine'
    Personal: 'personal', 'passport', 'Emma', 'Liam, 'Olivia, 'Noah', 'William', 'Isabella', 'James', 'Sophia', 'Logan'

    https://www.bleepingcomputer.com/news/security/new-ryuk-info-stealer-targets-government-and-military-secrets/


  • отредактировано 28 Jan PM
    +
    Ragnarok Ransomware Targets Citrix ADC, Disables Windows Defender

    Было обнаружено, что новое вымогательское ПО Ragnarok используется для целенаправленных атак на непропатченные серверы Citrix ADC, уязвимые для эксплойта CVE-2019-19781.

    На прошлой неделе FireEye опубликовал отчет о новых атаках, использующих исправленную уязвимость Citrix ADC для установки нового Raganarok Ransomware в уязвимых сетях.

    Когда злоумышленники могут скомпрометировать устройство Citrix ADC, будут загружаться и выполняться различные скрипты, которые сканируют компьютеры Windows, уязвимые для уязвимости EternalBlue.

    В случае обнаружения, скрипты будут пытаться использовать устройства Windows, а в случае успеха внедрить DLL, которая загружает и устанавливает Ragnarok Ransomware на эксплуатируемое устройство.

    Исключает Россию и Китай из шифрования

    Ragnarok проверяет установленный идентификатор языка Windows и, если он совпадает с одним из следующих, не будет выполнять шифрование компьютера.
    0419 = Russia
    0423 = Belarus
    0444 = Russia
    0442 = Turkmenistan
    0422 = Ukraine
    0426 = Latvia
    043f = Kazakhstan
    042c = Azerbaijan

    В дополнение к странам СНГ Ragnarok также будет избегать шифрования жертв, у которых установлен идентификатор языка 0804 для Китая.

    Вымогатели, исключающие Россию и Китай одновременно, встречаются редко, и неизвестно, делается ли это как приманка для правоохранительных органов или вымогатели работают в обеих странах.

    Попытки отключить Защитника Windows

    Поскольку Защитник Windows от Microsoft стал надежной антивирусной программой и программой безопасности, мы обнаруживаем, что многочисленные вредоносные программы пытаются отключить или обойти его, чтобы упростить выполнение вредоносных операций.

    Это достигается путем добавления следующих групповых политик Windows, которые отключают различные параметры защиты в Защитнике Windows:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender "DisableAntiSpyware" = 1
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection "DisableRealtimeMonitoring" = 1
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection "DisableBehaviorMonitoring" = 1
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection "DisableOnAccessProtection" = 1

    Хорошей новостью является то, что если у вас включена функция защиты от несанкционированного доступа в Windows 10, эти методы не будут работать, и Windows будет просто игнорировать любые попытки обойти Защитника Windows.

    Помимо отключения Windows Defender, Ragnarok также попытается очистить теневые тома, отключить автоматическое восстановление при запуске Windows и отключить брандмауэр Windows с помощью следующих команд:
    cmd.exe /c vssadmin delete shadows /all /quiet
    cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures
    cmd.exe /c bcdedit /set {current} recoveryenabled no
    cmd.exe /c netsh advfirewall set allprofiles state off

    Довольно стандартная процедура шифрования

    Остальная часть процесса шифрования Ragnarok подобна тому, что мы видим в других инфекциях вымогателей.

    При шифровании файлов будет использоваться шифрование AES, а сгенерированный ключ будет зашифрован с помощью связанного ключа шифрования RSA. Это делает так, что только разработчики вымогателей могут расшифровать ключ шифрования жертвы.

    При сканировании файлов для шифрования Ragnarok пропускает любые файлы с расширениями ".exe", ".dll", ".sys" и ".ragnarok". Также будут пропущены любые файлы, путь которых содержит следующие строки:
    content.ie5
    \temporary internet files
    \local settings\temp
    \appdata\local\temp
    \program files
    \windows
    \programdata
    $

    https://www.bleepingcomputer.com/news/security/ragnarok-ransomware-targets-citrix-adc-disables-windows-defender/
  • отредактировано 2 Feb PM
    Как работает эксфильтрация данных?

    Эксфильтрация данных - это термин, используемый для описания несанкционированной передачи данных с компьютера.

    Чтобы отфильтровать данные, злоумышленникам сначала необходимо получить доступ к целевой сети. Некоторые из наиболее распространенных векторов атак включают в себя:

    Фишинг: злоумышленники отправляют тщательно подготовленные электронные письма определенной организации или лицу или сотрудникам организации. Злоумышленники могут притвориться кем-то, кого считают «выше подозрений», например, начальником получателя, важным клиентом или уважаемым партнером. Злоумышленники используют запоминающуюся формулировку, чтобы побудить получателя открыть вредоносное вложение электронной почты или щелкнуть ссылку в теле письма, что может побудить пользователя установить вредоносное программное обеспечение или направить пользователя на взломанный веб-сайт, который автоматически загружает вредоносное программное обеспечение. Вредоносное ПО может установить бэкдор, который позволяет злоумышленникам напрямую красть данные, или может разрешить установку дополнительных вредоносных программ, таких как клавиатурные шпионы или руткиты, которые могут помочь в дальнейшей эксфильтрации.
    Взломанный протокол удаленного рабочего стола (RDP). Разработанный Microsoft RDP - это протокол связи, который позволяет пользователям получать удаленный доступ и управлять компьютером через сетевое соединение. Злоумышленники используют широко доступные инструменты сканирования для поиска в Интернете компьютеров с диапазонами портов IP и TCP, которые используются серверами RDP (обычно это порт 3389). После определения подходящего компьютера злоумышленники пытаются получить доступ к компьютеру с помощью инструментов грубой силы, которые пытаются автоматически снова и снова входить в систему, используя миллионы комбинаций символов, чтобы угадать учетные данные для входа в систему. Как только инструмент взломает учетные данные, злоумышленники могут сделать что-либо в пределах привилегий взломанной учетной записи.
    MSP и RMM: злоумышленники обычно нацелены на программное обеспечение для удаленного мониторинга и управления, используемое поставщиками управляемых услуг. С помощью одной успешной атаки на MSP злоумышленники могут потенциально получить доступ ко всей клиентской базе MSP, что оказывает огромное давление на жертву, чтобы заплатить выкуп.

    эксфильтрация

    После того, как злоумышленник закрепился в сети, эксфильтрация данных становится относительно простым процессом.

    Стратегии эксфильтрации могут значительно различаться по объему. Злоумышленники могут украсть файлы без разбора и обработать данные позже; альтернативно, эксфильтрация может быть осторожным и избирательным процессом, при котором злоумышленники извлекают только ценные файлы.

    Тонкий подход: в зависимости от характера атаки субъекты угрозы могут попытаться избежать обнаружения систем мониторинга сети, запутывая данные, которые они крадут. Учитывая, что многие системы предотвращения потери данных полагаются на простые механизмы сопоставления с образцом для обнаружения эксфильтрации, даже простых методов шифрования может быть достаточно, чтобы избежать обнаружения. Обычные скрытые каналы эксфильтрации включают SSL / TLS, а также туннелирование протоколов и стеганографию.
    Быстрый подход: в качестве альтернативы злоумышленники могут предпочесть скорость сверх тонкости и использовать высокоскоростные каналы для кражи файлов как можно быстрее. FTP, HTTP и HTTPS являются наиболее часто используемыми каналами для эксфильтрации, поскольку трафик, передаваемый через эти соединения, часто трудно отличить от легитимного трафика. Реже могут использоваться приложения электронной почты и обмена мгновенными сообщениями. Эти каналы легко отслеживаются, но они, как правило, менее ограничены, чем другие соединения, поскольку они так часто используются для законной деловой деятельности.

    Мы ожидаем, что эксфильтрация станет все более распространенным компонентом атак вымогателей.

    Для групп вымогателей эксфильтрация данных - довольно рискованная игра. Кража файлов требует времени, пропускной способности и места на сервере. Если цель замечает, что что-то не так, они могут предпринять шаги, чтобы прервать атаку до того, как действующие лица угрозы смогут завершить как эксфильтрацию, так и шифрование.

    Методы предупреждения эксфильтрации данных

    Контентные Фильтры. Чем быстрее организация сможет обнаружить потенциальную фильтрацию, тем больше у нее шансов прервать атаку. Организациям следует развернуть фильтры контента для исходящего трафика по известным каналам эксфильтрации, таким как электронная почта, HTTP и FTP. Определенные фильтры можно настроить для управления передачей конфиденциальных данных на основе настраиваемых шаблонов данных. Когда данные, которые соответствуют шаблону данных, передаются из сети, фильтр отмечает событие и уведомляет администратора. Некоторые фильтры могут быть настроены на автоматическое прерывание передачи.

    Водяные знаки. Водяные знаки - это недостаточно используемый инструмент, который может быть полезен для обнаружения эксфильтрации и выявления потенциальных слабых мест инфраструктуры. Цифровой водяной знак - это маркер, который скрытно внедряется в файл. Маркер содержит подпись, которая может уведомить продукт глубокой проверки пакетов в режиме реального времени, когда файл будет отфильтрован. Водяные знаки сохраняются, даже если файл был скопирован и вставлен, и особенно полезны для выявления внутренних утечек в цепочке обработки данных организации.

    Информация о безопасности и управление событиями: Программное обеспечение для информации о безопасности и управления событиями может быть очень полезным для сбора данных о событиях, генерируемых инфраструктурой безопасности организации, и их объединения в централизованную платформу.

    смягчение

    Определение ответов. Многие из систем обнаружения эксфильтрации, упомянутых в предыдущем разделе, способны не только идентифицировать подозрительную активность, но и реагировать на нее.

    Принцип наименьших привилегий. Каждая организация должна применять принцип наименьших привилегий, который предусматривает, что каждый пользователь и приложение должны иметь только минимальные привилегии, необходимые для выполнения его функций.

    Выходная фильтрация. Хотя многие организации обеспокоены внешними атаками по периметру своей сети, относительно немногие фокусируются на данных, покидающих их сеть. Выходная фильтрация может быть эффективным способом ограничения исходящего трафика. С выходной фильтрацией исходящее соединение должно соответствовать определенным политикам, установленным администратором, прежде чем это будет разрешено.

    Применение политики безопасности: строгие политики безопасности не имеют смысла, если они не соблюдаются и не применяются. Ручное принудительное применение неосуществимо или неэффективно, поэтому организациям следует инвестировать в программное обеспечение для обеспечения соблюдения политик, обеспечивающее соблюдение пользователями политик безопасности. Многие решения позволяют организациям определять политику безопасности, проверять соблюдение и, в некоторых случаях, автоматически разрешать проблемы.

    Вывод

    Стратегии эксфильтрации разнообразны; для организаций это означает, что не существует универсального решения для предотвращения кражи данных. Выявление подозрительных действий на открытых и скрытых каналах, определение и применение политик безопасности, а также инвестиции в системы, которые могут разумно реагировать на обнаруженные угрозы, могут быть полезны для снижения риска эксфильтрации данных.

    https://blog.emsisoft.com/en/35235/ransomware-data-exfiltration-detection-and-mitigation-strategies/

  • отредактировано 8 Feb PM
    Маастрихтский университет (UM) сообщил, что заплатил выкуп в 30 биткойнов, запрошенный злоумышленниками, которые зашифровали некоторые из его критических систем после кибератаки, произошедшей 23 декабря 2019 года.

    UM - это университет из Нидерландов, в котором обучаются около 4500 сотрудников, 18 000 студентов и 70 000 выпускников. В течение последних двух лет он входит в 500 лучших университетов мира по пяти различным рейтинговым таблицам.

    «Часть нашей технической инфраструктуры была затронута во время атаки. Эта инфраструктура состоит из 1 647 серверов Linux и Windows и 7 307 рабочих станций», - объясняет университет в сводке по управлению отчетом об инциденте Fox-IT и ответом UM.

    «В конечном итоге атака была направлена ​​на 267 серверов домена Windows. Злоумышленник сосредоточился на шифровании файлов данных в домене Windows. Также было затронуто резервное копирование ограниченного числа систем».

    UM говорит, что все критически важные системы теперь имеют резервные копии в режиме онлайн и в автономном режиме, чтобы избежать возможного сценария полного отказа в случае другой атаки вымогателей.
    UM также сообщила, что приобрела у злоумышленников расшифровщик вымогателей, заплатив выкуп в 30 биткойнов (примерно 220 000 долларов или 220 000 евро), чтобы восстановить все зашифрованные файлы, как сообщает Reuters.

    Это позволило UM избежать необходимости восстанавливать все скомпрометированные системы с нуля, теряя все данные исследований, образования и персонала и откладывая экзамены и выплату заработной платы 4500 сотрудникам университета.

    https://www.bleepingcomputer.com/news/security/ta505-hackers-behind-maastricht-university-ransomware-attack/
  • Ransomware использует драйвер GIGABYTE для уничтожения AV-процессов
    Злоумышленники, стоящие за RobbinHood Ransomware используют уязвимый драйвер GIGABYTE для установки вредоносного и неподписанного драйвера в Windows, который используется для прекращения работы антивирусного и защитного программного обеспечения.

    При выполнении компрометации в масштабах всей сети злоумышленникам-вымогателям необходимо как можно быстрее установить исполняемый файл-вымогатель на как можно большее количество систем, чтобы его не обнаружили.

    Одной из мер защиты, которая может помешать успешной атаке, является антивирусное программное обеспечение, работающее на рабочей станции, которое удаляет исполняемый файл вымогателя перед его выполнением.

    Чтобы преодолеть это препятствие, операторы RobbinHood Ransomware используют специальный антивирусный пакет для уничтожения, который отправляется на рабочие станции, чтобы подготовить их к шифрованию.

    Использование доверенных драйверов для завершения процессов безопасности

    Большинство процессов обеспечения безопасности Windows защищены от прерывания обычными процессами и могут быть прекращены только драйверами ядра, которые имеют максимально возможное разрешение в Windows.

    Чтобы повысить безопасность Windows, Microsoft добавила политику принудительного применения подписи драйверов, которая запрещает установку драйверов ядра Windows, если они не были подписаны Microsoft.

    После отключения данной политики они могут установить пользовательский вредоносный драйвер ядра, который используется для завершения процессов антивирусного и защитного программного обеспечения.

    «В этом сценарии атаки преступники использовали драйвер Gigabyte в качестве клина, чтобы они могли загрузить второй неподписанный драйвер в Windows», - объясняется в отчете Sophos. «Затем этот второй драйвер идет на все, чтобы уничтожить процессы и файлы, принадлежащие продуктам безопасности конечных точек, минуя защиту от несанкционированного доступа, чтобы позволить вымогателям атаковать без помех».

    https://www.bleepingcomputer.com/news/security/ransomware-exploits-gigabyte-driver-to-kill-av-processes/
  • Будьте готовы к тому, что ваши данные могут быть не только зашифрованы, но и перед шифрованием скопированы на ресурс злоумышленников, с тем, чтобы оказать на вас дополнительное давление, шантажируя возможностью публикации ваших данных на сторонних ресурсах, и продажей ваших данных конкурентам, и прочим третьим лицам.
    Операторы Sodinokibi Ransomware (REvil) начали призывать своих партнеров копировать данные своих жертв перед шифрованием компьютеров, чтобы их можно было использовать в качестве рычага на новом сайте по утечке данных, который скоро будет запущен.

    Операторы Sodinokibi Ransomware - предоставляют услуги Ransomware-as-a-Service, где управляют платежным порталом и разрабатывают вымогателей, а сторонние «партнеры» распространяют вымогателей.

    Затем операторы и партнеры делятся платой за вымогателей, сделанной жертвами.
    https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-may-tip-nasdaq-on-attacks-to-hurt-stock-prices/
  • отредактировано 29 Feb PM
    Sodinokibi Ransomware публикует сообщения о предполагаемых данных компании моды Kenneth Cole

    Операторы Sodinokibi Ransomware опубликовали ссылки на скачивание файлов, содержащих, как они утверждают, финансовые и рабочие документы, а также личные данные клиентов, похищенные у гигантского американского дома моды Kenneth Cole Productions.

    Sodinokibi (также известный как REvil) - это операция Ransomware-as-a-Service, в которой операторы управляют разработкой вымогателей и порталом оплаты, используемым жертвами для выплаты выкупов, в то время как сторонние «филиалы» занимаются распространением вымогателей к системам целей.

    Когда жертвы платят, выплаты вымогателей делятся между филиалами и операторами Sodinokibi.

    Kenneth Cole - это частная фирма моды со штаб-квартирой в Нью-Йорке, основанная 38 лет назад в 1982 году и известная как «одна из самых узнаваемых компаний моды в мире».

    https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-posts-alleged-data-of-kenneth-cole-fashion-giant/
  • отредактировано 23 May PM
    Jakub Kroustek:
    '.rxx' - '[email protected]' - https://virustotal.com/gui/file/6985917d29596b66d9bbc745a13d5577110d9b0408719c5559d23dd59a9e4f0b/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.GTF' - '[email protected]' - https://virustotal.com/gui/file/109faf216a80d10e09519dbe4ec4a4711a98b92dff3bcd84d24995534d654031/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.Mark' - '[email protected]' - https://virustotal.com/gui/file/0eb5bda64ade42c24da3813f4e7d02a4e06be877223f662fdef65a9cbbd1bbaf/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.IPM' - '[email protected]' - https://virustotal.com/gui/file/4ae809a33d01626e77dcfd591902815692405d2fa1f6ae7df13ca248507e4562/
    #CrySiS #Dharma #ransomware
    +
    ".ONION" - "[[email protected]]"
    #CrySiS #Dharma #ransomware
    R/N: FILES ENCRYPTED.txt
    all your data has been locked us
    You want to return?
    write email [email protected] or [email protected]
    уже есть на российских форумах
    https://forum.esetnod32.ru/forum35/topic15792/
    вариант .ONION без расшифровки, в отличие от прежнего варианта .onion 2-3 летней давности.
    [2020.03.16 18:45:52.410] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet

    [2020.03.16 18:45:52.455] - INFO: Cleaning file [10\СМЕТА ПО ОТКРЫТОЙ СТОЯНКЕ НА 2020 ГОД.pdf.id-E0BC160B.[[email protected]].ONION]
    [2020.03.16 18:45:52.456] - INFO: Can't get key for file.
    [2020.03.16 18:45:52.457] - ERROR: Not cleaned.
    +
    Jakub Kroustek:
    '.LX' - '[email protected]' - https://virustotal.com/gui/file/5dbc57988aa0737f42f4ee1ca8c519abbbdef3df79781d2bbe19ee15b0613823/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.C-VIR' - '[email protected]' - https://virustotal.com/gui/file/e71a13f032bd6703a25524d4b036bd7c2577c1a764de4cfd0f97ab17ecc3fed3/
    #CrySiS #Dharma #ransomware
    C-VIR так же замечен на российских форумах
    https://forum.esetnod32.ru/forum35/topic15792/
    +
    Jakub Kroustek:
    '.2020' - '[email protected]' - https://virustotal.com/gui/file/5837daaf4f7cf7280ec0a749e161015c1de39b35fa26710ce7bb22e352725ed4/ #CrySiS #Dharma #ransomware
    .2020 так же замечен на российских форумах
    https://forum.esetnod32.ru/forum35/topic15792/
    +
    dnwls0719:
    ".MSPLT" - "[email protected]"
    https://www.virustotal.com/gui/file/a6f5cdcea4393f18efd48b087cd16326c220ed8968e2be920c61bd484664292f/detection
    #CrySis/#Dharma #Ransomware
    +
    dnwls0719:
    ".ccd" -"[email protected]"
    https://www.virustotal.com/gui/file/0cbb472b555d4cab454948ba900675db48b120afaedf246a14d87d970b233a43/detection
    #CrySis/#Dharma #Ransomware
    +
    ".DOP" - "[email protected]"
    #CrySis/#Dharma #Ransomware
    уже есть на российских форумах
    https://forum.esetnod32.ru/forum35/topic15792/
    +
    Jakub Kroustek:
    '.dec' - '[email protected]' - https://virustotal.com/gui/file/7a86258f5b11edacc6b32251d0815eb5581e50ae1dfda25e9e03497bb7b4da61/
    #CrySiS #Dharma #ransomware
    +
    ".VWA" - [email protected]
    #CrySiS #Dharma #ransomware
    есть на российских форумах
    https://forum.kasperskyclub.ru/index.php?showtopic=65081
    +
    Jakub Kroustek:
    '.love$' - '[email protected]' - https://virustotal.com/gui/file/e63f623808de9e745dd5b9099dbdd0c91e1522c7f003696ccc16acaea31cb633/
    #CrySiS #Dharma #ransomware
    +
    .TRAMP [email protected]
    https://app.any.run/tasks/6b4a27a9-c01b-473e-bc20-3e5a76bdeba9
    https://www.virustotal.com/gui/file/745c7e037f6cb8ba10333611f99a8fc5d845540740c7b261b5e16d7783040b30/detection
    #CrySiS #Dharma #ransomware
    есть уже на российских форумах:
    https://virusinfo.info/showthread.php?t=224887
    +
    dnwls0719:
    New Extension: .id-xxxxxxxx.[[email protected]].LOL
    Note: FILES ENCRYPTED.txt
    https://www.virustotal.com/gui/file/bd7848993faa65101624a1a64ab146288e2c71eb80c19232dfee0173348fdd8d/detection
    +
    Jakub Kroustek:
    '.0day0' - '[email protected]' - https://virustotal.com/gui/file/2d81b203a7183cc91a7b89505d56b9124abe61d035031f6ccdae83daa42e38dd/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.PHP' - '[email protected]' - https://virustotal.com/gui/file/47f3ee7506efcb56d61ff3a7e8fd402c3bbe3e40ba56ea6786c4c4ce91280e31/
    #CrySiS #Dharma #ransomware
    +
    dnwls0719:
    New Extension: .id-xxxxxxxx.[[email protected]].NET
    Note: FILES ENCRYPTED.txt
    https://www.virustotal.com/gui/file/a91157219713de5c5e716be9a4e8196e24a822cbb3367fb28887d9460bf90d30/community
    #CrySis/#Dharma #Ransomware
    +
    ".R2D2" -"[email protected]"
    https://virusinfo.info/showthread.php?t=224946
    #CrySis/#Dharma #Ransomware
    ".lab" - [email protected]
    https://forum.kasperskyclub.ru/topic/65337-расшифровать-файлы/
    #CrySis/#Dharma #Ransomware
    +
    Jakub Kroustek:
    '.BANG' - '[email protected]' - https://virustotal.com/gui/file/ee2777ebbc32213d64e8fbe210298af61e44880a15d0712d6310b1b1046b6068/
    #CrySiS #Dharma #ransomware

    dnwls0719:
    New Extension: .id-xxxxxxxx.[[email protected]].payB
    Note: FILES ENCRYPTED.txt
    Samples:
    https://virustotal.com/gui/file/3ff9b0171c038ce75606e7f5916e52b752924a1d6f093b5ab50bfd2cd57c646f/detection
    #CrySis/#Dharma #Ransomware

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cezar/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; 2NEW; .NEWS; .msh; .wrar; .CU; .rajar; .blend; .WHY; .crown; .ncov; .self; .PAY; .NcOv; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOP; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; payB
  • Ryuk Ransomware атаковали Epiq Global через инфекцию TrickBot

    Юридические службы Epiq Global отключили свои системы в субботу после развертывания программного обеспечения Ryuk Ransomware и начали шифрование устройств в своей сети.

    2 марта юридический репортер Боб Амброджи сообщил, что Epiq глобально отключил свои системы после обнаружения кибератаки.

    Это отключение затронуло их платформы e-Discovery, что сделало невозможным для юридических клиентов доступ к документам, необходимым для судебных дел и сроков исполнения.

    Позже Epiq заявил, что на них повлияла атака вымогателей, и перевел свои системы в автономный режим, чтобы сдержать угрозу.

    Атака Epiq Global началась с заражения TrickBot

    В декабре 2019 года компьютер в сети Epiq был заражен вредоносным ПО TrickBot.

    TrickBot чаще всего устанавливается трояном Emotet, который распространяется через фишинговые электронные письма.

    После установки TrickBot он будет собирать различные данные, включая пароли, файлы и файлы cookie, с скомпрометированного компьютера, а затем попытаться распространить их по всей сети для сбора дополнительных данных.

    По завершении сбора данных в сети TrickBot откроет обратную оболочку для операторов Ryuk.

    Затем актеры Ryuk получат доступ к зараженному компьютеру и начнут проводить разведку сети. Получив учетные данные администратора, они развернут вымогателей на сетевых устройствах с помощью PowerShell Empire или PSExec.

    В случае Epiq Global Ryuk был развернут в их сети утром в субботу, 29 февраля 2020 года, когда вымогатели начали шифровать файлы на зараженных компьютерах.

    https://www.bleepingcomputer.com/news/security/ryuk-ransomware-attacked-epiq-global-via-trickbot-infection/
  • отредактировано 9 Apr PM
    Еще три семейства вымогателей создали сайты, которые используются для утечки украденных данных неоплачиваемых жертв и дополнительно иллюстрируют, почему все атаки вымогателей должны рассматриваться как утечка данных.

    С тех пор, как Maze создал свой «новостной» сайт для публикации украденных данных о своих жертвах, которые решили не платить, другие игроки-вымогатели, такие как Sodinokibi / REvil, Nemty и DoppelPaymer, стали стремиться к этому.

    За последние два дня BleepingComputer узнал о еще трех семействах-вымогателях, которые уже запустили свои сайты утечки данных, которые перечислены ниже:
    Nefilim Ransomware
    CLOP Ransomware
    Sekhmet Ransomware

    https://www.bleepingcomputer.com/news/security/three-more-ransomware-families-create-sites-to-leak-stolen-data/

  • отредактировано 31 Mar PM
    Шифровальщик из аптеки
    🔻Дата рассылки: 27 марта
    🔻Тема письма: Как не заболеть коронавирусом
    🔻 Отправитель: "Аптека.ру"
    🔻 Получатели: Нефтегаз, ТЭК
    🔻Степень опасности: Malware
    🔻Функционал: Шифровальщик
    🔻Семейство: Обновленная версия шифровальщика Aurora
    CERT-GIB зафиксировал 27 марта две рассылки вируса-шифровальщика по российским нефтегазовым компаниям — в списке получателей оказались более 70 адресов. Письма, отправленные якобы от компании “Аптека.ру”, содержали презентацию “лучших средств профилактики по доступной цене” под заголовком “Дарим “вакцину” от коронавируса!”. Кроме того, отправитель письма предлагал продажу противоинфекционных масок в любых количествах. В письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри — обновленной версией шифровальщика Aurora. Домен вредоносного ресурса был зарегистрирован 25 февраля 2020 года. Загружаемый с ресурса spectrplus[.]com вредоносный архив при запуске шифрует файлы на инфицированном компьютере и добавляет им расширение .serpom. Для их расшифровки злоумышленники требуют оплату в биткойнах. Детали выкупа предлагается узнать, связавшись с отправителями через сайт в сети TOR. Примечательно, что в этой атаке злоумышленники не подделывали адреса отправителя, вместо этого использовав созвучный почтовый ящик [email protected]

    asmexkq9tssf.jpg
Войдите или Зарегистрируйтесь чтобы комментировать.