Шифровирусы шумной толпою...

1235»

Комментарии

  • отредактировано 21 мая PM
    ProLock ransomware.

    Несмотря на недолгое время, ProLock уже завоевал популярность, ориентируясь на финансовые, медицинские, государственные и розничные организации. Первая крупная атака группы, о которой мы знаем, по крайней мере, произошла в конце апреля, когда они успешно атаковали Diebold Nixdorf - одного из основных поставщиков банкоматов.

    Начальный доступ
    Операторы ProLock использовали два основных вектора начального доступа: QakBot (Qbot) и незащищенные протоколы удаленного рабочего стола (RDP) со слабыми учетными данными.

    Как правило, QakBot распространяется через фишинговые кампании. Фишинговые электронные письма могут содержать вложения документов Microsoft Office, находящихся под оружием, или просто ссылки на такие документы, которые находятся в облачном хранилище - например, Microsoft OneDrive.

    выполнение
    После того, как жертва загрузит и откроет зараженный документ, и вредоносные макросы будут включены, PowerShell запускается и используется для загрузки и запуска полезной нагрузки QakBot с сервера C2.

    В случае доступа RDP действительные учетные записи используются для обеспечения устойчивости в сети

    Уклонение от защиты:
    У QBot есть хитрый трюк, позволяющий избежать обнаружения: он проверяет наличие самой новой версии и заменяет текущую версию новой. Исполняемые файлы подписываются украденной или поддельной подписью. Начальная полезная нагрузка, загруженная PowerShell, сохраняется на сервере с расширением PNG. Более того, после выполнения он заменяется легитимным файлом calc.exe.

    Чтобы избежать обнаружения, QakBot также использует explorer.exe для выполнения метода внедрения процесса.

    Как уже упоминалось, полезная нагрузка ProLock скрыта внутри файла BMP или JPG и может также рассматриваться как метод уклонения от защиты.

    Доступ к учетным данным
    QakBot обладает возможностями кейлогера, но также может загружать и запускать дополнительные сценарии, такие как Invoke-Mimikatz, версия пресловутого Mimikatz для PowerShell. Это позволяет противнику использовать метод сброса учетных данных.

    открытие
    После получения привилегированных учетных данных операторы ProLock начинают операции по обнаружению сети. Они включают, но не ограничиваются ими, сканирование портов и разведку Active Directory.

    В дополнение к широкому спектру сценариев злоумышленники используют AdFind - еще один популярный инструмент, используемый многими группами вымогателей - для запросов к Active Directory.

    Боковое движение
    Многие противники предпочитают RDP для бокового перемещения по сетям, и ProLock не является исключением. Злоумышленники имеют в своем арсенале пакетные сценарии для обеспечения доступа RDP на целевых хостах

    Для удаленного выполнения сценариев операторы ProLock используют PsExec из Sysinternals Suite, еще одного распространенного инструмента.

    Для запуска ProLock на хостах злоумышленники использовали WMIC - интерфейс командной строки для инструментария управления Windows - который также становится все более популярным среди операторов вымогателей.
    Коллекция
    Как и многие другие группы, операторы ProLock собирают данные из скомпрометированных сетей, чтобы повысить свои шансы на удовлетворение своих требований о выкупе. До эксфильтрации собранные данные архивируются с помощью 7Zip.

    эксфильтрации
    Для эксфильтрации операторы ProLock используют Rclone, инструмент командной строки, способный синхронизировать файлы с различными поставщиками облачного хранилища, такими как OneDrive, Google Drive, Mega и т. д.

    Влияние
    После фильтрации данных группа развертывает ProLock в масштабах всего предприятия. PowerShell используется для извлечения двоичного файла из файла PNG или JPG и вставки его в память

    ProLock убивает процессы из встроенного списка (что интересно, он использует только шесть букв из имени процесса, например «winwor») и останавливает службы, в том числе связанные с безопасностью, такие как CSFalconService (CrowdStrike Falcon), с помощью команды net stop.

    Затем, как и многие другие семейства вымогателей, он использует vssadmin для удаления теневых копий томов и ограничения их размера, поэтому новые копии не создаются

    ProLock добавляет расширение .proLock, .pr0Lock или .proL0ck к каждому зашифрованному файлу и помещает [HOW TO RECOVER FILES]].TXT в каждую папку - файл с инструкциями о том, как расшифровать файлы, включая ссылку на сайт, где находится жертва необходимо ввести уникальный идентификатор и получить информацию об оплате

    Каждый образец ProLock имеет встроенную сумму выкупа - в данном случае это было 35 биткойнов, или примерно 312 000 долларов.

    https://www.group-ib.com/blog/prolock

    статья в русской редакции на Хабре:
    https://habr.com/ru/company/group-ib/blog/502770/


  • отредактировано 1 июн PM
    Список вымогателей, которые открывают в публичный доступ украденные файлы, если им не заплатили

    AKO Ransomware начал работать в январе 2020 года, когда они начали ориентироваться на корпоративные сети с открытыми службами удаленных рабочих столов.

    CL0P начинался как вариант CryptoMix и вскоре стал выбором вымогателей для группы APT, известной как TA505.

    DoppelPaymer Ransomware
    В июле 2019 года появилось новое вымогательское ПО, которое выглядело и действовало так же, как другое вымогательское ПО под названием BitPaymer.

    Maze Ransomware впервые применил новую тактику кражи файлов и использовании их в качестве рычага, чтобы заставить жертву заплатить.

    Nemty Ransomware
    Первоначально запущенный в январе 2019 года как Ransomware-as-a-Service (RaaS) под названием JSWorm, вымогатель переименовал его в Nemty в августе 2019 года.

    Nephilim Ransomware
    30 марта оператор Nemty Ransomware начал создавать новую группу филиалов для частного Ransomware-as-a-Service под названием Nephilim.

    Netwalker Ransomware
    Начиная с вымогателей Mailto в октябре 2019 года, вымогатели переименовали в Netwalker в феврале 2020 года.

    Pysa впервые появилась в октябре 2019 года, когда компании начали сообщать о том, что новое программное обеспечение вымогателей зашифровало их серверы.

    Впервые увиденный в феврале 2020 года, Ragnar Locker был первым, кто в значительной степени нацелился и завершил процессы, используемые провайдерами управляемых услуг (MSP).

    Sodinokibi вступил в строй в апреле 2019 года и считается преемником GandCrab, который прекратил свою деятельность по вымогательству в 2019 году.

    Sekhmet появился в марте 2020 года, когда он начал ориентироваться на корпоративные сети.

    Работая с конца 2018 года, Snatch был одним из первых вымогателей, которые украли данные и угрожали их опубликовать.

    CryLock Ransomware
    Работая с 2014/2015, вымогателей, известных как Cryakl, в этом году переименовали в CryLock.
    В рамках ребрендинга они также начали кражу данных у компаний перед тем, как зашифровать их файлы и публикуют их, если не заплатили.

    ProLock Ransomware начал свою деятельность как PwndLcker в 2019 году, когда они начали ориентироваться на корпоративные сети с требованиями выкупа в диапазоне от 175 000 до более 660 000 долларов.

    Snake Ransomware начал работать в начале января 2020 года, когда они начали атаковать предприятия в рамках сетевых атак.

    https://www.bleepingcomputer.com/news/security/list-of-ransomware-that-leaks-victims-stolen-files-if-not-paid/
  • отредактировано 31 июл PM
    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

    Jakub Kroustek:
    '.space' - '[email protected]' - https://virustotal.com/gui/file/23af9527da7eabdac8ebb7449ce6f23811bcf1ce5eae02ca10ac032eb423631d/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.BOMBO' - '[email protected]' - https://virustotal.com/gui/file/307077d1a3fd2b53b94d88268e31b0b89b8c0c2ee9dbb46041d3e2395243f1b3/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.ONE' - '[email protected]' - https://virustotal.com/gui/file/7cb8e9a8ccf5e5637c8d44db52b9b56bcd4e8c01b19613fe85100bb71594724a/
    #CrySiS #Dharma #ransomware
    +
    ".act" - [email protected]
    https://forum.kasperskyclub.ru/topic/65378-shifrovalschik-activecryptaolcomact/
    #CrySiS #Dharma #ransomware
    +
    ".pgp" - [email protected]
    https://www.virustotal.com/gui/file/2f2e75affe9217c7211043936678fb1777e2db4a8f1986b8805ddb1e84e9e99b/detection
    https://virusinfo.info/showthread.php?t=225136
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.FRM' - '[email protected]' - https://virustotal.com/gui/file/0c3a489f631231d4957834ff8c3d1053e920689a342ea333709793d0dc0163de/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.wch' - '[email protected]' - https://virustotal.com/gui/file/40321e5854a892e30534117fe34462d5a3c3077ec7ae77eddb57f0048f0fc32e/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.club' - '[email protected]' - https://virustotal.com/gui/file/d4de6368b64c3ce141ef9125963164eb47ec1192bdf4352c41912882e14fd8f8/
    #CrySiS #Dharma #ransomware
    +
    ".dr" - [email protected]
    https://forum.kasperskyclub.ru/topic/65561-shifrovalschik-drdecryptaolcom/
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.hack' - '[email protected]' - https://virustotal.com/gui/file/969055343b00f8e40a76a93d22082d94a70bcb3a0277282c71024478c89bea3d/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.HCK' - '[email protected]' - https://virustotal.com/gui/file/2c37c48e249258c88a75c508cd3df9707796d7608bae86df6c47cf3f0b81200a/ #CrySiS #Dharma #ransomware (including powershell scripts)
    +
    Jakub Kroustek:
    '.r3f5s' - '[email protected]' - https://virustotal.com/gui/file/12c24d9ca6e75ffebf4c2ecdb981a53962d0a832ad3698e4d28db1208333f579/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.bad' - '[email protected]' - https://virustotal.com/gui/file/4d48d920a28ac94f75fad4006bde164d6a12595bcab78aa57af4cba65dee4474/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.hlpp' - '[email protected]' - https://virustotal.com/gui/file/48ffa796e082e31706478eeda00ef216e067e5a9ae36f0a6ecfac44264ba31dd/ #CrySiS #Dharma #ransomware
    +
    dnwls0719:
    Ext: ".base" mail: [email protected]
    R/n: FILES ENCRYPTED.txt
    https://virustotal.com/gui/file/880207fb1e6f801d59d06208b8e37271c877bea94821fbf2883c6d70558fe587/detection
    #CrySis/#Dharma #Ransomware
    +
    .HOW - [email protected]]
    https://forum.kasperskyclub.ru/topic/65681-zashifrovano-how_decryptaolcomhow/
    r/n: info.hta; FILES ENCRYPTED.txt
    +
    Jakub Kroustek:
    '.HOW' - '[email protected]' - https://virustotal.com/gui/file/aaa58c49704fd80ed8cbb39a92bb2dc923d402b40077c9c155e5f46f874db7e3/ #CrySiS #Dharma #ransomware
    +
    Michael Gillespie:
    #Dharma #Ransomware w/ extension ".team" spotted on ID Ransomware
    +
    dnwls0719:
    Ext: ".credo" mail:[email protected]
    R/n:FILES ENCRYPTED.txt
    https://virustotal.com/gui/file/a49742e72ca26d37e26962ba7f2d929b87ddb6ce07f3304f78e9af499b226281/detection
    #CrySis/#Dharma #Ransomware
    +
    Jakub Kroustek:
    '.lxhlp' - '[email protected]' - https://virustotal.com/gui/file/78c67c0dd37ebb4e984ca8bfb5d3334eef0c21f26261b12d7644dd4d030bfd88/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.NHLP' - '[email protected]' - https://virustotal.com/gui/file/7563103c40ba3557be4666680ab056de4bc23e99788183490c5f9d6c141e6d0e/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.gyga' - '[email protected]' - https://virustotal.com/gui/file/9de6a6ec09ad628c648c55914a838942b6803b1f36d4918504d47f642d7e3a4f/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.bmtf' - '[email protected]' - https://virustotal.com/gui/file/ba373b768f74378ba4403613e42ad222993057c1fbedb239fcd9bfafcef5145f/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.prnds' - '[email protected]' - https://virustotal.com/gui/file/eba0eb8da8fb574e12e48b6435ea6d3b9f849c6219356565bbb5abf1f96b40ba/ #CrySiS #Dharma #ransomware
    +
    Michael Gillespie:
    #Dharma #Ransomware w/ extension ".teamV", "[email protected]" spotted on ID Ransomware.
    +
    Jakub Kroustek:
    '.GNS' - '[email protected]' - https://virustotal.com/gui/file/4efa28ba5bd1add4623fbc93a0e544b138a7a5dc095c0df2b9b77ecddd418722/ #CrySiS #Dharma #ransomware
    +
    '.felix' - '[email protected]' - https://virustotal.com/gui/file/83ef5862fddfbf23d34e9676642f0dc8e54bd25c9d9fa0695c59d44b8f9190dd/ #CrySiS #Dharma #ransomware
    +
    '.null' - '[email protected]' - https://virustotal.com/gui/file/41503d4428d23f4b20286aa61c6bca4273aa2e02a7540ccf87514b5a930192d8/ #CrySiS #Dharma #ransomware
    +
    Michael Gillespie:
    #Dharma #Ransomware w/ extension ".smpl", email [email protected] spotted on ID Ransomware.
    +
    "'.rxx'" - "[email protected]"
    https://app.any.run/tasks/4f3d06f5-9a88-4213-bb8f-f9844ac2b14e
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    ''.data'' - '[email protected]' - https://virustotal.com/gui/file/971573155a414b5f5d6ca92d1e4126f5468ff39a4a6c91c03eb1e67ede82f2fe/ #CrySiS #Dharma #ransomware
    +
    Marcelo Rivero:
    .homer - "[email protected][.]fr"
    - Note: FILES ENCRYPTED.txt / Info.hta
    - #CrySis/#Dharma #Ransomware
    +
    Jakub Kroustek:
    '.HAT' - '[email protected]' - https://virustotal.com/gui/file/5d50101ed7891a85cdf98d9c8d5014223d5fad04d3eae6170afa2b1b00581bd5/ #CrySiS #Dharma #ransomware
    +
    Marcelo Rivero:
    '.tcprx' - '[email protected]'
    https://www.virustotal.com/gui/file/e7cb48855681fc2655c5e54a0d9ef32a62634614d19dc294d74f22c97ebe47ba/detection
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.LOG' - '[email protected]' - https://virustotal.com/gui/file/e59eb03dc810cbdb718e6b5fc087fb21b4c6e8b3a62ffe29cc6486901ff68168/ #CrySiS #Dharma #ransomware
    .cezar/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; 2NEW; .NEWS; .msh; .wrar; .CU; .rajar; .blend; .WHY; .crown; .ncov; .self; .PAY; .NcOv; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOP; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG
  • Новое вымогательское ПО CryCryptor предназначалось для пользователей Android в Канаде и распространяется через два веб-сайта под видом официального приложения для отслеживания COVID-19, предоставленного Health Canada. Исследователи ESET проанализировали вымогателей и создали инструмент дешифрования для жертв.

    CryCryptor появился всего через несколько дней после того, как канадское правительство официально объявило о своем намерении поддержать разработку общенационального приложения для добровольного отслеживания под названием COVID Alert. Официальное приложение должно быть запущено для тестирования в провинции Онтарио уже в следующем месяце.

    ESET проинформировал Канадский центр кибербезопасности об этой угрозе, как только она была выявлена.

    https://www.welivesecurity.com/2020/06/24/new-ransomware-uses-covid19-tracing-guise-target-canada-eset-decryptor/
  • отредактировано 2 авг PM
    +
    thyrex:
    #WannaCash 2.0 #Ransomware from August 1, 2020
    Changes filename to [number] Файл зашифрован. Пиши. [ Почта [email protected] ] .WANNACASH v010820
    Email: [email protected]
    Reserved email: [email protected]

  • отредактировано 10 авг PM
    Marcelo Rivero
    '.1dec' - '[email protected]'
    https://www.virustotal.com/gui/file/47e569fe14acf461ed5ef997b31ce8d8981aebafce5f83753636ee37555b46e4/detection
    #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.xati' - '[email protected]' - https://virustotal.com/gui/file/bd119855b3c70a15b81bd76949560049e36578a2bf89a9ca7d85c62ab560d231/ #CrySiS #Dharma #ransomware
    +
    Jakub Kroustek:
    '.GET' - '[email protected]' - https://virustotal.com/gui/file/dd0becfddf23e1ce3ba0d2e14860775ef018da3b6f5ae93cc2afea0e137918c1/ #CrySiS #Dharma #ransomware

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cezar/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; 2NEW; .NEWS; .msh; .wrar; .CU; .rajar; .blend; .WHY; .crown; .ncov; .self; .PAY; .NcOv; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOP; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET
Войдите или Зарегистрируйтесь чтобы комментировать.