Сценарий: вы заплатили выкуп, получили инструмент дешифрования от злоумышленника и использовали его для восстановления ваших файлов ... только для того, чтобы обнаружить, что некоторые или все из них все еще зашифрованы. Именно в такой ситуации оказались некоторые компании.

Недавно мы наблюдали новую тенденцию, когда злоумышленники используют несколько разновидностей программ-вымогателей для двойного шифрования данных, чтобы еще больше усложнить процесс восстановления и повысить свои шансы на выплату.

В этом сообщении блога мы обсуждаем, как работает двойное шифрование, возможные мотивы, лежащие в основе этой тактики, и лучший способ пострадавшим организациям восстановиться после атаки с двойным шифрованием.

Метод двойного вымогательства, о котором идет речь в этой статье, возникает, когда один злоумышленник решает развернуть несколько штаммов программ-вымогателей в одной сети. Важно отметить, что это не тот тип атак с несколькими программами-вымогателями, который мы видели в прошлом, когда одна сеть взламывается несколькими злоумышленниками, что приводит к развертыванию нескольких вариантов программ-вымогателей в одной и той же сети в отдельных атаках.

  [QUOTE] Как это работает

   Больше не довольствуясь двойным вымогательством, некоторые аффилированные лица теперь предпочитают двойное шифрование данных: другими словами, развертывают более одного типа программ-вымогателей в одной сети. Например, мы видели случаи, когда аффилированные лица шифруют данные с помощью REvil и Netwalker, а также другие случаи, когда MedusaLocker и GlobeImposter использовались в тандеме. В некоторых случаях, чтобы доказать, что файлы с двойным шифрованием могут быть восстановлены при оплате спроса, филиалы предоставляют образцы расшифрованных файлов через веб-портал одной группы, когда зашифрованные файлы были отправлены им через веб-портал другой группы. Очевидно, что в этих случаях аффилированные лица поддерживали рабочие отношения с обеими группами - что не является редкостью.

   Мы видели, как стратегия двойного шифрования применяется двумя способами:

   Многоуровневое шифрование: данные шифруются с помощью программы-вымогателя A, а затем зашифрованные данные повторно шифруются с помощью программы-вымогателя B.

   Параллельное шифрование: некоторые системы зашифрованы с помощью программы-вымогателя A, а другие - с помощью программы-вымогателя B. В некоторых случаях обе системы добавляют зашифрованные файлы с одним и тем же расширением, что может еще больше усложнить восстановление.
[/QUOTE]
Почему злоумышленники используют двойное шифрование

Хотя мы не умеем читать мысли и поэтому не можем сказать наверняка, почему злоумышленники используют двойное шифрование, есть несколько очевидных объяснений:
Помешать усилиям по восстановлению

Восстановление после регулярной атаки программ-вымогателей - дорогостоящее, трудоемкое и трудоемкое занятие. Злоумышленники могут полагать, что добавление еще одного уровня шифрования к и без того сложному процессу восстановления может быть дополнительным рычагом, необходимым для того, чтобы убедить жертв платить за расшифровку, а не восстанавливать свои системы самостоятельно.
Повышенная выплата

Двойное шифрование потенциально означает двойную выплату. Злоумышленники, скорее всего, полагаются на жертв, которые не осознают, что их данные были зашифрованы дважды. В этом сценарии жертвы будут платить за удаление первого уровня шифрования только для того, чтобы обнаружить, что их файлы заблокированы вторым уровнем шифрования, который может быть удален только с дополнительным выкупом.
Более высокий шанс успешного развертывания

Злоумышленники могут использовать несколько разновидностей программ-вымогателей, чтобы повысить свои шансы на успешное развертывание. В случае, если один вариант вымогателя не работает должным образом или блокируется инструментами безопасности цели, другой вымогатель все еще может запуститься.
A / B тестирование

Также возможно, что злоумышленники используют двойное шифрование как форму A / B-тестирования, чтобы увидеть, какой вариант программы-вымогателя приводит к увеличению выплат выкупа. Результаты таких тестов могут определить, какие варианты атак отдают предпочтение в будущих атаках.
Двойное шифрование делает восстановление намного сложнее

Двойное шифрование значительно усложняет восстановление

Выплата выкупа не выводит компании из леса. Даже при использовании инструментов злоумышленников восстановление всегда затруднено, а двойное шифрование делает его еще более сложным. На самом деле, намного сложнее.

В случае однократного шифрования существует высокий риск повреждения данных либо из-за программы-вымогателя, либо из-за дешифратора злоумышленника. В случае двойного шифрования этот риск увеличивается вдвое. Кроме того, расшифровка - это трудоемкий процесс. Инструменты злоумышленников обычно не позволяют указывать папку для папок для дешифрования и вместо этого медленно сканируют всю систему. Следовательно, когда инструменты выходят из строя, что случается часто, или когда обнаруживается второй уровень шифрования, процесс дешифрования должен начинаться заново. Точно так же инструменты часто требуют ручного вмешательства, требуя присутствия каждой рабочей станции во время дешифрования и ввода команд по мере необходимости. Короче говоря, специалисты по реагированию на инциденты вынуждены переключаться между одним плохо запрограммированным инструментом и другим. А случаи двойного шифрования удваивают проблемы.

Делаем восстановление проще и быстрее

Как отмечалось выше, двойное шифрование делает восстановление еще более сложным и без соответствующих инструментов, вероятно, приведет к тому, что организации будут испытывать значительно большее время простоя.

Чтобы помочь жертвам программ-вымогателей с двойным шифрованием быстрее выздороветь, Emsisoft предлагает универсальный дешифратор, специально разработанный для обработки инцидентов, связанных с программами-вымогателями, в которых задействовано несколько вариантов. Универсальный дешифратор может отслаивать несколько уровней шифрования без необходимости использования нескольких дешифраторов, предоставляемых злоумышленником, которые часто реализованы несовершенно и иногда могут безвозвратно повредить данные в процессе дешифрования.

Универсальный дешифратор был создан для решения этих и других проблем: он безопаснее, чем инструменты, предоставляемые злоумышленником, поддерживает скрипты, поддерживает полную отчетность, избавляет от необходимости создавать резервные копии зашифрованных файлов и может сократить время восстановления на 70%.

https://blog.emsisoft.com/en/38554/psa-threat-actors-now-double-encrypting-data-with-multiple-ransomware-strains/

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE]cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; .chuk; .AHP; .lina; .TEREN; .cve; .WSHLP; .fresh; .FLYU; .gtsc; .dme; .Crypt; .259; .LCK; .kut; .SWP; .zimba; .help; .sss; .dex; .ZIN; .SUKA; .msf; .lock; .gac; .21btc; .mpr; .4help; .aol; .14x; .hub; .yoAD; .NOV; .Avaad; .crypt; .22btc; .TomLe; .word; .con30; .text; .LOTUS; .wcg; .pauq; .four; .urs; .clman; [b].ORAL; .Jessy; .ROG; .biden; .eofyd; .duk; .LAO; .pirat; .liz; .bqd2; .4o4; .ctpl; .error; .zphs; .2122; .HPJ; .bdev; .eye; .root; .rdp; .DELTA; .PARTY; .cnc; .ZIG; .xcss; .nmc; .ZEUS; .OFF; .PcS; .pause; .myday; .grej; .DT; .dance; .TOR [/b] [/QUOTE]

[B]В течение последних двух месяцев исследователи безопасности вели онлайн-битву против нового вредоносного ПО [B]BazarCall[/B], которое использует центры обработки вызовов для распространения некоторых из наиболее вредоносных вредоносных программ для Windows.[/B]

Новое вредоносное ПО было обнаружено как распространяемое центрами обработки вызовов в конце января и названо BazarCall или BazaCall, поскольку злоумышленники изначально использовали его для установки вредоносного ПО BazarLoader.

Как и многие вредоносные кампании, BazarCall начинается с фишингового электронного письма, но затем переходит к новому методу распространения - использованию телефонных колл-центров для распространения вредоносных документов Excel, которые устанавливают вредоносные программы.

Вместо того, чтобы связывать вложения с электронным письмом, электронные письма BazarCall предлагают пользователям позвонить по номеру телефона, чтобы отменить подписку, прежде чем они будут автоматически списаны. Эти центры обработки вызовов будут затем направлять пользователей на специально созданный веб-сайт для загрузки «формы отмены», устанавливающей вредоносное ПО BazarCall.

От фишинговых писем до колл-центров

[B]Все атаки BazarCall начинаются с фишингового электронного письма, нацеленного на корпоративных пользователей, в котором говорится, что бесплатная пробная версия получателя скоро истечет[/B]. Однако эти электронные письма не содержат никаких подробностей о предполагаемой подписке.

Эти электронные письма затем предлагают пользователю связаться с указанным номером телефона, если он хочет отменить подписку, прежде чем с него будет взиматься плата от 69,99 до 89,99 долларов за продление, как показано в примере фишингового письма BazarCall ниже.

[IMG WIDTH=1246 HEIGHT=757]https://www.bleepstatic.com/images/news/malware/b/bazarcaller/bazarcall-spam-example.jpg[/IMG]

Большая часть электронных писем были отправлены с указанием вымышленной компании, такие как "Medical reminder service, Inc.", 'iMed Service, Inc.', 'Blue Cart Service, Inc. . 'и' iMers, Inc. '

Во всех этих письмах используются похожие темы, такие как «Спасибо за использование бесплатной пробной версии» или «Ваш бесплатный пробный период почти закончился!» Исследователь безопасности ExecuteMalware составил более обширный список тем электронной почты, используемых в этой атаке.

Когда получатель звонит по указанному номеру телефона, он будет переведен на короткое удержание, а затем его встретит живой человек. При запросе дополнительной информации или о том, как отменить подписку, агент центра обработки вызовов запрашивает у жертвы уникальный идентификатор клиента, указанный в электронном письме.

Если указан правильный идентификатор клиента, агент колл-центра направит пользователя на поддельный веб-сайт, который выдает себя за компанию, предоставляющую медицинские услуги. Телефонный агент останется на телефоне с жертвой и направит их на страницу отмены, где им будет предложено ввести свой идентификатор клиента.

Когда пользователь вводит свой идентификационный номер клиента, веб-сайт автоматически предлагает браузеру загрузить документ Excel (xls или xlsb). Затем агент центра обработки вызовов поможет жертве открыть файл и нажать кнопку «Включить контент», чтобы активировать вредоносные макросы.

В некоторых звонках, злоумышленники просили его отключить антивирус, чтобы предотвратить обнаружение вредоносных документов.

[IMG WIDTH=1567 HEIGHT=871]https://www.bleepstatic.com/images/news/malware/b/bazarcaller/malicious-excel-document.jpg[/IMG]

Когда макросы Excel включены, вредоносная программа BazarCall загружается и запускается на компьютере жертвы.

Когда кампания BazarCall только началась, она использовалась для распространения вредоносного ПО BazarLoader, но также начала распространять TrickBot, IcedID, Gozi IFSB и другие вредоносные программы.

Эти заражения Windows особенно опасны, поскольку они обеспечивают удаленный доступ к скомпрометированным корпоративным сетям, где злоумышленники распространяются по сети, чтобы украсть данные или развернуть программы-вымогатели.

Злоумышленники используют BazarLoader и Trickbot для развертывания программ-вымогателей Ryuk или Conti, в то время как IcedID использовался в прошлом для развертывания заражений программ-вымогателей Maze и Egregor.

Благодаря усилиям исследователей служба распространения была вынуждена постоянно менять их номера телефонов и хостинговые сайты, поскольку исследователи их отключили.

К сожалению, даже благодаря совместным усилиям сообщества специалистов по кибербезопасности этот метод распространения оказался очень успешным.

Из-за метода распространения образцы вредоносных программ обычно имеют очень низкий уровень обнаружения на VirusTotal, поскольку они не распространяются публично и не обнаруживаются поставщиками антивирусов.

[B]Кроме того, судя по электронным письмам, люди попадают на эту аферу, поскольку считают, что это законные подписки, которые необходимо отменить. [/B]

https://www.bleepingcomputer.com/news/security/bazarcall-malware-uses-malicious-call-centers-to-infect-victims/

[B]REvil добавил новую возможность шифрования файлов в безопасном режиме Windows, что позволяет избежать обнаружения программным обеспечением безопасности и добиться большего успеха при шифровании файлов.
[/B]
Безопасный режим Windows - это специальный режим запуска, который позволяет пользователям запускать административные и диагностические задачи в операционной системе. В этом режиме загружается только самый минимум программного обеспечения и драйверов, необходимых для работы операционной системы.

Более того, любые установленные в Windows программы, которые настроены на автоматический запуск, не будут запускаться в безопасном режиме, если их автозапуск не настроен определенным образом.

Один из способов создать автозапуск в Windows - создать записи в следующих разделах реестра:

   [QUOTE]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\RunOnce
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­RunOnce[/QUOTE]

Ключи «Run» запускают программу каждый раз, когда вы входите в систему, а ключи «RunOnce» запускает программу только один раз, а затем удаляет запись из реестра.

Например, следующий ключ реестра автоматически запустит программу C:\Users\test\test.exe при входе в Windows.

 [QUOTE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "Startup"="C:\Users\test\test.exe"[/QUOTE]


Однако указанный выше автозапуск не запустится в безопасном режиме, если вы не добавите звездочку (*) в начало имени значения, как показано ниже:

[QUOTE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "* Startup" = "C:\Users\test\test.exe"[/QUOTE]

REvil теперь включает режим 'Safe Mode'

В новом образце вымогателя REvil, обнаруженном MalwareHunterTeam, был добавлен новый аргумент командной строки -smode, который заставляет компьютер перезагружаться в безопасном режиме перед шифрованием устройства.

Для этого REvil выполнит следующие команды, чтобы компьютер загрузился в безопасном режиме с загрузкой сетевых драйверов при следующей перезагрузке Windows.

 [QUOTE] bootcfg /raw /a /safeboot:network /id 1
   bcdedit /set {current} safeboot network[/QUOTE]


Затем он создает автозапуск «RunOnce» под названием «* franceisshit», который выполняет «bcdedit / deletevalue {current} safeboot» после того, как пользователь войдет в безопасный режим.

Наконец, программа-вымогатель выполняет принудительный перезапуск Windows, который не может быть прерван пользователем.

Непосредственно перед завершением процесса он создаст дополнительный автозапуск RunOnce под названием «AstraZeneca», возможно, в связи с недавними обсуждениями во Франции использования вакцины.

Этот автозапуск перезапустит программу-вымогатель REvil без аргумента -smode, когда следующий пользователь войдет в систему после перезагрузки устройства.

Важно помнить, что обе эти записи RunOnce будут выполнены после входа в безопасный режим и будут автоматически удалены Windows.

После перезагрузки устройство запустится в безопасном режиме с загрузкой сетевых драйверов, и пользователю будет предложено войти в Windows. После входа в систему программа-вымогатель REvil будет запущена без аргумента -smode, чтобы начать шифрование файлов на устройстве.

Windows также запустит команду «bcdedit / deletevalue {current} safeboot», настроенную ключом реестра «* AstraZeneca», чтобы компьютер мог перезагрузиться в нормальный режим после завершения работы программы-вымогателя.

Пока REvil шифрует файлы, экран безопасного режима будет пустым, но по-прежнему можно использовать Ctrl + Alt + Delete для запуска диспетчера задач Windows. Оттуда вы можете увидеть запущенный исполняемый файл, который в нашем тесте называется «smode.exe», как показано ниже.

Во время работы программа-вымогатель не позволяет пользователям запускать какие-либо программы через диспетчер задач, пока не завершит шифрование устройства.

После того, как устройство будет зашифровано, будет продолжена остальная часть последовательности загрузки, а рабочий стол будет показан с запиской о выкупе и зашифрованными файлами.

Необычный подход

Новая операция REvil в безопасном режиме немного странная, поскольку требует от пользователей входа в систему после перезапуска в безопасном режиме.

Кроме того, как только они войдут в безопасный режим, они будут представлены с пустым экраном и загрузкой дисков, поскольку программа-вымогатель шифрует устройство.

Такое поведение может привести к тому, что пользователи могут перейти в спящий режим или выключат свои компьютеры в целях безопасности.

По этой причине возможно, что злоумышленники вручную запускают новую команду безопасного режима на определенных компьютерах, таких как виртуальные машины или серверы, которые они хотят зашифровать без проблем.

[B]Независимо от причин, это еще один новый метод атаки, на который следует обратить внимание специалистам по безопасности и администраторам Windows, поскольку группы вымогателей постоянно меняют свою тактику.
[/B]
REvil - не единственная операция, использующая безопасный режим для шифрования устройств.

В 2019 году еще одна программа-вымогатель, известная как Snatch, также добавила возможность шифровать устройство в безопасном режиме с помощью службы Windows.

https://www.bleepingcomputer.com/news/security/revil-ransomware-has-a-new-windows-safe-mode-encryption-mode/

Активность майнера наблюдалась на форумах безопасности (Kasperskyclub.ru, Virusinfo.info, Cyberforum.ru) в период с февраля 2021, хотя отзывы о проблеме судя по поискам в сети пошли ранее (ноябрь-декабрь 2020г)
По отчету [URL=https://securelist.ru/ad-blocker-with-miner-included/100732/]Лаборатории Касперского на securelist.ru[/URL], активное детектирование зловредов началось с февраля 2021 года.

1.

[QUOTE] Зловред распространяется под именем adshield[.]pro и выдает себя за Windows-версию мобильного блокировщика рекламы AdShield. После того как пользователь запускает программу, она меняет настройки DNS на устройстве так, что все домены начинают разрешаться через серверы злоумышленников, которые, в свою очередь, не дают пользователям получить доступ к сайтам некоторых антивирусов, например к Malwarebytes.com.[/QUOTE]

185.201.47.42,142.4.214.15\DNS Server list

2.

[QUOTE] После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки.[/QUOTE]

C:\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
HEUR:Trojan.Win32.DNSChanger.gen
C:\WINDOWS\SYSTEM32\TASKS\ADSHIELD SCHEDULED AUTOUPDATE
"C:\Program Files (x86)\AdShield\updater.exe" -self-upgrade

3.

[QUOTE] Updater.exe скачивает с сайта transmissionbt[.]org и запускает модифицированный торрент-клиент Transmission (оригинальный дистрибутив находится по адресу transmissionbt.com). Модифицированная программа отсылает на командный сервер информацию об установке вместе с идентификатором зараженной машины и загружает с него модуль для майнинга.[/QUOTE]

Модули для майнинга состоят из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe\slack.exe\discord.exe и файла «лицензии» lic.data.

[QUOTE] ....
   \Flock\config.json
   \Flock\data.pak
   \Flock\Flock.exe
   \Flock\lic.data
   \Flock\Qt5Core.dll
   \Flock\WinRing0x64.sys
   ...[/QUOTE]

4. flock.exe запускается с помощью клиента transmission (запускаемый как служба)
C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Действительна, подписано SignPath Foundation
"C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance

5. после запуска Flock.exe расшифровывает данные из файла data.pak, содержащие файл майнера.
далее, в копию системного файла find.exe внедряется расшифрованное тело майнера.

(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\FIND.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3648], tid=3940

[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\FIND.EXE

Удовлетворяет критериям
THREADS IN PROCESSES (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [auto (0)]
FLOCK (FILTERED) (ПОЛНОЕ ИМЯ ~ \WINDOWS\SYSTEM32\FIND.EXE)(1) [filtered (0)]
FLOCK (FILTERED).NET ( ESTABLISHED ~ > 54.93.84.207:443)(1) [filtered (0)]

pid = 3076 ***\***
CmdLine "C:\ProgramData\Flock\find.exe"
Процесс создан 00:39:49 [2021.02.18]
С момента создания 00:05:25
CPU 49,85%
CPU (1 core) 797,57%
parentid = 13628
ESTABLISHED 192.168.0.98:55478 <-> 54.93.84.207:443
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=14380
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=9436
SHA1 1E44EE63BDB2CF3A6E48B521844204218A001344
MD5 AE3F3DC3ED900F2A582BAD86A764508C

Загруженные DLL НЕИЗВЕСТНЫЕ
BXSDK64.DLL C:\USERS\SHUM\APPDATA\LOCAL\TEMP

Загруженные DLL ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL C:\WINDOWS\SYSTEM32[/QUOTE]



далее, разработчиком uVS предложена новая функция (реализована в 4.11.5 и расширена в 4.11.6), которая позволила отследить, каким образом запускается Flock.exe\Slack.exe\Discord.exe
+
спасибо[B], Sandor-у [/B]за оперативно [URL=https://www.cyberforum.ru/post15308023.html]добавленный диалог[/URL]:
+
[B]Vvvyg[/B] - за скрипт экспорта журналов для анализа,
+
[B]Virus Monitoring Service Doctor Web Ltd[/B]. за поиск тела майнера в папке модулей flock

благодаря предложенной функции стало возможным отследить цепочку запуска вредоносных программ.

[QUOTE]EV_RenderedValue_0,00
Elvi51
ELVI51
277248
7264
C:\Windows\System32\find.exe
%%1937
16620
"C:\WINDOWS\system32\find.exe"
EV_RenderedValue_9,00
-
-
0
C:\ProgramData\Discord\Discord.exe
EV_RenderedValue_14,00
[/QUOTE]

К событию были добавлены следующие сведения:

[QUOTE]EV_RenderedValue_0,00
ELVI51$
WORKGROUP
999
16620
C:\ProgramData\Discord\Discord.exe
%%1937
1400
C:\ProgramData\Discord\Discord.exe --min
EV_RenderedValue_9,00
Elvi51
ELVI51
277248
C:\Windows\System32\svchost.exe
EV_RenderedValue_14,00[/QUOTE]

по образу из uVS видим что Discord.exe запускается через задачу:

[QUOTE]Полное имя C:\PROGRAMDATA\DISCORD\DISCORD.EXE
Сигнатура Trojan.Win64.Miner.gen [Kaspersky] (delall) [глубина совпадения 33(58), необх. минимум 30, максимум 64] 2021-02-28

SHA1 397F3E0FD803DA50EC667C1161E57CDC242400C3
MD5 07D8343249A56EEBF2B1A8B944C217A3

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\DISCORDCHECK_4.JOB
Значение "C:\ProgramData\Discord\Discord.exe" --min[/QUOTE]

[QUOTE]4.11.5 o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы.[/QUOTE]

Полное имя C:\PROGRAMDATA\SLACK\SLACK.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Создан 08.03.2021 в 09:52:29
Изменен 08.03.2021 в 11:17:11

Доп. информация на момент обновления списка
pid = 13816 *****\****
Процесс создан 11:17:35 [2021.03.08]
Процесс завершен 11:18:28 [2021.03.08]
parentid = 1684 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 9C44709D620DF76174B6E268DADA1256FA3BA007
MD5 C7988D4AE969D11D9ABBAFC8CE0C5CA2

pid = 1684 NT AUTHORITY\СИСТЕМА
CmdLine C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
Процесс создан 11:16:52 [2021.03.08]

+
[QUOTE]4.11.6 o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса,
pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.[/QUOTE]

Операторы программ-вымогателей придумали еще один хитрый поворот в недавней тенденции к краже данных. После опроса нескольких жертв программы-вымогателя Clop, издание ZDNet обнаружил, что ее операторы систематически атакуют рабочие станции руководителей.

Если эта тактика сработает, а возможно, и другие семейства программ-вымогателей последуют ее примеру, точно так же, как они копировали другие успешные тактики в прошлом.

Что такое программа-вымогатель Clop?

Clop был впервые замечен в феврале 2019 года как новый вариант в семействе Cryptomix, но с тех пор он пошел по собственному пути развития. В октябре 2020 года он стал первым вымогателем, потребовавшим выкуп в размере более 20 миллионов долларов. Жертва, немецкая технологическая фирма Software AG, отказалась платить. В ответ операторы Clop опубликовали конфиденциальную информацию, собранную ими во время атаки, на Dark Web-е.

[IMG WIDTH=600 HEIGHT=488]https://blog.malwarebytes.com/wp-content/uploads/2021/02/6471dc0f-9ba1-41f3-bcc0-cc6ae2acc5d0-600x488.jpg[/IMG]

Тактика подражания

Нацеленность Клопа на руководителей - лишь последнее в списке нововведений, свидетелями которых мы стали за последние пару лет.

Давайте кратко рассмотрим некоторые из этих инноваций, от технических приемов до продвинутой социальной инженерии.

Целевые атаки

Большинство успешных семейств программ-вымогателей перешли к целевым атакам. Вместо того, чтобы пытаться зашифровать множество отдельных компьютеров с помощью вредоносных почтовых кампаний, злоумышленники вручную взламывают корпоративные сети и пытаются нанести ущерб целым организациям.

Злоумышленник обычно получает доступ к сети жертвы, используя известные уязвимости или пытаясь подобрать пароль на открытом порте RDP. Как только они получат доступ, они, вероятно, попытаются повысить свои привилегии, исследовать сеть, удалить резервные копии и распространить свои программы-вымогатели на как можно большем количестве машин.

Кража данных

Одним из последних дополнений к арсеналу программ-вымогателей является кража данных. В процессе проникновения в сеть жертвы и шифрования ее компьютеров некоторые банды вымогателей также извлекают данные с зараженных ими машин. Затем они угрожают опубликовать данные на веб-сайте или продать их с аукциона. Это дает злоумышленникам дополнительные рычаги воздействия на жертв, которые не платят или не должны платить за расшифровку своих данных.

Этот дополнительный поворот был введен Ransom.Maze, но также используется Egregor и Ransom.Clop, как мы упоминали выше.

Скрытие внутри виртуальных машин

Я предупреждал вас о технических новинках. Этот выделяется среди них. Как упоминалось в нашем отчете о состоянии вредоносного ПО за 2021 год, банда вымогателей RagnarLocker нашла новый способ шифрования файлов на конечной точке, избегая при этом защиты от программ-вымогателей.

Операторы программы-вымогателя загружают образ виртуальной машины (ВМ), загружают его в автоматическом режиме, а затем запускают внутри него программу-вымогатель, где программа защиты конечных точек не может его увидеть. Программа-вымогатель получает доступ к файлам в хост-системе через «общие папки» гостевой машины.

Шифрование виртуальных жестких дисков

В отчете о состоянии вредоносного ПО за 2021 год также упоминается программа-вымогатель RegretLocker, которая нашла способ обойти шифрование виртуальных жестких дисков (VHD). Эти файлы представляют собой огромные архивы, в которых хранится жесткий диск виртуальной машины. Если злоумышленник захочет зашифровать VHD, он перенесет мучительно медленный процесс (и каждая секунда на счету, когда вы пытаетесь не попасться) из-за размера этих файлов.

RegretLocker использует уловку для «монтирования» виртуальных жестких дисков, чтобы они были так же легко доступны, как и физический жесткий диск. Как только это будет сделано, программа-вымогатель сможет получить доступ к файлам внутри VHD и зашифровать их по отдельности, украсть или удалить. Это более быстрый метод шифрования, чем попытка нацеливания на весь файл VHD.

Нарушение безопасности и обнаружения

Программы-вымогатели также улучшают способность избегать обнаружения и отключать существующее программное обеспечение безопасности. Например, программа-вымогатель Clop останавливает 663 процесса Windows (что является огромным количеством) и пытается отключить или удалить несколько программ безопасности, прежде чем запустить процедуру шифрования.

Остановка этих процессов освобождает некоторые файлы, которые иначе нельзя было бы зашифровать, потому что они были бы заблокированы. Это также снижает вероятность срабатывания предупреждения и может препятствовать созданию новых резервных копий.

Что дальше?

Еще неизвестно, будет ли новая тактика Clop скопирована другими семействами программ-вымогателей или как она может развиваться.

Было высказано предположение, что тактика угроз утечки эксфильтрованных данных снизила ожидания некоторых жертв о том, что выплата выкупа положит конец их неприятностям. Конкретный таргетинг на данные руководителей может быть способом исправить это за счет усиления давления на жертв.

Clop или его подражатель может также попытаться использовать информацию, найденную на машинах менеджеров, для распространения в другие организации. Рассмотрим, например, метод, известный как захват цепочки электронных писем, который использует существующие электронные письма (и, следовательно, доверительные отношения) для распространения среди новых жертв. Или информация может быть продана злоумышленникам, специализирующимся на взломе деловой электронной почты (BEC).

Для заинтересованных, IOC и другие технические подробности о Clop можно найти в профиле обнаружения[URL=https://blog.malwarebytes.com/detections/ransom-clop/] Ransom.Clop[/URL].

https://blog.malwarebytes.com/malwarebytes-news/2021/02/clop-targets-execs-ransomware-tactics-get-another-new-twist/

по расширению: .repter нет расшифровки.
https://id-ransomware.blogspot.com/2020/06/fonixcrypter.html
---------

2020 год запомнится как один из самых сложных и трагических лет, с которыми человечество столкнулось в наше время. Глобальная пандемия изменила то, как мы живем и работаем, невероятным образом, возможно, навсегда.

Это также резко изменило ландшафт кибербезопасности. ФБР сообщило о 300-процентном росте киберпреступности в первом квартале того же года, а количество и стоимость атак с использованием программ-вымогателей выросли с беспрецедентной скоростью. Только в декабре 2020 года было зарегистрировано почти тридцать атак, включая печально известное требование на 34 миллиона долларов, которое было предъявлено электронному гиганту Foxconn.

[B]Одна из основных причин быстрого роста числа этих атак - переход от безопасных офисных помещений к менее безопасным удаленным рабочим средам.[/B] До глобальной пандемии менее 4 процентов населения работали из дома. Однако джинн вышел из бутылки, и пути назад нет. Поэтому неудивительно, что недавний опрос Gallup показал, что 82 процента руководителей предприятий планируют более активно работать на дому (WFH) и после пандемии.

В то время как многие организации могут извлечь выгоду из более широкого выбора кандидатов на работу и снижения затрат на обслуживание и оборудование, для специалистов по безопасности среда работы на дому расширяет поверхность атаки, которую они должны защищать, и увеличивает риски фишинга, вредоносных программ и программ-вымогателей.

[B]Целью сегодняшних организованных и изощренных киберпреступников, таких как те, что управляют Maze или Ryuk, является не отдельный компьютер, а вся сеть организации.[/B] Большинство всех атак программ-вымогателей получают доступ к сети жертвы с помощью «черного хода», который использует слабые места в программном обеспечении протокола удаленного рабочего стола (RDP) или способах его развертывания.

Об угрозе брутфорса RDP [URL=https://blog.malwarebytes.com/exploits-and-vulnerabilities/2020/10/brute-force-attacks-increasing/][B]было много сообщений,[/B][/URL] и защита RDP была обязательной в течение нескольких лет, и тем не менее эти атаки продолжают приносить успех. Правда в том, что просто посоветовать людям усилить RDP недостаточно быстро. Защита от грубой силы должна быть больше, чем просто еще один пункт в постоянно растущем списке задач перегруженного работой системного администратора. Вместо этого нам нужно увидеть грубое форсирование RDP для того, что это такое, проблема обнаружения и ответа конечной точки (EDR), и обработать ее там.

Менее широко освещаются уязвимости, которые продолжают обнаруживаться в популярном программном обеспечении RDP. В 2020 году исследователи безопасности обнаружили двадцать пять уязвимостей в некоторых из самых популярных клиентов RDP, используемых предприятиями. К ним относятся:

[QUOTE]FreeRDP, самый популярный клиент RDP с открытым исходным кодом на Github.
Встроенный клиент RDP от Microsoft с исполняемым файлом mstsc.exe
Rdesktop, еще один клиент RDP с открытым исходным кодом и клиент RDP по умолчанию в дистрибутивах Kali Linux[/QUOTE]

Многие специалисты по безопасности могут не знать об обратных уязвимостях RDP, которые могут повлиять на удаленную машину, а не на хост, к которому подключен пользователь. Кропотливая работа по инвентаризации и исправлению ошибок остается как никогда важной.

https://blog.malwarebytes.com/malwarebytes-news/2021/02/rdp-the-ransomware-problem-that-wont-go-away/

[B]Version 8.0.2028.0[/B]

   Important: During upgrade from earlier versions, an immediate reboot is required to allow real-time file-system protection to reinitialize and become fully functional
   Added: Secure browser
   Added: Windows Management Instrumentation and full Registry scan
   Added: Automatic security & stability updates
   Added: Unified exclusions for Network attack protection components (IDS)
   Added: Micro Program Component Update with auto-preset and feature updates
   Added: ESET PROTECT Cloud version 8.0 compatibility
   Added: Windows 10 October 2020 Update (version 20H2) compatibility
   Fixed: ESET Security Management Center (ESMC) alert section entries are not displayed correctly when a Secure browser is paused
   Fixed: Problems with header and columns alignment in table arrays
   Fixed: Cyclic displaying of "Computer restart required" after operating system reboot
   Fixed: Windows Installer (msiexec.exe) allows uninstallation of 32-bit product variant without password under certain circumstances
   Changed: Removed DNS-fallback channel for background cloud services

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:


[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; .chuk; .AHP; .lina; .TEREN; .cve; .WSHLP; .fresh; .FLYU; .gtsc; .dme; .Crypt; .259; .LCK; .kut; .SWP; .zimba; .help; .sss; .dex; .ZIN; .SUKA; .msf; .lock; .gac; .21btc; .mpr; .4help; [b].aol; .14x; .hub; .yoAD; .NOV; .Avaad; .crypt; .22btc; .TomLe; .word; .con30; .text; .LOTUS; .wcg; .pauq; .four; .urs; .clman[/b] [/QUOTE]