ThunderX изменил свое название на Ranzy Locker и запустил сайт утечки данных, где стыдят жертв, не платящих выкуп.
ThunderX является вымогателей операция , которая была запущена в конце августа 2020 г. Вскоре после запуска, недостатки были обнаружены в вымогателей , что позволило свободный дешифратор быть освобожден от Tesorion .
Операторы программ-вымогателей быстро исправили свои ошибки и выпустили новую версию программы-вымогателя под названием Ranzy Locker.
Хотя имя изменилось, строки, связанные с файлом отладки PDB в исполняемых файлах программы-вымогателя, по-прежнему показывают, что он такой же, как ThunderX.
C:\Users\Gh0St\Desktop\ThunderX\Release\LockerStub.pdb
Теория BleepingComputer заключается в том, что они переименовались, чтобы начать с чистого листа и избежать клейма, связанного с ранее выпущенным дешифратором.
Встречайте программу-вымогатель Ranzy Locker
Используя образец программы-вымогателя, обнаруженной командой MalwareHunterteam и переданной BleepingComputer, мы можем глубже понять, как работает программа-вымогатель.При запуске Ranzy Locker сначала очистит теневые копии томов, чтобы жертвы не могли использовать его для восстановления зашифрованных файлов.
vssadmin.exe Delete Shadows /All /Quiet;
При шифровании файлов программа-вымогатель будет использовать Windows API под названием « Диспетчер перезапуска Windows », который завершит процессы или службы Windows, которые сохраняют файл открытым и предотвращают его шифрование.
Диспетчер перезапуска Windows
Для каждого зашифрованного файла программа-вымогатель добавляет к имени файла новое расширение .ranzy . Например, файл с именем 1.doc будет зашифрован и переименован в 1.doc.ranzy.
Зашифрованные файлы Ranzy Locker
В каждой пройденной папке программа-вымогатель создаст записку о выкупе с именем readme.txt , которая включает информацию о том, что случилось с данными жертвы, предупреждение о том, что их данные были украдены, и ссылку на сайт Tor, с которым жертва может вести переговоры. субъекты угроз.
Следует отметить, что в предыдущих версиях ThunderX операторы программ-вымогателей общались с жертвами по электронной почте, а не через специальный сайт Tor.
Записка с требованием выкупа Ranzy Locker
Когда жертва посещает платежный сайт Tor, она будет встречена сообщением «Заблокировано Ranzy Locker» и ей будет показан экран живого чата для переговоров с злоумышленниками. В рамках этой «услуги» операторы программ-вымогателей позволяют жертвам бесплатно расшифровать три файла, чтобы доказать, что они могут это сделать.
Платежный сайт Ranzy Locker Tor
Ranzy Locker запускает сайт утечки данных
Многие банды вымогателей используют метод атаки с двойным вымогательством, который заключается в краже незашифрованных файлов у жертвы до того, как они зашифруют устройства в корпоративной сети.Этот метод атаки предоставляет злоумышленникам два способа заставить жертву заплатить программе-вымогателю - заплатить, чтобы вернуть свои файлы и не допустить публичной утечки данных.
На этой неделе банда Ranzy Locker опубликовала сайт утечки данных под названием «Ranzy Leak» для утечки данных жертв, которые не платят.
Этот веб-сайт в настоящее время включает одну жертву, которая разрабатывает решения для управления питанием.
Интересно то, что луковый URL-адрес Tor, используемый сайтом Ranzy Leak, совпадает с тем, который ранее использовался Ako Ransomware .
Использование URL-адреса Ако может указывать на то, что обе группы объединились в Ranzy Locker, или они сотрудничают так же, как картель Maze .
Обновление от 16.10.20: операторы программы-вымогателя Ako связались с нами и заявили, что ThunderX является частью их деятельности и что они переименовались в Ranzy Locker.
"Потому что мы обновляем нашу исходную программу-вымогатель и ее небольшой ребрендинг.
ThunderX - это тестовая версия нашего обновления, но некоторые дети из США делятся этой сборкой на вирустотале
Перевод с английского - Google
Bleeping Computer