ThunderX изменил свое название на Ranzy Locker и запустил сайт утечки данных, где стыдят жертв, не платящих выкуп.
ThunderX является вымогателей операция , которая была запущена в конце августа 2020 г. Вскоре после запуска, недостатки были обнаружены в вымогателей , что позволило свободный дешифратор быть освобожден от Tesorion .
Операторы программ-вымогателей быстро исправили свои ошибки и выпустили новую версию программы-вымогателя под названием Ranzy Locker.
Хотя имя изменилось, строки, связанные с файлом отладки PDB в исполняемых файлах программы-вымогателя, по-прежнему показывают, что он такой же, как ThunderX.
C:\Users\Gh0St\Desktop\ThunderX\Release\LockerStub.pdb
Теория BleepingComputer заключается в том, что они переименовались, чтобы начать с чистого листа и избежать клейма, связанного с ранее выпущенным дешифратором.
Встречайте программу-вымогатель Ranzy Locker
Используя образец программы-вымогателя, обнаруженной командой MalwareHunterteam и переданной BleepingComputer, мы можем глубже понять, как работает программа-вымогатель.При запуске Ranzy Locker сначала очистит теневые копии томов, чтобы жертвы не могли использовать его для восстановления зашифрованных файлов.
vssadmin.exe Delete Shadows /All /Quiet;
При шифровании файлов программа-вымогатель будет использовать Windows API под названием « Диспетчер перезапуска Windows », который завершит процессы или службы Windows, которые сохраняют файл открытым и предотвращают его шифрование.
Диспетчер перезапуска Windows
Для каждого зашифрованного файла программа-вымогатель добавляет к имени файла новое расширение .ranzy . Например, файл с именем 1.doc будет зашифрован и переименован в 1.doc.ranzy.
Зашифрованные файлы Ranzy Locker
В каждой пройденной папке программа-вымогатель создаст записку о выкупе с именем readme.txt , которая включает информацию о том, что случилось с данными жертвы, предупреждение о том, что их данные были украдены, и ссылку на сайт Tor, с которым жертва может вести переговоры. субъекты угроз.
Следует отметить, что в предыдущих версиях ThunderX операторы программ-вымогателей общались с жертвами по электронной почте, а не через специальный сайт Tor.
Записка с требованием выкупа Ranzy Locker
Когда жертва посещает платежный сайт Tor, она будет встречена сообщением «Заблокировано Ranzy Locker» и ей будет показан экран живого чата для переговоров с злоумышленниками. В рамках этой «услуги» операторы программ-вымогателей позволяют жертвам бесплатно расшифровать три файла, чтобы доказать, что они могут это сделать.
Платежный сайт Ranzy Locker TorRanzy Locker запускает сайт утечки данных
Многие банды вымогателей используют метод атаки с двойным вымогательством, который заключается в краже незашифрованных файлов у жертвы до того, как они зашифруют устройства в корпоративной сети.Этот метод атаки предоставляет злоумышленникам два способа заставить жертву заплатить программе-вымогателю - заплатить, чтобы вернуть свои файлы и не допустить публичной утечки данных.
На этой неделе банда Ranzy Locker опубликовала сайт утечки данных под названием «Ranzy Leak» для утечки данных жертв, которые не платят.
Этот веб-сайт в настоящее время включает одну жертву, которая разрабатывает решения для управления питанием.
Интересно то, что луковый URL-адрес Tor, используемый сайтом Ranzy Leak, совпадает с тем, который ранее использовался Ako Ransomware .
Использование URL-адреса Ако может указывать на то, что обе группы объединились в Ranzy Locker, или они сотрудничают так же, как картель Maze .
Обновление от 16.10.20: операторы программы-вымогателя Ako связались с нами и заявили, что ThunderX является частью их деятельности и что они переименовались в Ranzy Locker.
"Потому что мы обновляем нашу исходную программу-вымогатель и ее небольшой ребрендинг.
ThunderX - это тестовая версия нашего обновления, но некоторые дети из США делятся этой сборкой на вирустотале
Перевод с английского - Google
Bleeping Computer