ScareCrow Ransomware IOCs

ransomware IOC

ScareCrow - еще одна типичная программа-вымогатель, которая шифрует файлы на машинах жертв. Его записка с требованием выкупа, также озаглавленная "readme.txt", содержит три канала Telegram, которые жертвы могут использовать для общения со злоумышленником. Хотя в записке о выкупе не содержится никаких финансовых требований, жертв, скорее всего, попросят заплатить выкуп, чтобы восстановить зашифрованные файлы. На момент написания статьи эти три канала Telegram были недоступны.

Программа ScareCrow ransomware имеет некоторые сходства с печально известной программой Conti ransomware: обе используют алгоритм CHACHA для шифрования файлов и удаляют теневые копии с помощью wmic на основе идентификаторов теневых копий. В этом нет ничего удивительного, поскольку исходный код Conti ransomware, как сообщается, был утечен в начале года. Однако угрожающий агент ScareCrow приложил определенные усилия для разработки этого варианта ransomware, поскольку наш анализ выявил некоторые существенные отличия. Например, Conti шифрует все командные строки с помощью одной процедуры расшифровки, тогда как ScareCrow шифрует каждую строку, включая имена DLL, которые он загружает (например, kernel32), имена API, которые он использует, и даже командные строки с помощью собственной процедуры расшифровки.

ScareCrow ransomware добавляет расширение ".CROW" к пораженным файлам.

Файлы ScareCrow ransomware были отправлены на VirusTotal из Германии, Индии, Италии, Филиппин, России и США. Это указывает на то, что данная программа-вымогатель относительно широко распространена, хотя и использует неизвестные векторы заражения.

Indicators of Compromise

SHA256

  • 7f6421cdf6355edfdcbddadd26bcdfbf984def301df3c6c03d71af8e30bb781f
  • a4337294dc51518284641982a28df585ede9b5f0e3f86be3c2c6bb5ad766a50f
  • bcf49782d7dc8c7010156b31d3d56193d751d0dbfa2abbe7671bcf31f2cb190a
SEC-1275-1
Добавить комментарий