WannaCry 3.0 (Crypter) Ransomware IOCs

ransomware IOC
Опубликовано

Cyble Research and Intelligence Labs (CRIL) активно отслеживает фишинговые кампании, использующие игровые сайты в качестве канала распространения различных семейств вредоносных программ. Недавно CRIL обнаружила фишинговую кампанию, направленную на русскоязычных геймеров с целью распространения программ-выкупов. ТП, стоящие за этими вредоносными кампаниями, использовали фишинговые страницы, оформленные так, чтобы быть похожими на легитимный сайт Enlisted Game.

Enlisted - многопользовательский тактический шутер от первого лица, разработанный компанией Darkflow Software и изданный Gaijin Entertainment. Действие этой free-to-play игры происходит на фоне Второй мировой войны и сосредоточено на значимых сражениях, которые велись на всех фронтах войны.

На поддельном сайте размещен установочный файл, содержащий законный установщик игры и программу-вымогатель. Эта программа носит название "WannaCry 3.0" и использует расширение "wncry" для шифрования файлов, хотя она не является подлинным вариантом программы WannaCry ransomware. Эта программа представляет собой модифицированную версию программы с открытым исходным кодом "Crypter", разработанную для Windows и написанную исключительно на языке Python. Код Crypter размещен в репозитории GitHub, созданном пользователем под ником '@sithis993'.

Indicators of Compromise

URLs

  • http://adobe-acrobat.1gb.ru/download/adobe_acrobat_reader.exe
  • http://testsite-beta-ne.1gb.ru/download/enlisted_beta-v1.0.3.115.exe

MD5

  • 55fac3a480c154fd5f2344992db4c5b0
  • 65fdd5e706d45e8bb83bc13311fb4da4
  • 66742054e5ba484ef06d7cc2b52bd6c3
  • 77873f29f166fd64350be2a1391ce9f9
  • 84c613a151449be56b5afb0291fc0cca
  • a6c971ab47c13b513af07d6dc3b06e8e

SHA1

  • 0dc36a78cb251f6272991d541b7dffb438e2eb36
  • 31278826e062d0a8b4ffe52caf1aa5c2804f3441
  • 6515911679fdb3d6267ab44b67415dc32e587440
  • 9b43fdfd6ddb70a7418158c33d4c9a41f341a4e2
  • aa86ba02efd41f624b51956311b8759711a207ab
  • dfaab002eca691708228846e0d16905290031d48

SHA256

  • 3741580d662ba528004695bf6441fc03e6e195c8d599ea7cbb8a8c4ec59efef4
  • 444383bcff5139c30cc74d5dd7c35bdb236b468e18ed9a28e923acb12c2f3790
  • 51aeac86371a1dafe7601b40a1b897f1c5c62ed6aa6fcdb3fe39e6ebf480763f
  • c14081d8d8eff8191eb182e83b106d4ee683768d9c4dabb5a759e41914884dc2
  • c263ac9ce6026fa182066fea8956a3f60cd9c9dd9786ea6aff934ac3b00f43ce
  • dd49296f07192452a7394bd99a4d15594961dccea1e0517695d23e2d74bca005
Похожие записи:
  1. Wannacry Ransomware IOCs
  2. BianLian Ransomware IOCs - Part 2
  3. Fake Ransomware IOCs
  4. AXLocker, Octocrypt Ransomware IOCs
  5. Punisher Ransomware IOCs
Crypter Cyble Research Labs Phishing Ransomware WannaCry
Добавить комментарий