Chaos Ransomware IOCs

ransomware IOC
Опубликовано

FortiGuard Labs недавно обнаружила вариант программы Chaos ransomware.

Chaos Ransomware

Известно, что существует конструктор Chaos ransomware с графическим интерфейсом, который позволяет легко настраивать вредоносное ПО в соответствии с набором параметров. Лаборатория FortiGuard Labs недавно обнаружила образец вредоносного ПО, которое, похоже, было создано с помощью этого конструктора. К сожалению, каким образом вредоносная программа попадает на машину жертвы, неизвестно. Скорее всего, попадает либо через сообщения на форумах, либо через электронные письма.

После запуска вредоносная программа перечисляет файлы на всех дисках. Для файлов размером менее 2 117 152 байт он генерирует случайный пароль длиной 20 символов, а затем шифрует его с помощью AES-256 (CBC-SALTED). Каждый зашифрованный файл содержит зашифрованный RSA пароль с жестко закодированным открытым ключом + зашифрованное AES содержимое файла в кодировке base64. Вредоносная программа также добавляет расширение файла 'fuckazov' к пораженным файлам.

Для файлов размером более 2 117 152 байт вредоносная программа заполняет их случайными байтами, что делает восстановление файлов невозможным без резервного копирования. Пострадавшие файлы также имеют расширение 'fuckazov'.

Для диска C: вредоносная программа ищет файлы в следующих каталогах и либо шифрует, либо заполняет их случайными данными в зависимости от размера файла и добавляет расширение файла 'fuckazov'.

Вариант программы Chaos ransomware, уникален в том смысле, что злоумышленник не собирается предоставлять своим жертвам инструмент дешифровки или инструкции по восстановлению файлов, чтобы вернуть пострадавшие файлы. Их поиск является сложной задачей для нетехнических жертв, что практически превращает вредоносную программу в уничтожитель файлов. Очевидно, что мотив этой вредоносной программы - "уничтожение".  А поскольку конструктор Chaos ransomware теперь легко доступен, его возможности позволяют любому создавать разрушительные вредоносные программы.

Такие организации, как CISA, NCSC, ФБР и HHS, предостерегают жертв программ-выкупов от уплаты выкупа. Оплата не гарантирует, что файлы будут восстановлены.

Indicators of Compromise

SHA256

  • 954d8fcd6b74d76999f9ec033ca855ffdab6595be23039f03bc4c6017fa3932c
Похожие записи:
  1. Nokoyawa Ransomware IOCs
  2. Roundup Ransomware/Chile Locker IOCs
  3. Ragnar Locker Ransomware IOCs
  4. Mirai, RAR1Ransom, GuardMiner IOCs
  5. FBI Ransomware IOCs
Chaos FortiGuard Labs Ransomware
Добавить комментарий