Nokoyawa Ransomware IOCs

ransomware IOC
Опубликовано

Компания FortiGuard Labs обнаружила новый вариант вымогательской программы Nokoyawa и заметила, что она использует код из общедоступных источников. В отличие от своего предполагаемого предшественника, Karma, FortiGuard Labs обнаружила только образцы Nokoyawa, скомпилированные для работы на 64-битной Windows.

Nokoyawa Ransomware

Некоторые аспекты Nokoyawa наводят аналитиков на мысль о том, что разработчики вымогательского ПО могут быть отдельной командой от операторов, развертывающих и исполняющих вымогательское ПО. Это может указывать на то, что данный вариант продается или готовится к продаже как "вредоносное ПО как услуга".
Nokoyawa по умолчанию шифрует все локальные диски и тома. Для повышения скорости и эффективности Nokoyawa создает несколько потоков для шифрования файлов, которые не заканчиваются расширениями .exe, .dll или .lnk. Файлы с NOKOYAWA в имени также пропускаются. К файлам, зашифрованным этой программой, добавляется расширение .NOKOYAWA. Записка о выкупе записывается в файл NOKOYAWA_readme.txt и находится в каждом каталоге, включенном для шифрования.
После шифрования файлов файл readme.txt направляет пользователей на URL (TOR), где они могут общаться с операторами для переговоров и выплаты выкупа в онлайн-чате.

Indicators of Compromise

URLs

  • http://185.150.117.186:80/asdfgsdhsdfgsdfg

MD5

  • 2904358f825b6eb6b750e13de43da9852c9a9d91
  • 2d92468b5982fbbb39776030fab6ac35c4a9b889
  • 32c2ecf9703aec725034ab4a8a4c7b2944c1f0b7
  • 960fae8b8451399eb80dd7babcc449c0229ee395

SHA256

  • 2ef9a4f7d054b570ea6d6ae704602b57e27dee15f47c53decb16f1ed0d949187
  • 304e01db6da020fc1e0e02fdaccd60467a9e01579f246a8846dcfc33c1a959f8
  • A32b7e40fc353fd2f13307d8bfe1c7c634c8c897b80e72a9872baa9a1da08c46
  • a290ce75c6c6b37af077b72dc9c2c347a2eede4fafa6551387fa8469539409c7
  • a70729b3241154d81f2fff506e5434be0a0c381354a84317958327970a125507
  • c170717a69847bb7b050832c55fcd2a214e9180c8cde5f86088bd4e5266e2fd9
  • e097cde0f76df948f039584045acfa6bd7ef863141560815d12c3c6e6452dce4

Emails

  • Brookslambert@protonmail.com
  • Johnatannielson@protonmail.com
  • JordanKelly@onionmail.org
  • Sheppardarmstrong@tutanota.com
  • charlefletcher@onionmail.org
  • richardwafflespencer1982@protonmail.com
  • tommyshanahan@tutanota.com

Похожие записи:

  1. Chaos Ransomware IOCs
  2. Roundup Ransomware/Chile Locker IOCs
  3. Ragnar Locker Ransomware IOCs
  4. Mirai, RAR1Ransom, GuardMiner IOCs
  5. FBI Ransomware IOCs
FortiGuard Labs Nokoyawa Ransomware
Добавить комментарий