Black Basta Ransomware IOCs - Part 4

ransomware IOC

Black Basta ransomware - это недавняя угроза, которая собрала первые образцы вредоносного ПО в феврале 2022. Программа удаляет все теневые копии тома, создает новое изображение JPG в качестве обоев рабочего стола и файл ICO, представляющий зашифрованные файлы.

В отличие от других семейств вымогательских программ вредоносная программа не пропускает файлы на основе их расширений. Однако она не шифрует
критически важные папки, которые могли бы сделать систему неработоспособной. Файлы шифруются с помощью алгоритма ChaCha20, причем ключ и нонс шифруются
с использованием открытого ключа RSA, который жестко закодирован в образце. Вредоносная программа может полностью или частично шифровать файл полностью или частично в зависимости от его размера. Расширение зашифрованных файлов изменяется на .basta.

Indicators of Compromise

SHA256

ae7c868713e1d02b4db60128c651eb1e3f6a33c02544cc4cb57c3aa6c6581b6e

Files

  • %Temp%\fkdjsadasd.ico
  • %Temp%\dlaksjdoiwq.jpg

Processes

  • cmd.exe /c "C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet"
  • cmd.exe /c "C:\Windows\System32\vssadmin.exe delete shadows /all /quiet"

Registry

  • HKEY_CLASSES_ROOT\ .basta

Technical report

SEC-1275-1
Добавить комментарий