Хакерская группировка NB65 использовала утечку исходного кода вымогательского ПО Conti для создания собственного вымогательского ПО.
Conti Ransomware
При заражении системы, создается следующее сообщение в файле R3ADM3.txt
By now it's probably painfully apparent that your environment has..been infected with ransomware. You can thank Conti for that.....We've modified the code in a way that will prevent you from decrypting..it with their decryptor.....We've exfiltrated a significant amount of data including private emails,..financial information, contacts, etc.....Now, if you wish to contact us in order to save your files from permanent..encryption you can do so by emailing [email protected] have 3 days to establish contact. Failing to do so will result in..that data remaining permenantly encrypted.....While we have very little sympathy for the situation you find yourselves..in right now, we will honor our agreement to restore your files across..the affected environment once contact is established and payment is made
Перевод:
К настоящему моменту, вероятно, стало до боли очевидно, что ваша среда заражена вымогательским ПО. Вы можете поблагодарить за это компанию Conti..... Мы изменили код таким образом, что вы не сможете расшифровать его с помощью их дешифратора..... Мы вывели значительное количество данных, включая частную электронную почту, финансовую информацию, контакты и т.д...... Теперь, если вы хотите связаться с нами, чтобы спасти свои файлы от постоянного шифрования, вы можете сделать это по электронной почте [email protected].....У вас есть 3 дня на установление контакта. В противном случае... эти данные останутся зашифрованными навсегда.....Хотя мы не испытываем особого сочувствия к ситуации, в которой вы сейчас находитесь, мы выполним наше соглашение о восстановлении ваших файлов через... пострадавшую среду, как только будет установлен контакт и произведена оплата.
Indicators of Compromise
MD5
SHA1
SHA256
Files
- C:\R3ADM3.txt
- C:\MSOCache\All Users\R3ADM3.txt
