%d0%ba%d0%b0%d0%bb%d1%8b%d0%bc — со всех языков на все языки
Все языкиАбхазскийАдыгейскийАфрикаансАйнский языкАканАлтайскийАрагонскийАрабскийАстурийскийАймараАзербайджанскийБашкирскийБагобоБелорусскийБолгарскийТибетскийБурятскийКаталанскийЧеченскийШорскийЧерокиШайенскогоКриЧешскийКрымскотатарскийЦерковнославянский (Старославянский)ЧувашскийВаллийскийДатскийНемецкийДолганскийГреческийАнглийскийЭсперантоИспанскийЭстонскийБаскскийЭвенкийскийПерсидскийФинскийФарерскийФранцузскийИрландскийГэльскийГуараниКлингонскийЭльзасскийИвритХиндиХорватскийВерхнелужицкийГаитянскийВенгерскийАрмянскийИндонезийскийИнупиакИнгушскийИсландскийИтальянскийЯпонскийГрузинскийКарачаевскийЧеркесскийКазахскийКхмерскийКорейскийКумыкскийКурдскийКомиКиргизскийЛатинскийЛюксембургскийСефардскийЛингалаЛитовскийЛатышскийМаньчжурскийМикенскийМокшанскийМаориМарийскийМакедонскийКомиМонгольскийМалайскийМайяЭрзянскийНидерландскийНорвежскийНауатльОрокскийНогайскийОсетинскийОсманскийПенджабскийПалиПольскийПапьяментоДревнерусский языкПортугальскийКечуаКвеньяРумынский, МолдавскийАрумынскийРусскийСанскритСеверносаамскийЯкутскийСловацкийСловенскийАлбанскийСербскийШведскийСуахилиШумерскийСилезскийТофаларскийТаджикскийТайскийТуркменскийТагальскийТурецкийТатарскийТувинскийТвиУдмурдскийУйгурскийУкраинскийУрдуУрумскийУзбекскийВьетнамскийВепсскийВарайскийЮпийскийИдишЙорубаКитайский
Все языкиАбхазскийАдыгейскийАфрикаансАйнский языкАлтайскийАрабскийАварскийАймараАзербайджанскийБашкирскийБелорусскийБолгарскийКаталанскийЧеченскийЧаморроШорскийЧерокиЧешскийКрымскотатарскийЦерковнославянский (Старославянский)ЧувашскийДатскийНемецкийГреческийАнглийскийЭсперантоИспанскийЭстонскийБаскскийЭвенкийскийПерсидскийФинскийФарерскийФранцузскийИрландскийГалисийскийКлингонскийЭльзасскийИвритХиндиХорватскийГаитянскийВенгерскийАрмянскийИндонезийскийИнгушскийИсландскийИтальянскийИжорскийЯпонскийЛожбанГрузинскийКарачаевскийКазахскийКхмерскийКорейскийКумыкскийКурдскийЛатинскийЛингалаЛитовскийЛатышскийМокшанскийМаориМарийскийМакедонскийМонгольскийМалайскийМальтийскийМайяЭрзянскийНидерландскийНорвежскийОсетинскийПенджабскийПалиПольскийПапьяментоДревнерусский языкПуштуПортугальскийКечуаКвеньяРумынский, МолдавскийРусскийЯкутскийСловацкийСловенскийАлбанскийСербскийШведскийСуахилиТамильскийТаджикскийТайскийТуркменскийТагальскийТурецкийТатарскийУдмурдскийУйгурскийУкраинскийУрдуУрумскийУзбекскийВодскийВьетнамскийВепсскийИдишЙорубаКитайский
Сценарий выкуп невесты татарский 2015 — 20 Апреля 2015
У двери дома (если дом многоэтажный — у входа в подъезд) женила и его друзей встречают друзья и гости невесты, ведущий.
Ведущий:
Здравствуйте, гости-господа,
Вы откуда и куда?
Если мимо — проходите,
Если к нам — зачем, скажите?
Жених и его друзья:
— За невестой.
Ведущий:
За невестой?
Вот прекрасно!
Ждем тебя, наш сокол ясный!
Да, у нас невеста есть,
Невозможно глаз отвесть:
Молода, стройна, красива,
Белолица, всем на диво.
Но чтоб руки ее добиться,
После этих слов жених и его друзья входят в дверь.
Ведущий:
Нежных слов на свете много,
И невеста их достойна.
По ступенькам ты шагай,
Ее нежно называй.
Жениху предлагается первое испытание.
Он должен подняться по лестнице (если дом многоэтажный — до первого этажа). На каждой ступеньке лестницы жених как-нибудь ласково называет свою суженую. Задание можно усложнить, написав на каждой ступеньке какую-либо букву и предложив жениху начать сразу именно с этой буквы. Если же он не может придумать ничего на данную букву, свидетель и остальные друзья жениха платят выкуп.
После этого жених переходит на следующую ступеньку и т. д. Когда жених преодолеет это препятствие, ему предлагается следующее. В руках у подружки невесты — рома, шка. На каждом лепестке — памятные для будущих молодоженов числа. Это может быть и дата знакомства жениха и невесты, и час их первого свидания, объем талии или размер обуви невесты, и даже возраст будущей тещи.
Ведущий:
Вот ромашка полевая:
Оторви-ка лепесток,
Угадай-ка номерок.
После этих слов жених отрывает по одному лепестки ромашки и угадывает то или иное памятное число. Если же он не может отгадать то, с чем связана какая-либо цифра, то платит выкуп. Как только сумма выкупа устроит гостей невесты, жених отрывает следующий лепесток. Испытание заканчивается тогда, когда ромашка остается без лепестков.
Когда жених прошел и это испытание, его пропускают дальше. Если дело происходит в многоэтажном доме, жениху разрешают подняться на лифте до этажа невесты или же он должен идти пешком, если друзья невесты недовольны выкупом или тем, как жених угадывал памятные числа.
У двери стоит подружка невесты и держит в руках большой бумажный лист. На этом листе невеста и ее подружки заранее оставляют отпечатки своих губ.
Ведущий:
Вот ты видишь эти губки.
Угадаешь или нет.
Где твоей любимой след?
Жених ищет отпечаток губ своей невесты. Задание можно усложнить, написав под каждым отпечатком какую-либо сумму. В этом случае за все неправильно отгаданные губы жених или его друзья платят указанный выкуп. Данное испытание может сопровождаться шутливыми упреками.
После того как задание выполнено, ведущий предлагает следующее:
Дверь закрыта на пути,
Нужно к двери ключ найти.
Серенаду, песнь любви,
Ты исполни — и пройди.
Жених должен спеть песню.
Если он отказывается, то помогают друзья. Если же и друзья отказываются, то платят выкуп. Его сумма должна полностью устроить гостей невесты. Когда задание выполнено, дверь открывается и жених оказывается перед следующей запертой дверью.
Ведущий:
А жених-то не хромой?
Ну-ка, топни ногой.
Жених топает.
Ведущий:
Ты народ-то не смеши,
Нам «Цыганочку» спляши.
Звучит мушка. Жених танцует или платит выкуп.
Ведущий:
Невеста прекрасная любит веселье, Пляши не один, а вместе со всеми!
Друзья жениха присоединяются к танцу или платят большой выкуп.
Ведущий:
За невесту-милочку — Шампанского бутылочку.
За красавицу-женушку —
Шоколад «Аленушку».
За платье длинное —
Бутылочку винную.
Чтоб не ходил к чужой милашке,
Давай денежки-бумажки.
Жених и его друзья после этих слов платят выкуп, гости могут выкрикивать: «Мало платишь, видать, хочешь к чужой милашке ходить», «Не скупись, больше давай!» и т. д. После того как выкуп заплачен, жениху предлагается следующее задание.
Ведущий:
В этой связке — ключ от двери,
Ты сумей его найти,
Если взял не тот — плати.
Жениху вручают связку ключей, с которой он снимает по одному ключи и пробует открыть дверь. За каждый ключ, котсгрый не подошел к двери, жених и его друзья платят выкуп.
Ведущий:
Как зовут твою невесту,
Ты деньгами напиши.
Как напишешь — покажи!
Жениху предлагается «написать» купюрами полное имя своей невесты. Это действие сопровождается фразами типа «Пиши крупнее!» и т. д. После выполнения задания стол убирают.
Ведущий:
Щедро деньги ты платил,
А про любовь не говорил.
Чтоб никто не сомневался,
Ты в любви своей признайся!
Крикни громко, не тая,
(Имя невесты). Я люблю тебя!
Жених кричит, а гости оценивают. Могут раздаваться возгласы: «Что-то тихо!», «Невеста ничего не слышит!» и т. д. Жених орет признание в любви до тех пор, пока гости не останутся довольны.
Перед дверью комнаты, где находится невеста, жених видит таз.
Ведущий:
Вот. Ты видишь этот таз.
Положи в него сейчас
Ни козленка, ни ягненка,
Ни худого поросенка.
Для невесты положи,
Что ей нужно для души.
Конечно же, сразу догадаться, что именно следует положить в тазик, жених не сумеет, и возникнет комическая ситуация. Испытание будет длиться до тех пор, пока жених не догадается, что в таз должен встать он сам. После того как жених прошел и это испытание, он видит, что на двери, за которой находится невеста, висит несколько ленточек. В комнате к этим ленточкам за палец привязаны невеста и ее подружки. А для большего веселья к какой-нибудь ленточке можно привязать, например, соседку пенсионного возраста.
Ведущий:
Дерни ленточку одну
И вытяни суженую свою.
Если вытянешь не ту,
Заплати ты нам деньгу.
Или женишься на той,
Что потянешь за собой.
Конкурс со смехом и шутками продолжается до тех пор, пока жених не вытащит свою невесту. Если ошибается, гости громко просят выкуп или говорят, что он должен жениться на той, которая вышла из-за двери.
После того как невеста будет наконец-то угадана, будущие молодожены рука об руку идут к столу, и тут-то оказывается, что у невесты нет одной туфельки.
Ведущий:
Ты с невестою идешь,
А замуж как ее возьмешь?
Нету туфельки одной,
Отыщи ее, герой!
Вниманию жениха предлагают несколько коробок из-под обуви. В одной из них находится туфелька невесты. В остальные коробки можно положить рваные тапочки, калоши или валенки. За каждую неправильно угаданную коробку жених платит выкуп. Испытание длится до тех пор, пока жених не найдет туфельку своей суженой.
Когда жених наконец-то преодолеет все преграды на пути к своему счастью, ведущий говорит:
Испытание прошел.
До невесты ты дошел!
И поэтому сейчас
Ты веди невесту в загс!
Будущие молодожены идут к столу, где принимают поздравления и пожелания гостей.
Суздальская битва и Касимовское ханство — Реальное время
Татары и москвичи в XV веке: Суздальская битва и Касимовское ханство
Фото: runivers.ru (Пленение Василия Темного. Миниатюра Лицевого летописного свода)Казанский историк, колумнист «Реального времени» Булат Рахимзянов продолжает рассказывать про московско-татарские отношения первой половины XV века.
В сегодняшней колонке исследователь показывает, как развивались события после гибели султана Мустафы и к каким видимым результатам это привело?
Суздальская битва 1445 года. «Мамотяковщина»
Осенью 1444 года, возможно, в сентябре, состоялся поход татар против мордвы, похожий на ответное действие за ее участие в сражениях с Мустафой зимой 1443—1444 годов. Также татары «приходиша на … Рязанскиа украины», где и произошла расправа над Мустафой. Зимой 1444—1445 годов Улуг-Мухаммед «приходил ратью к Мурому». Вероятно, это действовало войско хана Улуг-Мухаммеда, находившееся зимой 144-1445 годов недалеко от Рязанского княжества — в районе Нижнего Новгорода.
В дальнейшем мы встречаем Улуг-Мухаммеда и его людей в юго-восточных границах Московского великого княжества летом 1445 года. Отсюда Улуг-Мухаммед пригласил к себе в орду черкасов (адыгов) для участия в военной кампании, возможно, против бека Али (Али Бека), контролировавшего тогда Казань (эта кампания пройдет позже этим летом).
Некоторое количество казаков откликнулось на призыв и присоединилось к хану в юго-восточном приграничном районе Московского княжества. Затем черкасы совершили набег и на русский город Лух — набег, который, согласно русским летописцам, не был санкционирован Улуг-Мухаммедом: «Тое же весны царь Махмет и сын его Мамутяк послали в Черкасы по люди, и прииде к ним две тысячи казаков и, шедше, взяша Лух без слова царева (выделено автором, — прим. ред.), и приведоша полону много и богатьства».
Успех черкесов придал уверенность Улуг-Мухаммеду: «Видев же царь множество корысти, и посла детеи своих, Мамутяка да Ягупа, в отчины князя великого воевати». Возможно, что целью вторжения была сама Москва — для возобновления вассальных связей Василий II — Улуг-Мухаммед и продолжения выплаты дани. Архангелогородский летописец отмечает, что Махмуд и Якуб пришли из Казани. В Москве своевременно узнали о движении татар. По приказу великого князя полки русских князей стали стягиваться к Суздалю.
«В ту же зиму царь Улу-Махмет приходил с войском к Мурому из Старого Нижнего Новгорода». Фото runivers.ru (Миниатюра Лицевого летописного свода)
Василий II вместе с князьями Иваном Андреевичем Верейским, Василием Ярославичем и другими воеводами 6 июля 1445 года вышли к реке Калинке и остановились у Спасо-Евфимиева монастыря, в непосредственной близости от Суздаля. Ожидалось прибытие подкрепления. В тот же день поступило ложное известие о приближении неприятеля. Когда ситуация прояснилась, был дан отбой. Как отмечают многие летописи, вечером этого дня у великого князя была продолжительная пирушка: великий князь «ужинал у себя со всею братьею и з бояры, и пиша долго нощи (выделено автором, — прим. ред.)».
По всей видимости, физическое состояние войска и великого князя на следующий день, 7 июля, оставляло желать лучшего. Вскоре пришло известие, что татары переходят бродами реку Нерль. Василий II разослал всем воеводам приказ о выступлении и сам пошел навстречу татарам.
Сил для боя у Василия II было явно недостаточно. Не успел подойти татарский султан Бердедат б. Худайдат, находившийся в Юрьеве, некоторые русские князья. Дмитрий Шемяка не откликнулся на 14 обращений великого князя, не прислав своих войск.
Начало сражения складывалось для московских войск благоприятно, они выдержали атаку татарской конницы. Не добившись успеха, ордынцы применили традиционный для степняков прием — имитацию бегства. Это оказалось роковым для русских полков. Они попали в ловушку, замечает А.Г. Бахтин. Сражение под Суздалем свелось к сражениям отдельных полков. Татары всеми силами обрушились на расстроенные отряды русских. Собрать свои рассеянные отряды и организовать отпор атаке татар великому князю не удалось. В битве с сыновьями Улуг-Мухаммеда русское войско было полностью разгромлено, а сам Василий II, князь Михаил Андреевич Верейский и множество других князей, бояр и детей боярских попало в татарский плен. Как отмечают летописи, великого князя «руками яша». Все они были отвезены в Нижний Новгород к Улуг-Мухаммеду.
Это был первый случай в истории Руси-России, когда верховный правитель оказался в плену.
Сам Василий II, по данным летописцев, сражался мужественно, скакал во главе преследующего татар передового отряда и получил многочисленные ранения, отмечает А.Г. Бахтин. Однако именно данная тактика и являлась ущербной, так как при таком подходе главный стратег рисковал личной безопасностью, а соответственно и всем командованием. Данной практики в татарской тактике военных сражений никогда не присутствовало. Полководец всегда руководил военными действиями на отдалении от поля битвы, не вступая в бой лично. В результате управление войсками осуществлялось оперативно.
Печать Василия. Изображен возница, правящий четверкой лошадей, скачущих в разные стороны. Фото wikipedia.org
Успех татар был впечатляющим и получил известность далеко за пределами Руси. О поражении Василия II и его пленении знали в Литве и Польше. Катастрофа русских войск под Суздалем, известная как «Мамотяковщина», еще долгие годы (1470—1490-е) вспоминалась на Руси.
Помнили о ней и татары. Даже в 1538 году крымский хан Сахиб-Гирей I б. Менгли-Гирей писал малолетнему Ивану IV, угрожая ему походом на Москву:
«С великим царем с Магмедом (хан Улуг-Мухаммед б. Ичкеле-Хасан, — прим. авт.) с упокоиником, з дедом нашим из Суздаля прадед твои Василеи бился с ним да и в руки ему попал жив. И в те времяна мочно было нашему деду твоего прадеда убить, а Московское государство с сею землею взяти, ино такова ему сила была и мочь. А он его простил, и горсти крови пощадел, и все то презрел и Москву ему опять отдал».
Неудивительно, что такое неординарное событие привело и к столь же неординарным последствиям.
Касимовское ханство
В начале октября Василий был отпущен в Москву с большим татарским эскортом после обещания выплатить хану большой выкуп. Как результат этого выкупа было образовано Касимовское ханство.
Казалось бы, источники вполне недвусмысленны: с 1446 года и далее Касим и Якуб остаются верными союзниками Василия, всегда участвуя в кампаниях на его стороне, причем как против русских, так и татар.
Два брата покинули Московское княжество в феврале этого года, вместе с другими сторонниками Василия, когда великий князь оказался в плену у своих русских же противников. На тот момент они решили двинуться в южном направлении, в сторону черкасского анклава казаков, видимо, чтобы обдумать свои дальнейшие шаги. К концу года, по-видимому, до них дошли слухи, что Василий вновь на свободе и предпринимает шаги по возвращению великокняжеского престола. Помня о своем прошлом альянсе с великим князем, а также, по-видимому, по причине отсутствия перспектив каких-либо других многообещающих кампаний, Касим и Якуб вместе со своими военными отрядами отправились на территорию Московского княжества в поисках своего старого союзника и данника Улуг-Мухаммеда, Василия II.
Как результат этого выкупа было образовано Касимовское ханство. Гравюра из книги Адама Олеария. Фото booksite.ru
По пути они встретили другую группу сторонников великого князя во главе с князем Василием Ярославичем, базировавшемся в Литве, которые, приняв татар за врагов, начали стрелять в них из луков.
Во время недолгого затишья, говорят нам летописи, татары постарались выяснить, кем являются их противники:
«По сем же Татарове начаша Руси кликати: «Вы кто есте?» Они же отвешаша: «Москвичи. А идем с князем Васильем Ярославичем искати своего государя великого князя Васильа Васильевича, сказывают уже его выпущена. А вы кто есте?» Татарове же рекоша: «А мы пришли из Черкас с двема царевичема Махметевыми детми, с Касымом да с Ягупом; слышели бо про великого князя, что братиа над ним израду учинили, и они пошли искати великого князя за преднее его добро, и за его хлеб, много бо добра его до нас было». И тако сшедшеся и укрепившеся меж себя, поидоша вкупе, ищущи великого князя, како бы помочи ему».
В Ярославле объединенные русско-татарские силы нагнали Василия, и с этого момента чаша весов в гражданской войне решительно качнулась в сторону Василия II. К февралю 1447 года Василий возвратил себе Москву, и к следующему лету его враги уже просили о мире. Условия мира содержали много уступок Василию.
Один из пунктов специально касается татар, которые упомянуты рядом с самим великим князем и двумя другими московскими князьями:
«А в сем нам перемирие на князя великого Василья Васильевича, и на князя Михаила Андреевича, и на князя Василья Ярославича, и на царевичев и на князей на ордынских, и на их татар не ити, и не изгонити их, не пастися им от нас никоторого лиха».
Когда весной 1449 года противник Василия Дмитрий Шемяка нарушил договор и двинулся к Коломне, «царевичи со всей их силою» вновь присоединились к великому князю для того, чтобы вновь отбить атаку конкурента на их союзника. Чуть позже, в этом же году, люди хана Сеид-Ахмеда («скорые Татарове Седиохматовы») произвели набег на московские территории в бассейне реки Пахры. Когда Касим, базировавшийся на тот момент в Звенигороде, прослышал про это, он выдвинулся против людей хана. Вскоре после этого, в январе 1450 года, два султана вновь появляются на политической сцене в рядах сторонников Василия, выступая против Шемяки.
Осенью этого же года планировался еще один рейд из Степи на московские территории — «Малыи Бердеи улан и иные с ним князи с многими Татары». Василий, который находился в это время в Коломне (очевидно, с Касимом), вновь выслал против татар царевича Касима с его татарами, вместе с местным отрядом под командованием Константина Беззубцова.
Борис Чориков. Князья и бояре вызываются возвратить Василию Темному великокняжеский престол. Фото wikipedia.org
Вероятно, изначально хан Улуг-Мухаммед не собирался надолго обосновываться в московских пределах: он предполагал использовать бывшие имперские территории только для того, чтобы набраться сил и продолжить борьбу за Сарай. Однако судьба рассудила его планы иначе. Успешно использовав благоприятно сложившуюся для него политическую конъюнктуру, хан образовал прямо на территории Руси административную единицу, на которую имел немалое влияние.
Итак, распад Улуса Джучи выразился в числе прочего и в появлении на территории формирующегося Русского государства особого татарского владения: субъективным результатом гражданской войны второй четверти XV века на территории Московского великого княжества оказалось образование в 1445 году на смежных землях Рязанского и Московского княжеств Касимовского ханства, созданного на невыгодных для Москвы условиях.
Его образование не было добровольной мерой со стороны Московского княжества: Касимовское ханство возникло в силу условий выкупа, который был обещан московским великим князем Василием II хану Улуг-Мухаммеду в 1445 году после поражения русских войск под Суздалем.
Татары и Москва в эпоху поздней Золотой Орды
Анализ событий первой половины XV века позволяет сделать вывод о том, что вплоть до середины XV века у правителей Северо-Востока Руси попросту не хватало военной мощи, чтобы постоянно системно противостоять татарам. Они прекрасно понимали, что отдельные эпизоды неповиновения с их стороны повлекут за собой ответные акты, и что в целом они проигрывают в военном отношении представителям Орды и кочевому миру Степи. Это не означало, что актов неповиновения с их стороны не было вообще — пример Мустафы (про него мы рассказывали ранее), который пал жертвой политических метаний Василия II, очень хорошо подтверждает это.
Однако факты открытого и жесткого противостояния татарам не встречаются нам более на протяжении всего XV века.
Смерть султана Мустафы — единственный зафиксированный в источниках не только за XV, но и за XVI века случай, когда представитель династии Чингис-хана был намеренно умерщвлен на территории Северо-Восточной Руси силами Москвы. Битва на реке Листань показывает, что при наличии других политических реалий, нежели реалии XV—XVI веков, московские правители могли бы жестко воспротивиться притоку Джучидов на свою территорию.
Однако данный вариант развития событий был московскими правителями отклонен. В ситуации XV—XVI веков они попросту не имели возможностей противиться притоку сарайской эмиграции. Великие князья при всем желании не могли освободиться от вовлеченности в перипетии степной политики. Напротив, в течение всего XV века московским правителям приходилось принимать постоянный поток Джучидов-беглецов из нестабильного мира Степи, причем вместе с их конницами и окружением.
Булат Рахимзянов
Справка
Булат Раимович Рахимзянов — историк, старший научный сотрудник Института истории им.
Ш. Марджани АН РТ, кандидат исторических наук. Колумнист «Реального времени».
- Окончил исторический факультет (1998) и аспирантуру (2001) Казанского государственного университета им. В.И. Ульянова-Ленина.
- Автор около 60 научных публикаций, в том числе двух монографий.
- Проводил научное исследование в Гарвардском университете (США) в 2006—2007 академическом году.
- Участник многих научных и образовательных мероприятий, в их числе — международные научные конференции, школы, докторские семинары. Выступал с докладами в Гарвардском университете, Санкт-Петербургском государственном университете, Высшей школе социальных наук (EHESS, Париж), университете Иоганна Гуттенберга в Майнце, Высшей школе экономики (Москва).
- Автор монографии «Москва и татарский мир: сотрудничество и противостояние в эпоху перемен, XV—XVI вв.» (издательство «Евразия», Санкт-Петербург).
- Область научных интересов: средневековая история России (в особенности восточная политика Московского государства), имперская история России (в особенности национальные и религиозные аспекты), этническая история российских татар, татарская идентичность, история и память.
Сценарий выкупа невесты на татарском языке
Он мужественен и галантен, она нежна и прекрасна… Свадьба — всегда самый светлый и радостный день в жизни двоих, и, конечно же, их близких. У каждого народа есть свои обычаи и традиции от момента сватовства и до празднования самой свадьбы.
И даже на территории России свадьбы людей разных национальностей отличаются свойственным им колоритом.
Татарская свадьба имеет традиции, которые уходят вглубь веков. Во многом они схожи с обычаями и других южных народов, и это не удивительно, ведь татары — мусульмане.
Религия стала основой создания особых обрядов мусульманской свадьбы. До сих пор у народа существует обычай сватовства и выкупа невесты по-татарски. Но в будущей семье муж должен быть достаточно богат, чтобы в полной мере уплатить за суженую калым.
О том, что нужно выкупать невесту, и какой приблизительный размер калыма назначен за девушку, мужчины узнают от своих родителей. Его размер оговаривается еще на этапе сватовства. Встречаются родители будущих молодоженов и подробно обсуждают все детали будущей свадьбы.
Важно знать! Жених и невеста в этом общении никогда не принимают участие.
Арабский вариант выкупа невесты по-татарски имеет особое значение. Этот обряд показывает, имеет ли будущий муж достаток и сможет ли в будущем он содержать семью.
Второй момент (не менее важный) — это возможность родителям невесты немного «поживиться» за счет жениха. Но если не обращать внимания на материальную сторону вопроса, то можно увидеть в этом пусть даже обязательном для мужчины обряде — благородный ритуал щедрой благодарности жениха родителям невесты за прекрасную будущую жену.
Ведь именно их красавицу он приведет в свой дом, чтобы она стала помощницей его родителям, хозяйкой его дома и матерью его будущих детей.
Совет! Жених должен обратить внимание на количество и ценность подарков — они показывают степень его любви к молодой супруге и уважение к ее родителям.
Это может быть и определенная сумма денег, и золотые украшения, в сельской местности это может быть и домашний скот, к примеру, бараны, блюда из которого готовят в татарской кухне.
Строгий и официальный калым – эта своеобразная мера, которая характеризует социальное положение новоиспеченного мужа.
Мужская половина людей татарской национальности вступают в брак в довольно позднем возрасте. Это объясняется большой величиной калыма. Социальный статус у многих разный, и чтобы иметь достаточное количество денег и выкупить желанную татарскую красавицу, необходимо много лет.
Важно! После того как жених выплачивает выкуп, родители невесты дают окончательное согласие на бракосочетание. Это основной калым невесты, остальной жених совершает, когда едет во время свадьбы к суженой.
При появлении жениха в день свадьбы путь к будущей жене преграждают будущие родственники. Сельчане и близкие невесты требуют выкуп. Для того чтобы проехать, дружок оплачивает путь мелкими гостинцами.
Запертые ворота дома возлюбленной могут стать еще одним препятствием для жениха и его свиты. Тот должен знать, что, возможно, ему придется долго стучать в дверь, пока ему откроют, а для того чтобы зайти, придется откупиться сладостями.
У дверей дома невесты жениху важно проявить смекалку и сообразительность. Загадки ему будет задавать либо остроумный брат жены, либо мудрый отец молодой.
Далее наступает пора подружкам невесты получить свою долю выкупа – они озадачат жениха каверзными вопросами. В награду девушки получают сладости и украшения. После щедрых даров жениха они пропустят его свиту к подруге.
На скамье среди женщин, покрытых одинаковыми платками, будущий супруг должен узнать свою невесту. После этого жениху нужно выкупить место за столом рядом со своей суженой.
Пройдя все испытания выкупа невесты по-татарски, жених садился возле возлюбленной на одну подушку. Этот момент означает, что будущий муж готов разделить радости и горести в течение всей жизни с любимой.
Испытания пройдены, и родители молодых благословляли пару на брачный обряд. Выкуп невесты завершен, но он наверняка, надолго запомнится молодым и их близким.
История: Наука и техника: Lenta.ru
Почему Крымское ханство помогло Москве освободиться от ордынского ига, а потом из главного союзника превратилось в злейшего врага нашей страны? Какой ценой России обошлось соседство с ним? Зачем Русское и Польско-Литовское государства устраивали «крымский аукцион»? О непростой и драматической истории русско-крымских отношений «Ленте.ру» рассказал кандидат исторических наук, старший научный сотрудник Института российской истории РАН Александр Виноградов.
«Лента.ру»: Можно ли сказать, что Крымское ханство было разбойничьим и хищническим государством, существовавшим за счет грабежа соседей?
Виноградов: Можно, но осторожно.
Из всех осколков Золотой Орды Крымское ханство занимало уникальное положение. Плодородные земли южного побережья Крымского полуострова и наиболее удобные порты были под властью турок-османов. В степных и засушливых районах Крыма было трудно заниматься земледелием, хотя еще в XVI веке хан Сахиб-Гирей пытался приучить к этому своих подданных.
Крымско-татарский всадник
Изображение: гравюра из альбома фламандского художника А. де Брюна.
Но под контролем крымских ханов находилась и южная часть Дикого поля, где кочевали многочисленные ногаи-мангыты, отколовшиеся от Большой Орды. Иногда их называют мансурами, так как ими правили потомки Мансура, одного из сыновей знаменитого ордынского темника Едигея. Именно они обеспечивали военное могущество Крымского ханства, поскольку составляли значительную часть его войска во время завоевательных походов. И если в самом Крыму татары с трудом, но постепенно переходили к земледелию, то ногаи-мангыты существовали исключительно за счет набегов.
Поэтому условия хозяйствования в Северном Причерноморье и постоянная угроза голода понуждали подданных крымских ханов к постоянным нападениям на соседей. Но надо различать «самостоятельные нападения» подданных крупных ханов и походы, возглавляемые непосредственно ханом или его сыновьями. Эти набеги могли преследовать две цели: грабеж и захват военной добычи либо предъявление политических требований.
Требований чего?
Требований регулярных посольских даров. В Русском государстве они назывались «поминками», а в Великом княжестве Литовском (преимущественно территория современных Белоруссии и Украины — прим. «Ленты.ру») — «упоминками» (позднее в Речи Посполитой их именовали «казной»). Тем самым Крымское ханство подчеркивало свои геополитические амбиции. Если великие князья московские (Калитичи) и великие князья литовские (Гедиминовичи) считали себя наследниками великих князей киевских и претендовали на все земли Древнерусского государства, то крымские ханы воспринимали себя наследниками ханов Золотой Орды.
Поэтому до поры до времени они стремились подчинить себе все территории, ранее входившие в ее состав.
Правда ли, что после «Стояния на Угре» и окончания ордынского ига в 1480 году Московское государство и Крымское ханство были союзниками?
Да, и поначалу этот союз для Москвы был очень выгоден. Самым крупным осколком Золотой Орды была Большая Орда, расположенная в низовьях Волги. На ее территории находились руины Сарая, прежней золотоордынской столицы, поэтому ее ханы требовали подчинения и от Крыма, и от Москвы. Во время знаменитого «Стояния на Угре» в 1480 году крымские татары ударили в тыл хану Большой Орды Ахмату, чем очень помогли Ивану III. До краха Большой Орды в 1502 году и бегства Ахмата за Днепр стратегический союз Москвы и Бахчисарая был крепок, поскольку он позволял им вместе противостоять коалиции Великого княжества Литовского и Большой Орды. Благодаря альянсу с Крымом Русское государство в ходе войн 1487-1494 годов и 1500-1503 годов отвоевало у Литвы около трети ее территорий, включая города Мценск, Брянск, Чернигов и Путивль.
Литовские татары
Изображение: Brzezinski R. / Public Domain
То есть союз Большой Орды и Литвы был главным стимулом для союза Москвы и Крыма?
Конечно, а после крушения Большой Орды между Русским государством и Крымским ханством появились противоречия. Во-первых, Крым хотел завладеть Астраханским ханством, что категорически не устраивало Москву. Во-вторых, в ответ на это Крым отказался помогать Русскому государству в его пограничных войнах с Великим княжеством Литовским, что добавляло напряженности в русско-крымских отношениях. В-третьих, Бахчисарай с Москвой окончательно рассорились из-за споров о контроле над Казанским ханством. В результате конфронтация нарастала — ее апофеозом стал печально известный крымско-казанский поход на Москву 1521 года.
Это когда Василий III чуть было не согласился подписать кабальную грамоту с обязательством выплаты ежегодной дани, как во времена Золотой Орды?
На самом деле Василий III эту грамоту подписал, хотя там речь шла не о дани, а о «поминках», но фактически это было признанием зависимости Москвы от Крымского ханства.
Потом рязанский воевода Иван Васильевич Хабар сумел хитростью завладеть этой грамотой и уничтожить ее, что дало повод Василию III отказаться от ее исполнения.
Это правда, что при отходе от Москвы крымские татары захватили обоз с боярскими женами и детьми, после чего женщин угнали в плен, а младенцев бросили в лесу?
Я слышал про эту историю. Женщин в итоге выкупили, а про младенцев никаких документальных подтверждений я не встречал.
Расскажите о последствиях крымско-татарских набегов на Русь. Это правда, что только за один поход татары уводили в крымский плен несколько сотен тысяч русских людей?
Я думаю, что эти цифры сильно преувеличены. Хотя, конечно, масштабы бедствия для Русского государства были впечатляющие, но подсчитать их невозможно. Но не будем забывать, что не менее катастрофическими были набеги крымцев на земли Великого княжества Литовского.
Для чего крымские татары захватывали пленников: для дальнейшей перепродажи или для выкупа?
И для того, и для другого.
За знатных пленников татары предпочитали получать выкуп. Но здесь возникало немало сложностей, поскольку хан имел свой полон и не мог претендовать на невольников, захваченных его мурзами и беями. Поэтому Москве и Литве приходилось договариваться о выкупе не только с ханом, но и с другими высокородными представителями крымской знати. Впоследствии ханы перевели процесс выкупа невольников в централизованное русло, передав контроль над ним караимам.
Татарская конница
Изображение: литография / Public Domain
Караимы — это кто?
Это особая этническая группа, исповедующая иудаизм.
То есть крымскую работорговлю ханы отдали на откуп местным евреям?
О происхождении караимов до сих пор идут споры, но я не склонен отождествлять их с евреями. Караимы контролировали не только выкуп знатных пленных, но и перепродажу остальных невольников туркам-османам. Большинство славянских рабов крымские татары отправляли гребцами на галеры турецкого флота. Эти невольники находились в самом бедственном положении и, как правило, долго не жили.
Другие пленники, остававшиеся в Крыму, работали на земле, в домашних хозяйствах или толмачами-переводчиками.
Как Россия противостояла агрессии Крымского ханства после катастрофы 1521 года?
После успешного похода на Москву 1521-го два года спустя крымские татары завоевали Астрахань. Это событие стало пиком могущества Крымского ханства, которое теперь контролировало переправу через Волгу и всю торговлю в ее низовьях. Однако экспансия Крыма нарушила баланс сил в регионе. Почувствовав для себя угрозу, мурзы Ногайской Орды при негласной поддержке Русского государства объединились и вторглись в Крым, подвергнув его страшному разорению. После этого на полуострове наступил период длительной нестабильности, когда Османская империя, чьим вассалом был Крым, меняла там ханов по своему разумению. Заговоры и убийства ханов их соперниками из рода Гиреев или представителями крымско-татарской аристократии было обычным делом. Эти смуты ослабляли Крымское ханство и создавали условия для вмешательства в его внутренние дела со стороны не только Османской империи, но и Русского и Польско-Литовского государств.
Историк XIX века Сергей Соловьев писал о «крымском аукционе», когда Великое княжество Московское и Великое княжество Литовское попеременно натравливали друг на друга крымских татар. И ханы в Бахчисарае с удовольствием брали деньги и от тех, и от других, а потом опустошали земли обоих государств и уводили в неволю огромный полон.
Так все и было. Московские дипломаты в Крыму постоянно противостояли польско-литовским послам. Крымские татары вели переговоры и с теми, и с другими. Ценой вопроса было количество «поминков» и «упоминков», присылаемых из Москвы и Вильно. И когда хан принимал чью-либо сторону, то другое посольство он отправлял в заточение в Чуфут-Кале.
Материалы по теме
00:00 — 3 июля 2016
Классический пример «крымского аукциона» — дипломатическая дуэль во время Ливонской войны между московским послом Афанасием Федоровичем Нагим и его литовским коллегой Александром Федоровичем Владыкой. Как известно, Великое княжество Литовское вместе с Польшей в это время воевали с Русским государством, и поэтому оба посла соревновались перед крымским ханом, кто больше «поминок» и «упоминок» ему предложит.
И Литва, и Москва отправляли в Крым своих лучших послов. Не будет преувеличением сказать, что именно на крымском направлении формировалась и крепла русская дипломатия.
Крым был приоритетом внешней политики России?
Конечно, ведь именно оттуда долгое время исходила главная угроза нашей стране. Другим приоритетом внешней политики Москвы была Литва (а потом Речь Посполитая), но Крым, безусловно, был так же важен и более опасен. Он вообще был связующим звеном во взаимоотношениях России со всеми ее соседями: Великим княжеством Литовским, Казанским ханством и Ногайской Ордой. Так получилось, что Крым постоянно оказывался в центре всех геополитических интересов Москвы.
Помимо похода 1521 года, был не менее катастрофический набег крымских татар на Москву в 1571 году. Что стало причиной его успеха?
Все было очень просто — нашлось немало предателей, охотно показавших крымским татарам броды через Оку.
Татарская конница переходит брод через реку
Зачем?
Изучением этого вопроса занимался небезызвестный Малюта Скуратов. Он выяснил, что массовая измена дворян была реакцией на опричный террор в Русском государстве. На основании выводов его расследования Иван Грозный распустил опричное войско, которое успешно грабило своих соотечественников, но оказалось совершенно бессильным перед внешним врагом. Это известная история, в 2004 году журнал «Родина» опубликовал статью об этом петербургского историка Александра Филюшкина «Холоп твой виноватый: преступление и раскаяние Кудеяра Тишенкова». Масштабы предательства в русской армии тогда были катастрофические.
Наверное, Иван Грозный сделал правильные выводы из катастрофы 1571 года, если в следующем году русские войска полностью разгромили крымских татар и турок в битве при Молодях?
Это сражение я считаю одним из поворотных моментов русской истории. К сожалению, у нас мало кто о нем помнит. После разорения Москвы Иван Грозный был вынужден пообещать хану Девлет-Гирею отдать Астрахань. Однако спустя несколько месяцев он фактически дезавуировал это обязательство. Девлет-Гирей пришел в бешенство, и стало ясно, что новый поход крымцев на Русь неизбежен.
На сей раз русские хорошо подготовились к набегу и учли ошибки прошлого года. Иван Грозный совершил обманный маневр, сделав вид, что собирается в поход на шведов. В это же время основные силы русских войск скрытно рассредоточились к югу от Москвы. В итоге битва при Молодях закончилась полным разгромом турок и крымских татар: погибли несколько ханских сыновей и влиятельных мурз, попал в плен главный военачальник хана Дивей.
Участники реконструкции этапа Молодинской битвы
Фото: Владимир Песня / РИА Новости
Это кто?
«Князь мангитский», глава рода Мансуров, возглавлявший улус ногаев-мангытов, бывших подданных Большой Орды.
Что было бы в случае иного исхода этого сражения?
Ничего хорошего для России. Тогда бы Ивану Грозному пришлось выплатить крымскому хану огромные «поминки», а через несколько лет Россия бы имела дело с мощной коалицией Крыма и Ногайской Орды под эгидой Османской империи, которая бы вдобавок захватила Астрахань для контроля над волжским торговым путем в Персию. При таких условиях мы вряд ли удержали бы и Казань. А если вспомнить, что на западных рубежах продолжался затяжной конфликт с Речью Посполитой, то тогда нашей стране пришлось бы вести войну на всех направлениях. Смогла ли бы она при этом выжить — вопрос открытый.
Еще один вопрос о работорговле. В русскоязычной статье Википедии о крымско-ногайских набегах на Русь есть свидетельство герцога Антуана де Грамона, находившегося в польско-татарской армии во время похода короля Яна Казимира на Левобережную Украину в 1663-1664 годах, об изуверском обращении крымских татар с невольниками, захваченными во время набегов.
Это середина XVII века, когда между Россией, Польшей и Крымом шла борьба за контроль над украинскими землями. Это было время повсеместного ожесточения и одичания (особенно среди ногаев), когда ослабла центральная власть крымских ханов и одновременно усилилось влияние запорожского казачества. Тогда были полностью нарушены все прежние традиции добрососедских отношений, поэтому в бесчеловечной жестокости той эпохи нет ничего удивительного.
Икона «Благословенно воинство Небесного Царя», написанная в память Казанского похода 1552 года
Изображение: Public Domain
Именно тогда, после присоединения Украины, наступил перелом в отношениях России и Крымского ханства, когда наша страна от пассивной обороны перешла к активной наступательной политике?
Нет, на самом деле наша страна в первый раз перешла в наступление на крымском направлении в конце XVI века, во время очередного династического кризиса в Крымском ханстве. Тогда же Россия пришла и на Кавказ, поставив первые укрепленные крепости на Тереке. Апофеозом этого успеха стал провал крымского похода на Москву в 1591 году, когда хан Гази-Гирей дошел до села Коломенского и Воробьевых гор, а затем был вынужден бесславно уйти восвояси и через несколько лет заключить мирный договор. В царствование Бориса Годунова на южном и восточном направлениях сложилась благоприятная для России ситуация: Казань наша, Астрахань наша, русские люди успешно осваивают Сибирь, а с Крымом удалось примириться.
Однако в начале XVII века все эти успехи оказались полностью перечеркнуты разразившейся Смутой. Новый царь Лжедмитрий I собрался в поход на Крым, чем напрочь похоронил все достижения политики Годунова. Перед Крымом замаячила реальная перспектива военного союза Москвы и Речи Посполитой, что для ханства было настоящим кошмаром. Но, как известно, вскоре Лжедмитрия I убили в Кремле и поход не состоялся.
И когда началась Смута, крымские татары ей воспользовались?
Конечно, причем там было два варианта из разряда «оба хуже». Либо их официально приглашал царь Василий Шуйский для борьбы с запорожскими казаками (основной ударной силой польско-литовской интервенции), либо они приходили сами.
Материалы по теме
00:06 — 9 июля 2016
Почему крымские татары во время Смуты охотно воевали на стороне Москвы?
Крымское ханство стремилось соблюсти выгодный для себя баланс сил в регионе, поэтому в ходе извечного противостояния Москвы с Польско-Литовским государством оно стремилось не допустить возвышения обеих сторон. Если в начале XVII века оно поддерживало Россию, то в середине столетия вернулось к коалиции с Речью Посполитой. Тем самым крымцы стремились ослабить обе страны.
Успешно?
Еще как. Украинская Руина (период смуты, гражданской войны и иностранных интервенций в истории Украины в 1657-1687 годах — прим. «Ленты.ру») второй половины XVII века для Крымского ханства была последним всплеском его активности. Не забывайте, что перед тем, как обратиться за помощью к Москве, запорожские казаки пытались заигрывать с крымскими татарами. И позже, когда во время всеобщего хаоса на Украине различные гетманы обращались за помощью к крымцам, для бахчисарайских ханов наступил звездный час. Знаменитые походы Мехмед-Гирея IV и Ислам-Гирея IV стали последними великими страницами истории Крымского ханства.
А когда наступил его упадок?
Упадок начался в эпоху «Священной лиги», когда к ней присоединились Речь Посполитая и Россия, заключившие между собой «Вечный мир» 1686 года. После этого Крымское ханство догнивало еще 100 лет — вплоть до окончательного присоединения к России в 1783 году.
Были ли «поминки», отправляемые в Бахчисарай вплоть до 1700 года, данью Москвы Крымскому ханству?
Нет. Это были добровольные посольские дары, которые не имели обязательного характера. Но крымские ханы, считавшие себя наследниками Золотой Орды, воспринимали их именно как дань. Если хотите, это можно сравнить с откупом от рэкетиров.
То есть это не было формой зависимости?
Нет, ни в одном крымско-московском договоре не было обязательств по выплате «поминок». Их периодичность и размер определялись личными договоренностями крымских ханов и московских государей. Обязательство выплачивать «упоминки» было в договорах Крыма с Польско-Литовским государством за одним исключением — там было прописано посредничество Османской империи в случае возникновения конфликтных ситуаций. Но русская дипломатия по принципиальным соображениям не могла допустить вмешательства Стамбула в свои отношения с Крымским ханством.
Правда ли, что необходимость противостояния крымской угрозе способствовала освоению степных территорий к югу от Оки, составляющих теперь Черноземный регион России?
Несомненно. Города Орел, Саратов, Царицын, Воронеж, Белгород строились как передовые русские крепости в степи на пути движения кочевых орд. Русская колонизация лесостепной полосы была во многом обусловлена военной угрозой со стороны Крымского ханства.
Материалы по теме
00:09 — 9 апреля 2016
Можно ли сказать, что для России Крымское ханство было опасным и непредсказуемым соседом?
Конечно. Можно было долго и успешно вести переговоры с крымским ханом, а потом он мог вдруг внезапно напасть на Русь и после грабежей и разбоев увести с собой огромный полон. На выкуп невольников тратились огромные средства, для этого с 1551 года на Руси ввели специальные налоги («полонячьи деньги»), которые с тягловых сословий взимали вплоть до 1679 года.
Возможно ли подсчитать материальный ущерб Русского государства от крымско-татарских набегов?
Я не думаю, что это вообще когда-либо возможно сделать. Сказать, что выкуп пленных, «поминки», уплата «запросных денег», обустройство обширной оборонительной линии в степных районах с последующей их колонизацией и прямые убытки от разорения при набегах слишком дорого стоили для России — значит ничего не сказать. Ясно одно — ущерб от такого соседства был колоссален и постоянно отвлекал финансовые и людские ресурсы, столь необходимые для внутреннего развития нашей страны.
|
Наименование предприятия |
Адрес, контакты(тел, факс,e-mail) |
Характеристика незагруженных мощностей (площадь помещений, вид помещений, наличие оборудования и т.п.) |
Вид и стоимость использования(аренда/выкуп/иное) |
ОАО «Российские железные дороги» |
632125, Новосибирская область, г. Татарск, пер. Войкова 5, 89139850347, Ольга Николаевна Попова |
В Производственный комплекс входят следующие объекты недвижимого имущества: Здание гаража на 5 машин — 308,30 кв.м.; Здание конторы — 155,70 кв.м.; Здание РБУ- 261,70 кв.м.; Здание склада ГСМ — 33,30 кв.м.; Здание склада малого — 9,80 кв.м.; Здание склада — 203,70 кв.м. Объекты расположены на земельном участке полосы отвода ж.д., подведено электричество. Общая площадь зданий и сооружений более 974 кв.м. |
Производство, выкуп |
ОАО «Российские железные дороги» |
632125, Новосибирская область, г. Татарск, ул. ЭЧ 5, 89139850347, Ольга Николаевна Попова |
Двухэтажное отдельно стоящее здание, общей площадью 1 108,4 кв. м, расположенное на земельном участке площадью 1 200,0 кв. м (земля в долгосрочной аренде). Здание капитальное, с кирпичными стенами и железобетонными перекрытиями, 1954 года постройки (требуется ремонт). Полностью обеспечено инженерными коммуникациями. |
Производство, выкуп |
Мозаика татарской культуры — Новости Свердловской области
«Давно вы на Урале?» – «Несколько веков». Так ответить могут себе позволить татары, которые на Урале уступают место по численности лишь русским.
Есть несколько версий о том, как татары появились в уральских краях, но какая из них достоверная – не ясно. Очевидно лишь то, случилось это минимум шесть веков назад, а по некоторым данным и вовсе десять. Сегодня во многих уральских районах попадаются населённые пункты, которые полностью заселены представителями этого народа.
Стремление к совершенству
«Татары любят все доводить до идеала. Считается, что даже в национальном татарском костюме воплотилось мастерство народного творчества и стремление народа к совершенству», – говорит председатель Свердловской областной общественно организации развития дружбы народов «Татары Урала» Суфия Таминдарова.
По ее словам, татарский костюм всегда создается индивидуально и по нему можно практически «прочитать» особенности характера человека, его взгляды и вкусы.
«Самым почитаемым цветом всегда был и, наверное, остается, зеленый. Он символизирует гармонию, молодость, единение с природой. Белый цвет – чистота, и потому новорожденного ребенка у татар было принято заворачивать в чистый белый кусок ткани. «Правда, этот цвет не завоевал любовь у татар в качестве основного цвета костюма», – рассказала Суфия Таминдарова, которая сама выбрала для себя зеленый бархатный костюм.
В сочетании с зеленым цветом часто использовался желтый, значение которого кардинально трансформировалось с годами: раньше он говорил о печали, теперь же обозначает свет и богатую жизнь. Синий цвет на национальном татарском костюме говорит о счастье, богатом внутреннем мире, красный – об эмоциональности или любви.
«Сегодня, – говорят татары, – цвету не придают такое большое значение. Главное – сохранить присущую национальному костюму гармонию при всей насыщенности красок».
Кто празднику рад
Татарская культура наполнена обрядами, которые бывают как календарными, так и семейными. Первые связаны с трудовой деятельностью (посев, уборка урожая смена года) и проводятся каждый год в примерно одно и тоже время. Семейные обряды выполняются по мере надобности в соответствии с семейными изменениями: рождение детей, заключение брачных союзов и других ритуалов.
Конечно, большая часть обрядов сегодня исчезла или трансформировалась. Но самым популярным из всех возможных татарских нерелигиозных праздников остается Сабантуй, который проводится весной и символизирует окончание посевных работ. На Урале период посева обычно затягивается, и потому праздник отмечают в период с конца мая до конца июня. Но вот основные традиции Сабантуя соблюдают и уважают.
В июне 2019 года Сабантуи прошли в 39 городах и поселках региона. А областной праздник в очередной раз подтвердил свой статус многонационального праздника, объединив представителей разных народов. Познакомиться с национальной культурой гости смогли на подворьях десяти муниципалитетов региона, а также на подворьях Республики Башкортостан и Татарстан, Ассоциации национально-культурных объединений Свердловской области, Курултай башкир Свердловской области, Свердловской областной общественной организации развития дружбы народов «Татары Урала» и на Уральском подворье.
Традиционная кульминация дня – соревнования и состязания по разным направлениям. Это бег, борьба или скачки на лошадях. Победителю скачек досталась кобыла Герда, а сильнейшему батыру – автомобиль и живой баран. На Урале к этим самым популярным направлениям добавились народные забавы по перетягиванию каната, бои мешками.
Где праздник – так и песни. На главной сцене Сабантуя выступили народные артисты, звезды татарской и башкирской эстрады, музыкальные и танцевальные коллективы Республик Башкортостан и Татарстан и Свердловской области, на малой – любительские национальное коллективы.
Семейные традиции
Как известно, татарский народ славится своим гостеприимством, вежливостью и эмоциональностью. Однако настоящей ценностью для татар является воспитание в детях хороших качеств – моральных и нравственных. Отцы воспитывают сыновей, приучая тех к труду, а матери уделяют больше времени дочерям, обучая их хозяйству.
Марьям Таминдарова родилась в 1947 году. Свои таланты и любовь к кулинарии, которой посвятила более 50 лет, передала не только троим детям, но и огромному количеству свердловчан. Удивительным фактом ее биографии является то, что мусульманка Марьям долгое время работала в христианском храме.
«Отец Пимен позвал меня на собеседование. Я сразу сказала ему, что мусульманка, но он подчеркнул: «Бог един». Много лет я работала в храмовом комплексе и монастыре на Ганиной Яме заведующей производством в трапезной», – рассказала Марьям Таминдарова.
Сегодня мама и бабушка передает свою любовь к татарской культуре троим детям и шестерым внукам. А еще помогает татарским организациям в проведении всех национальных мероприятий, которые проходят в Свердловской области.
Почему чак-чак?
Говорим «татарская культура» – подразумеваем чак-чак. Но любой татарин спросит: «Почему именно чак-чак?». Татарская кухня многогранна, а основу ее составляют блюда из теста с различными начинками, а не знаменитые десерты.
В татарских семьях рецепты национальной кухни хранят и передают из поколения в поколение. Особый почет – блюдам из мяса, потому что они сытные (а кому, как не бывшим кочевникам это знать?). Из напитков таары предпочитают чай, как зеленый, черный, так и травяной. Для него собирают и сушат множество растений: шиповник, смородину, липу, чабрец, душицу, зверобой и другие.
Чак-чак у татар занимает действительно важное место. Это простое блюдо, в составе которого яйца, сахар, масло, мука и мед, на каждом празднике – во главе стола.
«Именно чак-чаком татары встречают гостей вместо каравая или хлеба. Поэтому на национальном подворье, например, на Дне народов Среднего Урала, мы всегда предлагаем его нашим гостям – и представителям органов власти, и нашим друзьям их других национальных организаций, и жителям региона, пришедшим на праздник, – в первую очередь», – рассказала Марьям Таминдарова.
Кстати, раньше чак-чак был исключительно праздничным блюдом и считался прекрасным свадебным подарком. А родители молодых, навещая друг друга, непременно приносили в качестве гостинца чак-чак. Готовили его особенно: девушки на выданье катали тесто и резали, замужние жарили, а самое старшее поколение занималось медовой заливкой и формированием формы праздничного готового блюда.
Татарстан на Урале
С головой окунуться в татарскую культуру можно на мероприятиях, организованных татарскими организациями, межнациональных встречах, в том числе и таких масштабных как День народов Среднего Урала, а также на тематических выставках.
28 января 2020 года в Екатеринбурге в Доме Поклевских-Козелл открылась передвижная выставка «В гостях у татар», на которой представлены произведения изобразительного искусства из фондового собрания Елабужского историко-архитектурного и художественного музея-заповедника. Выставка рассказывает об обрядах и обычаях татарского народа – наследии, которое необходимо беречь и изучать. Каждый экспонат (а это 112 произведений изобразительного искусства, появившихся в результате четырнадцати международных симпозиумов и 68 предметов декоративно-прикладного искусства) наглядно отражает традиционную татарскую национальную культуру.
В художественных произведениях представлены свадебные обряды татар: никах (один из главных обрядов соединения брачными узами), выкуп невесты, переезд её в дом мужа, встреча невесты с традиционными испытаниями. Сабантую посвящена серия произведений Народного художника Республики Татарстан Михаила Кузнецова. На выставке также представлены декоративные панно, головные уборы, сумочки, выполненные в технике кожаной мозаики, авторские куклы ручной работы.
Мнение | Новая форма организованной преступности в России угрожает миру
Совершенно очевидно, что банды вымогателей стараются не атаковать силы, которые их укрывают. Аналитики безопасности обнаружили, что код REvil был написан таким образом, чтобы вредоносная программа обходила любой компьютер, язык которого по умолчанию — русский, украинский, белорусский, таджикский, армянский, азербайджанский, грузинский, казахский, киргизский, туркменский, узбекский, татарский, румынский или сирийский.
Найти преступников — не проблема. У правительства США есть все необходимое для того, чтобы выявлять и арестовывать потенциальных кибербезопасных рассылок на своей территории и помогать союзникам находить их на своей.Фактически, Вашингтон выявил и предъявил обвинения многим российским киберпреступникам — ФБР, например, предложило вознаграждение в размере 3 миллионов долларов за информацию, ведущую к аресту Евгения Богачева, известного как lucky12345, опытного хакера на юге России, чье вредоносное ПО привели к финансовым потерям на сумму более 100 миллионов долларов.
Главное — заставить Путина действовать против них. На встрече на высшем уровне с ним в июне г-н Байден сказал, что он потребовал, чтобы Россия ликвидировала банды вымогателей, которые она укрывает, и определил 16 важнейших секторов американской экономики, атаки на которые вызовут ответную реакцию.
Тем не менее, две недели спустя REvil нанесла самый крупный удар в истории, взломав Kaseya, фирму, поставляющую программное обеспечение для управления информационными технологиями. промышленность, и атакует сотни своих клиентов из малого бизнеса. Это побудило Байдена позвонить г-ну Путину и потом сказать, что «мы ожидаем, что они будут действовать». На вопрос репортера, отключит ли он серверы REvil, если г-н Путин этого не сделает, г-н Байден просто сказал: «Да». Вскоре после этого REvil внезапно исчез из даркнета.
Как ни соблазнительно поверить в то, что г.Байден убедил русских действовать или вырубил серверы группы американскими средствами, также возможно, что REvil потемнел сам по себе, намереваясь, как это часто случается в его темном мире, снова появиться позже в других обличьях.
Пока хакеры сосредоточены на коммерческом шантаже за границей, г-н Путин, вероятно, не видит причин для их закрытия. Они не причиняют вреда ни ему, ни его друзьям, и при необходимости могут быть использованы его призраками. В отличие от «официальных» хакеров, работающих на военную разведку, которые ввели санкции из Вашингтона и Европы за вмешательство в выборы или возню с правительственными системами, г-н.Путин может отрицать любую ответственность за действия преступных группировок. «Это просто вздор. Это забавно », — сказал он в июне, когда его спросили о роли России в атаках программ-вымогателей. «Абсурдно обвинять в этом Россию».
Русские, по-видимому, также считают, что они могут использовать свой контроль над бандами вымогателей для переговоров с Западом. Сергей Рыбаков, заместитель министра иностранных дел, который возглавляет российскую сторону в переговорах о стратегической стабильности, начатых на саммите Байдена и Путина, указал на это, когда недавно пожаловался, что Соединенные Штаты уделяют внимание программам-вымогателям отдельно от других вопросов безопасности.Он подразумевал, что программы-вымогатели были частью большой кучи козырей.
Код в крупной атаке с использованием программ-вымогателей, написанной для обхода компьютеров, использующих русский язык, говорится в новом отчете
ВАШИНГТОН. Компьютерный код, стоящий за массивной атакой программ-вымогателей со стороны русскоязычной хакерской группы REvil, был написан таким образом, чтобы вредоносная программа избегала систем, которые в основном используют русский язык. или родственные языки, согласно новому отчету фирмы, занимающейся кибербезопасностью.
Давно известно, что некоторые вредоносные программы включают эту функцию, но отчет Trustwave SpiderLabs, полученный эксклюзивно NBC News, кажется первым публично идентифицирующим его как элемент последней атаки, которая, как полагают, является крупнейшая кампания вымогателей за всю историю.
«Они не хотят раздражать местные власти, и они знают, что смогут вести свой бизнес намного дольше, если будут делать это таким образом», — сказал Зив Мадор, вице-президент Trustwave SpiderLabs по исследованиям в области безопасности.
Щелкните здесь, чтобы прочитать отчет
Новое разоблачение подчеркивает, насколько большая часть программ-вымогателей происходит из России и бывшего Советского Союза, и подчеркивает проблему, стоящую перед администрацией Байдена, поскольку она рассматривает возможные варианты ответа.
Байден заявил во вторник, что его администрация еще не определила источник последней атаки. По мнению исследователей безопасности, эта атака не оказала значительного разрушительного воздействия на США, но ее называют крупнейшей в истории атакой с использованием программ-вымогателей.
Атака была особенно изощренной, с использованием ранее неизвестной программной уязвимости — уязвимости «нулевого дня» — для заражения ИТ-компании, которая затем заразила другие ИТ-компании, а затем заразила сотни клиентов.
Trustwave заявила, что программа-вымогатель «избегает систем с языками по умолчанию из региона СССР. Это включает русский, украинский, белорусский, таджикский, армянский, азербайджанский, грузинский, казахский, киргизский, туркменский, узбекский, татарский, румынский, русский Молдова. , Сирийский и сирийский арабский «.
В мае эксперт по кибербезопасности Брайан Кребс отметил, что программа-вымогатель от DarkSide, российской группировки, атаковавшей Colonial Pipeline в мае, «имеет жестко запрограммированный список стран, которые нельзя устанавливать», включая Россию и бывшие советские сателлиты, которые в основном имеют благоприятные отношения с Кремлем.
Colonial управляет крупнейшим топливопроводом в США и был вынужден прекратить все операции на несколько дней, пытаясь снова подключиться к сети, что привело к нехватке газа по всей стране.
В целом, по мнению экспертов, преступным группам вымогателей разрешено безнаказанно действовать в России и других странах бывшего Советского Союза, если они сосредоточивают свои атаки на США и на Западе.
Кребс отметил, что в некоторых случаях простая установка русскоязычной виртуальной клавиатуры на компьютере под управлением Microsoft Windows заставит вредоносное ПО обойти эту машину.
Администрация Байдена пытается заручиться глобальной поддержкой, чтобы оказать давление на Россию и ее соседей с целью принятия жестких мер.
Кен ДиланианКен Диланиан — корреспондент отдела расследований NBC News, освещающий вопросы разведки и национальной безопасности.
украинских заложников не забыты, но Россия понимает только язык выкупа и санкций
7 сентября, ровно через год после того, как Россия освободила 24 украинских военнопленных и 11 политзаключенных, трое мужчин: Олег Сенцов; Александр Кольченко и Владимир Балух направили трогательные слова поддержки на украинском, крымскотатарском и русском языках более чем 100 крымским татарам и другим украинцам, которых Россия не намерена освобождать.Каждый из троих слишком хорошо знал, как «тяжело ждать, почти не имея надежды на освобождение». Они заверяют тех, кто остается в плену, что борьба за их освобождение будет продолжаться до тех пор, пока все не будут освобождены, и что никто не будет забыт.Из отчетов всех освобожденных политзаключенных мы знаем, насколько важны письма как доказательство лжи сотрудников ФСБ и российских тюрем, которые пытаются убедить их в том, что «Украина их бросила».
Год назад президент Владимир Зеленский был очень оптимистичен по поводу того, что это был первый из серии обменов мнениями.Что касается российских политзаключенных, то с тех пор их не выпускали. Хотя критика, безусловно, может быть направлена в адрес украинского руководства, главная проблема заключается в поиске рычагов, когда Кремль так явно использовал политических заключенных в качестве заложников и требовал огромных выкупов. Президента России Владимира Путина не интересуют обычные российские наемники или мелкие головорезы, нанятые для убийства на Донбассе или создания проблем в других частях Украины. Если их поймают, они останутся одни. Три основных обмена украинскими политзаключенными с начала агрессии России против Украины были дорогостоящими.В 2016 году бывший военный летчик, депутат парламента и депутат Парламентской ассамблеи Совета Европы Надежда Савченко была обменена на двух офицеров российской военной разведки — Евгения Ерофеева и Александра Александрова , чей захват на Донбассе стал важным свидетельством необъявленной войны России. против своего соседа. В октябре 2017 года в рамках договоренности, включающей Турцию, Россия освободила лидеров крымскотатарского меджлиса Ахтема Чийгоза и Ильми Умерова , почти наверняка в обмен на двух российских государственных убийц — Александра Смирнова и Юрия Анисимова , арестованных в Турции по обвинения в шпионаже и политическом убийстве.
Хотя ранее много говорилось о желании Кремля добиться освобождения печально известного пропагандиста Кирилла Вышинского, почти наверняка Путину было необходимо вывести свидетеля / подозреваемого по Mh27 Владимира Цемаха из лап прокурора Нидерландов, что привело к освобождению Сенцова. , самый известный украинский политический заключенный Кремля и еще 10 человек, а также из 24 военнопленных (которых России приказал Международный трибунал по морскому праву освободить (см .: Как Россия может отрицать ответственность за Mh27, когда он сдал Сенцова, других, чтобы вывести из Украины ключевых свидетелей?).
Подавляющее большинство украинских политзаключенных имеют российское гражданство, главным образом потому, что Россия сделала практически невозможным жить и работать в оккупированном Крыму без него. Такое принуждение является прямым нарушением международного права, и не может быть уважительного оправдания тому, что не было освобождено более 100 крымских татар и других украинцев, заключенных в тюрьму по политически мотивированным обвинениям или за их веру.
Давление со стороны Запада могло бы послужить выкупом, но для этого западным лидерам, правительствам и СМИ нужно напомнить о тяжелом положении отдельных украинских заложников.
Следующие ниже лишь небольшая часть от общего числа политических заключенных, но все они (среди большего числа тех, кто) отбывают тюремное заключение сроком на четыре года или дольше. Перейдите по ссылкам, чтобы узнать, как им писать, и помогите, убедив своих избранных представителей высказаться от их имени.
Валентин Выговский
Выговский был похищен из оккупированного Крыма в сентябре 2014 года, доставлен в Москву и подвергнут ужасающим пыткам, находясь под стражей без связи с внешним миром около 8 месяцев.У него не было независимого адвоката до тех пор, пока он не согласился с помощью «методов убеждения» ФСБ признать причудливые обвинения в «шпионаже» и был приговорен к 11 годам лишения свободы. Он содержится практически в полной одиночной камере.
См .: Украинский политзаключенный Выговский сидит в России дольше, чем его дед при Сталине
Владимир Шур
Шур, 63 года, является одним из старейших политических заключенных и одним из как минимум трех мужчин, вместе с Выговским и Николаем Шиптуром , которые находятся в заключении с 2014 года, когда быть украинцем было достаточно для задержания мужчин. а затем заключен в тюрьму по обвинению в «шпионаже».10 марта Виктору Шуру исполнилось 63 года, когда ему исполнился шестой день рождения в российском заключении. В случае с Шуром он, судя по всему, был приговорен к 12 годам лишения свободы за фотографию коров, пасущихся на заброшенном аэродроме в Брянской области.
Руслан Зейтуллаев
Молодой отец троих детей — один из первых четырех крымских татар, арестованных и заключенных в тюрьму по фатально ошибочному обвинению в причастности к мирному движению «Хизб ут-Тахрир», которое является законным в Украине.
Дело было полностью основано на «кухонных разговорах» о религии и политике (включая оккупацию Крыма Россией).Это было настолько явно сфабриковано, что судьи в Ростове (Россия), не набравшись смелости оправдать мужчин, вынесли минимально возможные приговоры и заменили Зейтуллаеву обвинение в «причастности» к группировке Хизб ут-Тахрир. , а не «организовывать» это.
ФСБ нуждался в «организаторе» для своей работы с документами и, по сути, добился проведения так называемого «повторного судебного разбирательства», когда судьи на то время уступили и приговорили его к 15 годам заключения.
Андрей Коломиец
Коломиец находится в заключении в России с 2015 года по чрезвычайно циничным обвинениям, по сути, за участие в Украинской Революции Достоинства (или Евромайдане).Был изъят в
г.Годовщина также должна быть горькой для Андрея Коломиеца , молодого украинца, приговоренного контролируемым Россией судом к 10 годам лишения свободы за пребывание на Майдане в 2014 году. На момент ареста ему было 22 года, он жил на Северном Кавказе ( Россия) со своей партнершей (ныне женой) Галиной и ее детьми. Его схватили и увезли в оккупированный Крым. Там два бывших офицера «Беркута», которые предали свою присягу Украине, заявили, что он в Киеве, на территории Украины и согласно украинскому законодательству, в то время, когда все трое имели только украинское гражданство, «причинил им боль», бросив коктейль Молотова. .О такой «боли» не было зафиксировано, но Коломиецу было предъявлено обвинение в «покушении на убийство», и он до сих пор отбывает ужасный 10-летний срок.
Правозащитник Эмир-Усейн Куку и еще пять украинских мусульман
Куку, сын ветерана крымскотатарского национального движения, был первым крымскотатарским правозащитником, ставшим мишенью для использования Россией «судебных процессов» с конвейерной лентой «Хизб ут-Тахрир». Тот факт, что он уже столкнулся с попыткой похищения и серьезным преследованием со стороны ФСБ до этих новых обвинений, означал, что его дело было взято Amnesty International и другими правозащитными группами.На самом деле, кажется, есть все основания рассматривать всех шестерых мужчин: Муслимов Алиева; Инвер Бекиров; Рефат Алимов; Арсен Джеппаров; Эмир-Усеин Куку и Вадим Сирук узник совести, и все они признаны политическими заключенными ПЦ «Мемориал».
Куку был приговорен к 12 годам тюремного заключения строгого режима, остальные — к срокам от 7 до 19 лет без какого-либо преступления.
Владимир Дудка и Алексей Бессарабовв
Дудка, капитан флота в отставке, который недавно стал дедушкой, и академики Бессарабов и Дмитрий Штыбликов были захвачены в оккупированном Севастополе в ноябре 2016 года в рамках второй попытки России сфабриковать показательный процесс над «украинским саботажником».Все трое подверглись пыткам, Штыбликов также лишился возможности встретиться с независимым адвокатом. Доказательств обвинений против этих мужчин не было, но все трое находятся в заключении в России, а Дудка и Бессарабов получили особенно шокирующие 14-летние приговоры в отместку за отказ признаться в преступлениях, которых они никогда не совершали.
См. Также:
Николай Шиптур
Первый украинский политзаключенный в России должен был умереть
Андрей Захтей
Шесть с половиной лет лишения свободы за фиктивный «украинский диверсионный заговор» в оккупированном Россией Крыму
Мамутов Энвер; Рустем Абилтаров; Зеври Абсеитов и Ремзи Меметов
17 лет лишения свободы за соблюдение закона и веры.Крымскотатарский рассказ под русской оккупацией
Теймур и Узеир Абдуллаев, Эмиль Дземаденов; Рустем Исмаилов и Аидер Салединов
Россия сокращает страшные приговоры пятерым крымскотатарским политзаключенным на все 6 месяцев
Вышеупомянутые не единственные крымскотатарские и другие украинские политзаключенные, которые уже находятся в заключении столько же или почти столько же, сколько мужчины, освобожденные год назад. После обмена 7 сентября 2019 года Россия арестовала и заключила в тюрьму как минимум столько украинцев, сколько было освобождено в тот день.
(см. Цена капитуляции ПАСЕ перед Россией: рост числа крымскотатарских и других украинских политзаключенных)
% PDF-1.4 % 1 0 объект > / MarkInfo> / StructTreeRoot 1810 0 R >> эндобдж 2 0 obj > эндобдж 3 0 obj > эндобдж 5 0 obj > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 0 >> эндобдж 9 0 объект > эндобдж 187 0 объект > эндобдж 188 0 объект [ 189 0 руб. ] эндобдж 189 0 объект > эндобдж 190 0 объект > эндобдж 191 0 объект > эндобдж 192 0 объект > эндобдж 193 0 объект [ 194 0 руб. ] эндобдж 194 0 объект > эндобдж 195 0 объект > эндобдж 196 0 объект > эндобдж 197 0 объект > эндобдж 198 0 объект [ 199 0 руб. ] эндобдж 199 0 объект > эндобдж 200 0 объект > эндобдж 201 0 объект > эндобдж 204 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 1 >> эндобдж 208 0 объект > эндобдж 365 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 2 >> эндобдж 367 0 объект > эндобдж 504 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 3 >> эндобдж 506 0 объект > эндобдж 663 0 объект > эндобдж 664 0 объект [ 665 0 руб. ] эндобдж 665 0 объект > эндобдж 666 0 объект > эндобдж 667 0 объект > эндобдж 670 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 4 >> эндобдж 672 0 объект > эндобдж 825 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 5 >> эндобдж 827 0 объект > эндобдж 978 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 6 >> эндобдж 980 0 объект > эндобдж 1101 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 7 >> эндобдж 1103 0 объект > эндобдж 1248 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 8 >> эндобдж 1250 0 объект > эндобдж 1389 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 9 >> эндобдж 1391 0 объект > эндобдж 1556 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 10 >> эндобдж 1557 0 объект > эндобдж 1558 0 объект > эндобдж 1560 0 объект > эндобдж 1745 0 объект > / ExtGState> / ProcSet [/ PDF / Text] >> / StructParents 11 >> эндобдж 1747 0 объект > эндобдж 1810 0 объект > эндобдж 1811 0 объект > эндобдж 1812 0 объект > эндобдж 1813 0 объект > эндобдж 1814 0 объект / _No_paragraph_style_ эндобдж 1815 0 объект > / K [1816 0 1818 0 R 1819 0 R] >> эндобдж 1816 0 объект > эндобдж 1817 0 объект > / A7> / Pa0> / Pa1> / Па2> / Pa3> / A4> / Pa8> / Pa4> / A5> / A6> >> эндобдж 1818 0 объект > эндобдж 1819 0 объект > эндобдж 1820 0 объект > эндобдж 1821 0 объект > / K [1822 0 1823 0 R 1824 0 R 1825 0 R 1826 0 R] >> эндобдж 1822 0 объект > эндобдж 1823 0 объект > эндобдж 1824 0 объект > эндобдж 1825 0 объект > эндобдж 1826 0 объект > эндобдж 1827 0 объект > эндобдж 1828 0 объект > эндобдж 1829 0 объект > эндобдж 1830 0 объект > эндобдж 1831 0 объект > / П 1830 0 Р / Стр. 5 0 R / К 1 >> эндобдж 1832 0 объект > эндобдж 1833 0 объект > эндобдж 1834 0 объект > эндобдж 1835 0 объект > эндобдж 1836 0 объект > эндобдж 1837 0 объект > эндобдж 1838 0 объект > эндобдж 1839 0 объект > эндобдж 1840 0 объект > эндобдж 1841 0 объект > эндобдж 1842 0 объект > эндобдж 1843 0 объект > эндобдж 1844 0 объект > эндобдж 1845 0 объект > эндобдж 1846 0 объект > эндобдж 1847 0 объект > эндобдж 1848 0 объект > эндобдж 1849 0 объект > эндобдж 1850 0 объект > эндобдж 1851 0 объект > эндобдж 1852 0 объект > эндобдж 1853 0 объект > эндобдж 1854 0 объект > эндобдж 1855 0 объект > эндобдж 1856 0 объект > эндобдж 1857 0 объект > эндобдж 1858 0 объект > эндобдж 1859 0 объект > эндобдж 1860 0 объект > эндобдж 1861 0 объект > эндобдж 1862 0 объект > эндобдж 1863 0 объект > эндобдж 1864 0 объект > эндобдж 1865 0 объект > эндобдж 1866 0 объект > эндобдж 1867 0 объект > эндобдж 1868 0 объект > эндобдж 1869 0 объект > эндобдж 1870 0 объект > эндобдж 1871 0 объект > эндобдж 1872 0 объект > эндобдж 1873 0 объект > эндобдж 1874 0 объект > эндобдж 1875 0 объект > эндобдж 1876 0 объект > эндобдж 1877 0 объект > эндобдж 1878 0 объект > эндобдж 1879 0 объект > эндобдж 1880 0 объект > эндобдж 1881 0 объект > эндобдж 1882 0 объект > эндобдж 1883 0 объект > эндобдж 1884 0 объект > эндобдж 1885 0 объект > эндобдж 1886 0 объект > эндобдж 1887 0 объект > эндобдж 1888 0 объект > эндобдж 1889 0 объект > эндобдж 1890 0 объект > эндобдж 1891 0 объект > эндобдж 1892 0 объект > эндобдж 1893 0 объект > эндобдж 1894 0 объект > эндобдж 1895 0 объект > эндобдж 1896 0 объект > эндобдж 1897 0 объект > эндобдж 1898 0 объект > эндобдж 1899 0 объект > эндобдж 1900 0 объект > эндобдж 1901 0 объект > эндобдж 1902 0 объект > эндобдж 1903 0 объект > эндобдж 1904 0 объект > эндобдж 1905 0 объект > эндобдж 1906 0 объект > эндобдж 1907 0 объект > эндобдж 1908 0 объект > эндобдж 1909 0 объект > эндобдж 1910 0 объект > эндобдж 1911 0 объект > эндобдж 1912 0 объект > эндобдж 1913 0 объект > эндобдж 1914 0 объект > эндобдж 1915 0 объект > эндобдж 1916 0 объект > эндобдж 1917 0 объект > эндобдж 1918 0 объект > эндобдж 1919 0 объект > эндобдж 1920 0 объект > эндобдж 1921 0 объект > эндобдж 1922 0 объект > эндобдж 1923 0 объект > эндобдж 1924 0 объект > эндобдж 1925 0 объект > эндобдж 1926 0 объект > эндобдж 1927 0 объект > эндобдж 1928 0 объект > эндобдж 1929 0 объект > эндобдж 1930 0 объект > эндобдж 1931 0 объект > эндобдж 1932 0 объект > эндобдж 1933 0 объект > эндобдж 1934 0 объект > эндобдж 1935 0 объект > эндобдж 1936 0 объект > эндобдж 1937 0 объект > эндобдж 1938 0 объект > эндобдж 1939 0 объект > эндобдж 1940 0 объект > эндобдж 1941 0 объект > эндобдж 1942 0 объект > эндобдж 1943 0 объект > эндобдж 1944 0 объект > эндобдж 1945 0 объект > эндобдж 1946 0 объект > эндобдж 1947 0 объект > эндобдж 1948 0 объект > эндобдж 1949 0 объект > эндобдж 1950 0 объект > эндобдж 1951 0 объект > эндобдж 1952 0 объект > эндобдж 1953 0 объект > эндобдж 1954 0 объект > эндобдж 1955 0 объект > эндобдж 1956 0 объект > эндобдж 1957 0 объект > эндобдж 1958 0 объект > эндобдж 1959 0 объект > эндобдж 1960 0 объект > эндобдж 1961 0 объект > эндобдж 1962 0 объект > эндобдж 1963 0 объект > эндобдж 1964 0 объект > эндобдж 1965 0 объект > эндобдж 1966 0 объект > эндобдж 1967 0 объект > эндобдж 1968 0 объект > эндобдж 1969 0 объект > эндобдж 1970 0 объект > эндобдж 1971 0 объект > эндобдж 1972 0 объект > эндобдж 1973 0 объект > эндобдж 1974 0 объект > эндобдж 1975 0 объект > эндобдж 1976 0 объект > эндобдж 1977 0 объект > эндобдж 1978 0 объект > эндобдж 1979 0 объект > эндобдж 1980 0 объект > эндобдж 1981 0 объект > эндобдж 1982 0 объект > эндобдж 1983 0 объект > эндобдж 1984 0 объект > эндобдж 1985 0 объект > эндобдж 1986 0 объект > эндобдж 1987 0 объект > эндобдж 1988 0 объект > эндобдж 1989 0 объект > эндобдж 1990 0 объект > эндобдж 1991 0 объект > эндобдж 1992 0 объект > эндобдж 1993 0 объект > эндобдж 1994 0 объект > эндобдж 1995 0 объект > эндобдж 1996 0 объект > эндобдж 1997 0 obj > эндобдж 1998 0 obj > эндобдж 1999 0 объект > эндобдж 2000 0 объект > эндобдж 2001 0 объект > эндобдж 2002 0 объект > эндобдж 2003 0 объект > эндобдж 2004 0 объект > эндобдж 2005 0 объект > эндобдж 2006 0 объект > эндобдж 2007 0 объект > эндобдж 2008 0 объект > эндобдж 2009 0 объект > эндобдж 2010 0 объект > эндобдж 2011 0 объект > эндобдж 2012 0 объект > эндобдж 2013 0 объект > эндобдж 2014 0 объект > эндобдж 2015 0 объект > эндобдж 2016 0 объект > эндобдж 2017 0 объект > эндобдж 2018 0 объект > эндобдж 2019 0 obj > эндобдж 2020 0 объект > эндобдж 2021 0 объект > эндобдж 2022 0 объект > эндобдж 2023 0 объект > эндобдж 2024 0 объект > эндобдж 2025 0 объект > эндобдж 2026 0 объект > эндобдж 2027 0 объект > эндобдж 2028 0 объект > эндобдж 2029 0 объект > эндобдж 2030 0 объект > эндобдж 2031 0 объект > эндобдж 2032 0 объект > эндобдж 2033 0 объект > эндобдж 2034 0 объект > эндобдж 2035 0 объект > эндобдж 2036 0 объект > эндобдж 2037 0 объект > эндобдж 2038 0 объект > эндобдж 2039 0 объект > эндобдж 2040 0 объект > эндобдж 2041 0 объект > эндобдж 2042 0 объект > эндобдж 2043 0 объект > эндобдж 2044 0 объект > эндобдж 2045 0 объект > эндобдж 2046 0 объект > эндобдж 2047 0 объект > эндобдж 2048 0 объект > эндобдж 2049 0 объект > эндобдж 2050 0 объект > эндобдж 2051 0 объект > эндобдж 2052 0 объект > эндобдж 2053 0 объект > эндобдж 2054 0 объект > эндобдж 2055 0 объект > эндобдж 2056 0 объект > эндобдж 2057 0 объект > эндобдж 2058 0 объект > эндобдж 2059 0 объект > эндобдж 2060 0 объект > эндобдж 2061 0 объект > эндобдж 2062 0 объект > эндобдж 2063 0 объект > эндобдж 2064 0 объект > эндобдж 2065 0 объект > эндобдж 2066 0 объект > эндобдж 2067 0 объект > эндобдж 2068 0 объект > эндобдж 2069 0 объект > эндобдж 2070 0 объект > эндобдж 2071 0 объект > эндобдж 2072 0 объект > эндобдж 2073 0 объект > эндобдж 2074 0 объект > эндобдж 2075 0 объект > эндобдж 2076 0 объект > эндобдж 2077 0 объект > эндобдж 2078 0 объект > эндобдж 2079 0 объект > эндобдж 2080 0 объект > эндобдж 2081 0 объект > эндобдж 2082 0 объект > эндобдж 2083 0 объект > эндобдж 2084 0 объект > эндобдж 2085 0 объект > эндобдж 2086 0 объект > эндобдж 2087 0 объект > эндобдж 2088 0 объект > эндобдж 2089 0 объект > эндобдж 2090 0 объект > эндобдж 2091 0 объект > эндобдж 2092 0 объект > эндобдж 2093 0 объект > эндобдж 2094 0 объект > эндобдж 2095 0 объект > эндобдж 2096 0 объект > эндобдж 2097 0 объект > эндобдж 2098 0 объект > эндобдж 2099 0 объект > эндобдж 2100 0 объект > эндобдж 2101 0 объект > эндобдж 2102 0 объект > эндобдж 2103 0 объект > эндобдж 2104 0 объект > эндобдж 2105 0 объект > эндобдж 2106 0 объект > эндобдж 2107 0 объект > эндобдж 2108 0 объект > эндобдж 2109 0 объект > эндобдж 2110 0 объект > эндобдж 2111 0 объект > эндобдж 2112 0 объект > эндобдж 2113 0 объект > эндобдж 2114 0 объект > эндобдж 2115 0 объект > эндобдж 2116 0 объект > эндобдж 2117 0 объект > эндобдж 2118 0 объект > эндобдж 2119 0 объект > эндобдж 2120 0 объект > эндобдж 2121 0 объект > эндобдж 2122 0 объект > эндобдж 2123 0 объект > эндобдж 2124 0 объект > эндобдж 2125 0 объект > эндобдж 2126 0 объект > эндобдж 2127 0 объект > эндобдж 2128 0 объект > эндобдж 2129 0 объект > эндобдж 2130 0 объект > эндобдж 2131 0 объект > эндобдж 2132 0 объект > эндобдж 2133 0 объект > эндобдж 2134 0 объект > эндобдж 2135 0 объект > эндобдж 2136 0 объект > эндобдж 2137 0 объект > эндобдж 2138 0 объект > эндобдж 2139 0 объект > эндобдж 2140 0 объект > эндобдж 2141 0 объект > эндобдж 2142 0 объект > эндобдж 2143 0 объект > эндобдж 2144 0 объект > эндобдж 2145 0 объект > эндобдж 2146 0 объект > эндобдж 2147 0 объект > эндобдж 2148 0 объект > эндобдж 2149 0 объект > эндобдж 2150 0 объект > эндобдж 2151 0 объект > эндобдж 2152 0 объект > эндобдж 2153 0 объект > эндобдж 2154 0 объект > эндобдж 2155 0 объект > эндобдж 2156 0 объект > эндобдж 2157 0 объект > эндобдж 2158 0 объект > эндобдж 2159 0 объект > эндобдж 2160 0 объект > эндобдж 2161 0 объект > эндобдж 2162 0 объект > эндобдж 2163 0 объект > эндобдж 2164 0 объект > эндобдж 2165 0 объект > эндобдж 2166 0 объект > эндобдж 2167 0 объект > эндобдж 2168 0 объект > эндобдж 2169 0 объект > эндобдж 2170 0 объект > эндобдж 2171 0 объект > эндобдж 2172 0 объект > эндобдж 2173 0 объект > эндобдж 2174 0 объект > эндобдж 2175 0 объект > эндобдж 2176 0 объект > эндобдж 2177 0 объект > эндобдж 2178 0 объект > эндобдж 2179 0 объект > эндобдж 2180 0 объект > эндобдж 2181 0 объект > эндобдж 2182 0 объект > эндобдж 2183 0 объект > эндобдж 2184 0 объект > эндобдж 2185 0 объект > эндобдж 2186 0 объект > эндобдж 2187 0 объект > эндобдж 2188 0 объект > эндобдж 2189 0 объект > эндобдж 2190 0 объект > эндобдж 2191 0 объект > эндобдж 2192 0 объект > эндобдж 2193 0 объект > эндобдж 2194 0 объект > эндобдж 2195 0 объект > эндобдж 2196 0 объект > эндобдж 2197 0 объект > эндобдж 2198 0 объект > эндобдж 2199 0 объект > эндобдж 2200 0 объект > эндобдж 2201 0 объект > эндобдж 2202 0 объект > эндобдж 2203 0 объект > эндобдж 2204 0 объект > эндобдж 2205 0 объект > эндобдж 2206 0 объект > эндобдж 2207 0 объект > эндобдж 2208 0 объект > эндобдж 2209 0 объект > эндобдж 2210 0 объект > эндобдж 2211 0 объект > эндобдж 2212 0 объект > эндобдж 2213 0 объект > эндобдж 2214 0 объект > эндобдж 2215 0 объект > эндобдж 2216 0 объект > эндобдж 2217 0 объект > эндобдж 2218 0 объект > эндобдж 2219 0 объект > эндобдж 2220 0 объект > эндобдж 2221 0 объект > эндобдж 2222 0 объект > эндобдж 2223 0 объект > эндобдж 2224 0 объект > эндобдж 2225 0 объект > эндобдж 2226 0 объект > эндобдж 2227 0 объект > эндобдж 2228 0 объект > эндобдж 2229 0 объект > эндобдж 2230 0 объект > эндобдж 2231 0 объект > эндобдж 2232 0 объект > эндобдж 2233 0 объект > эндобдж 2234 0 объект > эндобдж 2235 0 объект > эндобдж 2236 0 объект > эндобдж 2237 0 объект > эндобдж 2238 0 объект > эндобдж 2239 0 объект > эндобдж 2240 0 объект > эндобдж 2241 0 объект > эндобдж 2242 0 объект > эндобдж 2243 0 объект > эндобдж 2244 0 объект > эндобдж 2245 0 объект > эндобдж 2246 0 объект > эндобдж 2247 0 объект > эндобдж 2248 0 объект > эндобдж 2249 0 объект > эндобдж 2250 0 объект > эндобдж 2251 0 объект > эндобдж 2252 0 объект > эндобдж 2253 0 объект > эндобдж 2254 0 объект > эндобдж 2255 0 объект > эндобдж 2256 0 объект > эндобдж 2257 0 объект > эндобдж 2258 0 объект > эндобдж 2259 0 объект > эндобдж 2260 0 объект > эндобдж 2261 0 объект > эндобдж 2262 0 объект > эндобдж 2263 0 объект > эндобдж 2264 0 объект > эндобдж 2265 0 объект > эндобдж 2266 0 объект > эндобдж 2267 0 объект > эндобдж 2268 0 объект > эндобдж 2269 0 объект > эндобдж 2270 0 объект > эндобдж 2271 0 объект > эндобдж 2272 0 объект > эндобдж 2273 0 объект > эндобдж 2274 0 объект > эндобдж 2275 0 объект > эндобдж 2276 0 объект > эндобдж 2277 0 объект > эндобдж 2278 0 объект > эндобдж 2279 0 объект > эндобдж 2280 0 объект > эндобдж 2281 0 объект > эндобдж 2282 0 объект > эндобдж 2283 0 объект > эндобдж 2284 0 объект > эндобдж 2285 0 объект > эндобдж 2286 0 объект > эндобдж 2287 0 объект > эндобдж 2288 0 объект > эндобдж 2289 0 объект > эндобдж 2290 0 объект > эндобдж 2291 0 объект > эндобдж 2292 0 объект > эндобдж 2293 0 объект > эндобдж 2294 0 объект > эндобдж 2295 0 объект > эндобдж 2296 0 объект > эндобдж 2297 0 объект > эндобдж 2298 0 объект > эндобдж 2299 0 объект > эндобдж 2300 0 объект > эндобдж 2301 0 объект > эндобдж 2302 0 объект > эндобдж 2303 0 объект > эндобдж 2304 0 объект > эндобдж 2305 0 объект > эндобдж 2306 0 объект > эндобдж 2307 0 объект > эндобдж 2308 0 объект > эндобдж 2309 0 объект > эндобдж 2310 0 объект > эндобдж 2311 0 объект > эндобдж 2312 0 объект > эндобдж 2313 0 объект > эндобдж 2314 0 объект > эндобдж 2315 0 объект > эндобдж 2316 0 объект > эндобдж 2317 0 объект > эндобдж 2318 0 объект > эндобдж 2319 0 объект > эндобдж 2320 0 объект > эндобдж 2321 0 объект > эндобдж 2322 0 объект > эндобдж 2323 0 объект > эндобдж 2324 0 объект > эндобдж 2325 0 объект > эндобдж 2326 0 объект > эндобдж 2327 0 объект > эндобдж 2328 0 объект > эндобдж 2329 0 объект > эндобдж 2330 0 объект > эндобдж 2331 0 объект > эндобдж 2332 0 объект > эндобдж 2333 0 объект > эндобдж 2334 0 объект > эндобдж 2335 0 объект > эндобдж 2336 0 объект > эндобдж 2337 0 объект > эндобдж 2338 0 объект > эндобдж 2339 0 объект > эндобдж 2340 0 объект > эндобдж 2341 0 объект > эндобдж 2342 0 объект > эндобдж 2343 0 объект > эндобдж 2344 0 объект > эндобдж 2345 0 объект > эндобдж 2346 0 объект > эндобдж 2347 0 объект > эндобдж 2348 0 объект > эндобдж 2349 0 объект > эндобдж 2350 0 объект > эндобдж 2351 0 объект > эндобдж 2352 0 объект > эндобдж 2353 0 объект > эндобдж 2354 0 объект > эндобдж 2355 0 объект > эндобдж 2356 0 объект > эндобдж 2357 0 объект > эндобдж 2358 0 объект > эндобдж 2359 0 объект > эндобдж 2360 0 объект > эндобдж 2361 0 объект > эндобдж 2362 0 объект > эндобдж 2363 0 объект > эндобдж 2364 0 объект / footnote_text эндобдж 2365 0 объект > эндобдж 2366 0 объект > эндобдж 2367 0 объект > эндобдж 2368 0 объект > эндобдж 2369 0 объект > эндобдж 2370 0 объект > эндобдж 2371 0 объект > эндобдж 2372 0 объект > эндобдж 2373 0 объект > эндобдж 2374 0 объект > эндобдж 2375 0 объект > эндобдж 2376 0 объект > эндобдж 2377 0 объект > эндобдж 2378 0 объект / endnote_text эндобдж 2379 0 объект > эндобдж 2380 0 объект > эндобдж 2381 0 объект > эндобдж 2382 0 объект > эндобдж 2383 0 объект > эндобдж 2384 0 объект > эндобдж 2385 0 объект > эндобдж 2386 0 объект > эндобдж 2387 0 объект > эндобдж 2388 0 объект > эндобдж 2389 0 объект > эндобдж 2390 0 объект > эндобдж 2391 0 объект > эндобдж 2392 0 объект > эндобдж 2393 0 объект > эндобдж 2394 0 объект > эндобдж 2395 0 объект > эндобдж 2396 0 объект > эндобдж 2397 0 объект > эндобдж 2398 0 объект > эндобдж 2399 0 объект > эндобдж 2400 0 объект > эндобдж 2401 0 объект > эндобдж 2402 0 объект > эндобдж 2403 0 объект > эндобдж 2404 0 объект > эндобдж 2405 0 объект > эндобдж 2406 0 объект > эндобдж 2407 0 объект > эндобдж 2408 0 объект > эндобдж 2409 0 объект > эндобдж 2410 0 объект > эндобдж 2411 0 объект > эндобдж 2412 0 объект > эндобдж 2413 0 объект > эндобдж 2414 0 объект > эндобдж 2415 0 объект > эндобдж 2416 0 объект > эндобдж 2417 0 объект > эндобдж 2418 0 объект > эндобдж 2419 0 объект > эндобдж 2420 0 объект > эндобдж 2421 0 объект > эндобдж 2422 0 объект > эндобдж 2423 0 объект > эндобдж 2424 0 объект > эндобдж 2425 0 объект > эндобдж 2426 0 объект > эндобдж 2427 0 объект > эндобдж 2428 0 объект > эндобдж 2429 0 объект > эндобдж 2430 0 объект > эндобдж 2431 0 объект > эндобдж 2432 0 объект > эндобдж 2433 0 объект > эндобдж 2434 0 объект > эндобдж 2435 0 объект > эндобдж 2436 0 объект > эндобдж 2437 0 объект > эндобдж 2438 0 объект > эндобдж 2439 0 объект > эндобдж 2440 0 объект > эндобдж 2441 0 объект > эндобдж 2442 0 объект > эндобдж 2443 0 объект > эндобдж 2444 0 объект > эндобдж 2445 0 объект > эндобдж 2446 0 объект > эндобдж 2447 0 объект > эндобдж 2448 0 объект > эндобдж 2449 0 объект > эндобдж 2450 0 объект > эндобдж 2451 0 объект > эндобдж 2452 0 объект > эндобдж 2453 0 объект > эндобдж 2454 0 объект > эндобдж 2455 0 объект > эндобдж 2456 0 объект > эндобдж 2457 0 объект > эндобдж 2458 0 объект > эндобдж 2459 0 объект > эндобдж 2460 0 объект > эндобдж 2461 0 объект > эндобдж 2462 0 объект > эндобдж 2463 0 объект > эндобдж 2464 0 объект > эндобдж 2465 0 объект > эндобдж 2466 0 объект > эндобдж 2467 0 объект > эндобдж 2468 0 объект > эндобдж 2469 0 объект > эндобдж 2470 0 объект > / K [2471 0 R 2472 0 R] >> эндобдж 2471 0 объект > эндобдж 2472 0 объект > эндобдж 2473 0 объект > эндобдж 2474 0 объект > эндобдж 2475 0 объект > эндобдж 2476 0 объект > эндобдж 2477 0 объект > эндобдж 2478 0 объект > эндобдж 2479 0 объект > эндобдж 2480 0 объект > эндобдж 2481 0 объект > эндобдж 2482 0 объект > эндобдж 2483 0 объект > эндобдж 2484 0 объект > эндобдж 2485 0 объект > эндобдж 2486 0 объект > эндобдж 2487 0 объект > эндобдж 2488 0 объект > эндобдж 2489 0 объект > эндобдж 2490 0 объект > эндобдж 2491 0 объект > эндобдж 2492 0 объект > эндобдж 2493 0 объект > эндобдж 2494 0 объект > эндобдж 2495 0 объект > эндобдж 2496 0 объект > эндобдж 2497 0 объект > эндобдж 2498 0 объект > эндобдж 2499 0 объект > эндобдж 2500 0 объект > эндобдж 2501 0 объект > эндобдж 2502 0 объект > эндобдж 2503 0 объект > эндобдж 2504 0 объект > эндобдж 2505 0 объект > эндобдж 2506 0 объект > эндобдж 2507 0 объект > эндобдж 2508 0 объект > эндобдж 2509 0 объект > эндобдж 2510 0 объект > эндобдж 2511 0 объект > эндобдж 2512 0 объект > эндобдж 2513 0 объект > эндобдж 2514 0 объект > эндобдж 2515 0 объект > эндобдж 2516 0 объект > эндобдж 2517 0 объект > эндобдж 2518 0 объект > эндобдж 2519 0 объект > эндобдж 2520 0 объект > эндобдж 2521 0 объект > эндобдж 2522 0 объект > эндобдж 2523 0 объект > эндобдж 2524 0 объект > эндобдж 2525 0 объект > эндобдж 2526 0 объект > эндобдж 2527 0 объект > эндобдж 2528 0 объект > эндобдж 2529 0 объект > эндобдж 2530 0 объект > эндобдж 2531 0 объект > эндобдж 2532 0 объект > эндобдж 2533 0 объект > эндобдж 2534 0 объект > эндобдж 2535 0 объект > эндобдж 2536 0 объект > эндобдж 2537 0 объект > эндобдж 2538 0 объект > эндобдж 2539 0 объект > эндобдж 2540 0 объект > эндобдж 2541 0 объект > эндобдж 2542 0 объект > эндобдж 2543 0 объект > эндобдж 2544 0 объект > эндобдж 2545 0 объект > эндобдж 2546 0 объект > эндобдж 2547 0 объект > эндобдж 2548 0 объект > эндобдж 2549 0 объект > эндобдж 2550 0 объект > эндобдж 2551 0 объект > эндобдж 2552 0 объект > эндобдж 2553 0 объект > эндобдж 2554 0 объект > эндобдж 2555 0 объект > эндобдж 2556 0 объект > эндобдж 2557 0 объект > эндобдж 2558 0 объект > эндобдж 2559 0 объект > эндобдж 2560 0 объект > эндобдж 2561 0 объект > эндобдж 2562 0 объект > эндобдж 2563 0 объект > эндобдж 2564 0 объект > эндобдж 2565 0 объект > эндобдж 2566 0 объект > эндобдж 2567 0 объект > эндобдж 2568 0 объект > эндобдж 2569 0 объект > эндобдж 2570 0 объект > эндобдж 2571 0 объект > эндобдж 2572 0 объект > эндобдж 2573 0 объект > эндобдж 2574 0 объект > эндобдж 2575 0 объект > эндобдж 2576 0 объект > эндобдж 2577 0 объект > эндобдж 2578 0 объект > эндобдж 2579 0 объект > эндобдж 2580 0 объект > эндобдж 2581 0 объект > эндобдж 2582 0 объект > эндобдж 2583 0 объект > эндобдж 2584 0 объект > эндобдж 2585 0 объект > эндобдж 2586 0 объект > эндобдж 2587 0 объект > эндобдж 2588 0 объект > эндобдж 2589 0 объект > эндобдж 2590 0 объект > эндобдж 2591 0 объект > эндобдж 2592 0 объект > эндобдж 2593 0 объект > эндобдж 2594 0 объект > эндобдж 2595 0 объект > эндобдж 2596 0 объект > эндобдж 2597 0 объект > эндобдж 2598 0 объект > эндобдж 2599 0 объект > эндобдж 2600 0 объект > эндобдж 2601 0 объект > эндобдж 2602 0 объект > эндобдж 2603 0 объект > эндобдж 2604 0 объект > эндобдж 2605 0 объект > эндобдж 2606 0 объект > эндобдж 2607 0 объект > эндобдж 2608 0 объект > эндобдж 2609 0 объект > эндобдж 2610 0 объект > эндобдж 2611 0 объект > эндобдж 2612 0 объект > эндобдж 2613 0 объект > эндобдж 2614 0 объект > эндобдж 2615 0 объект > эндобдж 2616 0 объект > эндобдж 2617 0 объект > эндобдж 2618 0 объект > эндобдж 2619 0 объект > эндобдж 2620 0 объект > эндобдж 2621 0 объект > эндобдж 2622 0 объект > эндобдж 2623 0 объект > эндобдж 2624 0 объект > эндобдж 2625 0 объект > эндобдж 2626 0 объект > эндобдж 2627 0 объект > эндобдж 2628 0 объект > эндобдж 2629 0 объект > эндобдж 2630 0 объект > эндобдж 2631 0 объект > эндобдж 2632 0 объект > эндобдж 2633 0 объект > эндобдж 2634 0 объект > эндобдж 2635 0 объект > эндобдж 2636 0 объект > эндобдж 2637 0 объект > эндобдж 2638 0 объект > эндобдж 2639 0 объект > эндобдж 2640 0 объект > эндобдж 2641 0 объект > эндобдж 2642 0 объект > эндобдж 2643 0 объект > эндобдж 2644 0 объект > эндобдж 2645 0 объект > эндобдж 2646 0 объект > эндобдж 2647 0 объект > эндобдж 2648 0 объект > эндобдж 2649 0 объект > эндобдж 2650 0 объект > эндобдж 2651 0 объект > эндобдж 2652 0 объект > эндобдж 2653 0 объект > эндобдж 2654 0 объект > эндобдж 2655 0 объект > эндобдж 2656 0 объект > эндобдж 2657 0 объект > эндобдж 2658 0 объект > эндобдж 2659 0 объект > эндобдж 2660 0 объект > эндобдж 2661 0 объект > эндобдж 2662 0 объект > эндобдж 2663 0 объект > эндобдж 2664 0 объект > эндобдж 2665 0 объект > эндобдж 2666 0 объект > эндобдж 2667 0 объект > эндобдж 2668 0 объект > эндобдж 2669 0 объект > эндобдж 2670 0 объект > эндобдж 2671 0 объект > эндобдж 2672 0 объект > эндобдж 2673 0 объект > эндобдж 2674 0 объект > эндобдж 2675 0 объект > эндобдж 2676 0 объект > эндобдж 2677 0 объект > эндобдж 2678 0 объект > эндобдж 2679 0 объект > эндобдж 2680 0 объект > эндобдж 2681 0 объект > эндобдж 2682 0 объект > эндобдж 2683 0 объект > эндобдж 2684 0 объект > эндобдж 2685 0 объект > эндобдж 2686 0 объект > эндобдж 2687 0 объект > эндобдж 2688 0 объект > эндобдж 2689 0 объект > эндобдж 2690 0 объект > эндобдж 2691 0 объект > эндобдж 2692 0 объект > эндобдж 2693 0 объект > эндобдж 2694 0 объект > эндобдж 2695 0 объект > эндобдж 2696 0 объект > эндобдж 2697 0 объект > эндобдж 2698 0 объект > эндобдж 2699 0 объект > эндобдж 2700 0 объект > эндобдж 2701 0 объект > эндобдж 2702 0 объект > эндобдж 2703 0 объект > эндобдж 2704 0 объект > эндобдж 2705 0 объект > эндобдж 2706 0 объект > эндобдж 2707 0 объект > эндобдж 2708 0 объект [ 1829 0 R 1831 0 R 1835 0 R 1835 0 R 1840 0 R 1841 0 R 1842 0 R 1843 0 R 1844 0 R 1845 0 R 1846 0 R 1847 0 R 1848 0 R 1849 0 R 1850 0 R 1851 0 R 1852 0 R 1853 0 R 1854 0 R 1855 0 R 1857 0 R 1858 0 R 1859 0 R 1860 0 R 1861 0 R 1862 0 R 1863 0 R 1864 0 R 1865 0 R 1866 0 R 1867 0 R 1868 0 R 1869 0 R 1870 0 R 1871 0 R 1872 0 R 1873 0 R 1874 0 R 1875 0 R 1876 0 R 1877 0 R 1878 0 R 1879 0 R 1880 0 R 2366 0 R 2367 0 R 2368 0 R 2369 0 R 2370 0 справа 2371 0 справа 2372 0 справа 2373 0 справа 2374 0 справа 2375 0 справа 2376 0 справа 2377 0 справа 2380 0 справа 2381 0 справа 2382 0 справа 2383 0 справа 2384 0 справа 2385 0 справа 2386 0 справа 2387 0 справа 2388 0 R 2389 0 R 2390 0 R 2391 0 R 2392 0 R 2393 0 R 2394 0 R 2395 0 R 2396 0 R 2397 0 R 2398 0 R 2399 0 R 2400 0 R ] эндобдж 2709 0 объект > транслировать HlWm9 W38 `Xfoԏ ~ *; shO] ‘q] [; mU_i | O? QJyxu || ͽя / G; {Î?
Лабиринт программ-вымогателей | Блоги McAfee
ИСПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
Программа-вымогатель Maze, ранее известная в сообществе как «программа-вымогатель ChaCha», была обнаружена 29 мая 2019 года Джеромом Сегурой [1].
Основная цель программы-вымогателя — зашифровать все файлы, которые она может использовать в зараженной системе, а затем потребовать выкуп за их восстановление. Однако наиболее важной характеристикой Maze является угроза, которую авторы вредоносного ПО представляют своим жертвам, что, если они не заплатят , они разместят информацию в Интернете [2].
Эта угроза не была праздной, поскольку файлы одной компании действительно были размещены в Интернете. Несмотря на то, что компания подала в суд, ущерб уже был нанесен.Это поведение все чаще наблюдается в новых программах-вымогателях [3], таких как Sodinokibi, Nemty, Clop и других.
В прошлом году [4] подчеркивалось, как программы-вымогатели пойдут в этом направлении, чтобы получить деньги от жертв, которые могут не захотеть платить за расшифровку.
ТЕЛЕМЕТРИЧЕСКАЯ КАРТА
РИСУНОК 1. КАРТА лабиринтных инфекций
ВВЕДЕНИЕ
29 октября была обнаружена кампания по распространению вредоносного ПО Maze среди итальянских пользователей. Исторически вредоносная программа использовала разные методы для проникновения, в основном с помощью наборов эксплойтов, подключений к удаленному рабочему столу со слабыми паролями или посредством имитации электронной почты или, как в случае с Италией, через различные агентства или компании [5], т.е.е. Агентство по доходам Италии. К этим электронным письмам прилагалось приложение Word, в котором использовались макросы для запуска вредоносного ПО в системе.
Чаще всего использовались наборы эксплойтов Fallout и Spelevo [6].
Вредоносная программа жестко запрограммирована с некоторыми уловками, которые предотвращают ее обращение и затрудняют статический анализ. В этом отчете рассматриваются эти средства защиты и поведение вредоносного ПО в зараженной системе.
Разработчики вставили сообщения, чтобы спровоцировать исследователей вредоносных программ, включая адрес электронной почты Лоуренса Абрамса, владельца «BleepingComputer», с которым они связались напрямую.Они очень активны в социальных сетях, таких как Twitter.
McAfee защищает своих клиентов от угроз, о которых мы говорим в этом отчете, во всех своих продуктах, включая персональный антивирус, конечную точку и шлюз.
ОБЗОР лабиринта
Вредоносная программа представляет собой двоичный 32-битный файл, обычно упакованный в EXE или DLL-файл. Этот отчет посвящен EXE-файлу.
РИСУНОК 2. ИНФОРМАЦИЯ О ВРЕДОНОСНОМ ПРОГРАММЕ
Дополнительная информация об образце, использованном в этом отчете, представлена в этой таблице:
ТЕХНИЧЕСКИЕ ДАННЫЕ
Maze — это сложная вредоносная программа, которая с самого начала использует некоторые уловки, чтобы помешать анализу.
Вредоносная программа начинает подготовку некоторых функций, которые, по-видимому, сохраняют адреса памяти в глобальных переменных для дальнейшего использования в динамических вызовах, хотя на самом деле они не будут использовать эти функции позже. Вопрос о том, является ли это остаточным кодом, существующим в точке входа вредоносной программы, или уловкой, вводящей в заблуждение исследователей, остается предметом споров.
РИСУНОК 3. СОХРАНЕНИЕ АДРЕСА ФУНКЦИЙ ДЛЯ ДИНАМИЧЕСКОГО ИСПОЛЬЗОВАНИЯ ПОЗЖЕ
Позже вредоносная программа входит в большой блок мусорного кода, который также включает некоторые элементы для расшифровки строк и важной информации на будущее.Вредоносная программа использует некоторые уловки для обнаружения отладчиков на этом этапе.
Наиболее важные из них:
- Большое использование поля PEB « IsDebuggerPresent ». Это поле логического типа, которое заполняется из Windows значением 1 (Истина), если приложение выполняется внутри отладчика, или 0 (Ложь), если это не так.
РИСУНОК 4. ЧАСТОЕ ИСПОЛЬЗОВАНИЕ ПОЛЯ PEB «ISDEBUGGERPRESENT» для определения, запускается ли приложение в отладчике
Если вредоносная программа обнаружит отладчик, она останется в бесконечном цикле, ничего не делая, при этом тратя системные ресурсы.
РИСУНОК 5. Лабиринт ловит отладчик и продолжает работать, растрачивая ресурсы
Вредоносная программа получает все процессы в системе, но игнорирует первый («незанятый процесс» в Windows, который является просто инструментом, позволяющим пользователю узнать, какой процент системных ресурсов используется). Используя имя каждого процесса, он создает собственное имя с настраиваемым алгоритмом вместе с хешем, который сверяется с жестко закодированным списком. Если хеш будет найден в этом списке, процесс будет остановлен.
РИСУНОК 6. ПРОВЕРКА ГЕШЕВ ОТ ПОЛЬЗОВАТЕЛЬСКОГО НАЗВАНИЯ ПРОЦЕССОВ СИСТЕМЫ
Например, процесс отладчика «x32dbg» пойман в этой точке:
РИСУНОК 7. ПРОЦЕСС X32DBG, ЗАХВАТЫВАЕМЫЙ ВРЕДОНОСНЫМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ С ХЭШОМ
Он может завершить отладчик IDA, x32dbg, OllyDbg и другие процессы, чтобы избежать динамического анализа, закрытия баз данных, офисных программ и средств безопасности.
Неполный список процессов, которые могут быть взломаны с помощью списка словарей, завершенного вредоносной программой, показан ниже:
dumpcap.exe -> 0x5fb805c5
excel.exe -> 0x48780528
fiddler.exe -> 0x5e0c05b1
msaccess.exe -> 0x6a9c05ff
mysqld-nt.exe -> 0x79ec0661
outlook1567c.exe -> 0x6 .exe -> 0x78020640
proxp.exe -> 0x606805d4
procmon64.exe -> 0x776e0635
procmon.exe -> 0x600005c9
python.exe -> 0x55ee0597
taskkill.exe -> 0x6c2e0614
visio49.exe -> 0x6c2e0614
exe -> 0x60d805d5
x32dbg.exe -> 0x5062053b
x64dbg.exe -> 0x50dc0542
Этот короткий список показывает имя процесса, который нужно убить, и пользовательский хэш из специального имени, сгенерированного из исходного имени процесса.
РИСУНОК 8. ФУНКЦИЯ ОБРАБОТКИ ТЕРМИНАТА, ЗАЯВЛЕННАЯ ИЗ АДРЕСНОЙ ТАБЛИЦЫ ЭКСПОРТА (EAT) ЯДРА 32 И ПЕРЕДАЧА ПРОВЕРКИ ИМЕНИ ХЭШ
Вредоносная программа уничтожит процесс с помощью функции «TerminateProcess», которую она получает из EAT (экспортной таблицы адресов) модуля «kernel32.dll », чтобы усилить обфускацию, сравнивая имя с пользовательским хешем, взятым из имени, написанного заглавными буквами.
РИСУНОК 9. ВЫЗОВ ДЛЯ TERMINATEPROCESS ДИНАМИЧЕСКИМ СПОСОБОМ ЗАМЕТАТЬ ЭТОТ ВЫЗОВ
Вредоносная программа вызывает функции Windows уникальным образом для облегчения обфускации, то есть для получения первого процесса в системе, который будет использовать функцию «Process32FirstW». Однако вместо прямого вызова он помещает в стек параметры, необходимые для функции, за которым следует адрес памяти с кодом операции «push», а затем выполняет прямой переход к функции Windows.Когда функция завершается, Windows создает код операции «ret», а затем получает последний адрес памяти, который вредоносная программа поместила внутрь стека, возвращаясь к этому адресу и продолжая поток. Пример этого можно увидеть на этом изображении:
РИСУНОК 10. ВЫСОКАЯ ОБФУСКАЦИЯ, ЧТОБЫ ПОПЫТАТЬСЯ ЗАМЕДЛИТЬ АНАЛИЗ И СДЕЛАТЬ ЕГО БОЛЕЕ СЛОЖНЫМИ
Еще одна уловка, используемая вредоносным ПО (в зависимости от образца), заключается в получении функции «DbgUIRemoteBreakin» с помощью функции «GetProcAddress» перед применением уловки, позволяющей избежать подключения к ней отладчика во время выполнения [7].
РИСУНОК 11. ПОЛУЧИТЕ DBGUIREMOTEBREAKIN, ИСПОЛЬЗУЯ GETPROCADDRESS, ЧТОБЫ ИЗБЕЖАТЬ АТАКИ ОТЛАДЧИКА НА ЭТО
Здесь используется трюк «VirtualProtect», который дает возможность адресу памяти функции «DbgUIRemoteBreakin» записывать в него:
РИСУНОК 12. РАЗРЕШЕНИЕ НА ЗАПИСЬ В ПАМЯТЬ
После получения разрешения, которое предоставляется только для 1 байта, вредоносная программа исправляет этот байт значением 0xC3 (код операции «ret») и восстанавливает предыдущие разрешения с помощью «VirtualProtect», снова по тому же адресу и байту, удаляя разрешение на запись.
РИСУНОК 13. ЗАПРАВКА ФУНКЦИИ С ПОЛУЧЕНИЕМ ОПКОДА И ВОССТАНОВЛЕНИЕ РАЗРЕШЕНИЙ ПАМЯТИ
Это сделано, чтобы избежать подключения отладчика к нему во время выполнения. Таким образом, когда отладчик подключается к процессу внутренне, система вызывает эту функцию, но вместо создания потока для запуска отладки код операции «ret» заставляет функцию вернуться, не создавая ее. Короче говоря, это препятствует правильному подключению отладчика. Это делается до перечисления системного процесса.
Вредоносная программа проверяет язык машины с помощью функции «GetUserDefaultUILanguage» и сохраняет значение в стеке; он не проверяется автоматически после звонка, но станет важным позже.
Maze создает мьютекс с именем «Global \ x», где x — специальное значение, уникальное для каждой машины. Например, на следующем снимке экрана (некоторая информация была удалена для анонимности компьютера, используемого для анализа) является примером такого поведения. Это сделано для того, чтобы избежать двух и более казней одновременно.
РИСУНОК 14. СОЗДАНИЕ МУТЕКСА ДЛЯ ИЗБЕЖАНИЯ ДВОЙНОГО ИСПОЛНЕНИЯ. УНИКАЛЬНО НА МАШИНУ
Вредоносная программа после создания мьютекса вызывает функцию GetLastError для проверки двух ошибок:
- 0x05 -> ERROR_ACCESS_DENIED. Если вредоносная программа получает эту ошибку, это означает, что мьютекс уже существует в системе, но по какой-то причине вредоносная программа не может получить к нему доступ (возможно, привилегии, политики и т. Д.).
- 0xb7 -> ERROR_ALREADY_EXISTS.Если вредоносная программа получает эту ошибку, это означает, что мьютекс уже существует в системе и к нему можно получить доступ.
Если происходит одно из вышеперечисленных, вредоносная программа продолжает выполняться, но не шифрует файлы в системе и не использует какие-либо ресурсы машины. Это означает, что он появится в списке программ с использованием 0% процессора.
Значение мьютекса изменяется либо для каждого образца, либо на периодической основе, чтобы избежать возможности создания вакцины против него. У вредоносной программы также есть команда, позволяющая избежать «проблемы» вакцин, о которой будет сказано позже.
После мьютекса вредоносная программа проверяет ранее сохраненный в стеке язык на предмет, например, языка 0x419 (русский из Российской Федерации, ru-RU [8]).
Проверки выполняются обфусцированным способом внутри беспорядочного кода, который есть у вредоносной программы (в используемой здесь виртуальной машине использовался испанский язык Испании (es-ES); это код 0xC0A, который появляется в стеке в скриншот):
РИСУНОК 15. ПРОВЕРКА ЯЗЫКА НА РУССКОМ ЯЗЫКЕ В РОССИЙСКОЙ ФЕДЕРАЦИИ
Если язык соответствует любому из языков в списке ниже, вредоносная программа очистит память и выйдет из основного потока без потери ресурсов или создания файлов.
- 0x419 -> ru-RU (Россия из РФ)
- 0x422 -> uk-UA (украинец из Украины)
- 0x423 -> be-BY (белорусы из Беларуси)
- 0x428 -> tg-Cyrl-TJ (таджикский (кириллица из Таджикистана)
- 0x42B -> hy-AM (Армянин из Армении)
- 0x42C -> az-Latn-AZ (Азербайджанский (латиница из Азербайджана))
- 0x437 -> ka-GE (грузин из Грузии)
- 0x43F -> kk-KZ (казах из Казахстана)
- 0x440 -> ky-KG (кыргызы из Кыргызстана)
- 0x442 -> tk-TM (туркмен из Туркменистана)
- 0x443 -> uz-Latn-UZ (узбекский (латиница из Узбекистана))
- 0x444 -> tt-RU (татарин из РФ)
- 0x818 -> ro-MD (румын из Молдовы, НЕ румын из Румынии! )
- 0x819 -> ru-MD (Русский из Молдовы)
- 0x82C -> az-Cyrl-AZ (Азербайджанский (кириллица из Азербайджана))
- 0x843 -> uz-Cyrl-UZ (узбекский (кириллица из Узбекистана))
- 0x7C1A -> sr (сербский)
- 0x6C1A -> sr-Cyrl (сербский на кириллице)
- 0x1C1A -> sr-Cyrl-BA (сербский (кириллица из Боснии и Герцеговины))
- 0x281A -> sr-Cyrl-RS (сербский (кириллица из Сербии))
- 0x81A -> sr-Latn-CS (сербский (латиница)) (код этого языка начинается с Windows Vista)
Вредоносная программа пытается удалить теневые тома в системе с помощью файла «wmic.exe »с переключателями« shadowcopy »и« delete ». До этого вредоносная программа получает функцию «WoW64DisableWow64FsRedirection» с помощью «GetProcAddress» и использует ее, чтобы избежать перенаправления по умолчанию в 64-битных операционных системах, и вызывает ее динамически.
Вредоносная программа пытается удалить теневые копии два раза: один раз перед шифрованием файлов в зараженной системе и второй раз после их шифрования.
Это выполнение выполняется с помощью функции CreateProcessW, но для повышения уровня обфускации вредоносная программа запускается с помощью этой команды:
РИСУНОК 16.УДАЛЕНИЕ ТЕНЕВЫХ КОПИЙ В ЗАРАЖЕННОЙ СИСТЕМЕ С ПОМОЩЬЮ WMIC КОМАНДЫ
Как вы можете видеть на изображении выше, вредоносная программа использует команду с именами папок, которые по умолчанию не существуют в Windows, за исключением «Windows», «system32» и «wbem». Он входит в эти папки, но затем быстро выходит из них с помощью команды «..», что означает возврат в предыдущую папку в указанном пути.
Например, сначала он входит в папки «ydw» и «fdygg», но позже возвращается в корень установочного модуля Windows с двумя «.. » команды, которые в данном случае приводят к «C: \». Позже он объединяется с папкой «Windows» и продолжает с тем же поведением, наконец, входит в «system32», где вызывает программу «wmic.exe» с переключателями для удаления теневых томов. Это сделано для того, чтобы попытаться скрыть этот вызов, хотя такое подозрительное поведение может привести к тому, что антивирусная программа все равно остановит его, но это доказательство того, что кодировщики вредоносных программ обладают навыками программирования и хорошо понимают поведение Windows.
Важно понимать, что этот «путь», используемый в команде с несуществующими папками, является случайным и не требует использования того же количества папок для обфускации.
После процесса удаления вредоносная программа получает функцию «Wow64RevertWow64FsRedirection» с помощью функции «GetProcAddress» и вызывает ее динамически, чтобы оставить систему в том же состоянии, что и раньше.
РИСУНОК 17. ВОССТАНОВЛЕНИЕ ПЕРЕНАПРАВЛЕНИЯ FS В 64-БИТНЫХ ОПЕРАЦИОННЫХ СИСТЕМАХ
Maze также влияет на сетевые ресурсы, используя функции «WNetOpenEnumW», «WNetEnumResourceW», «WNetCloseEnum» и «WNetAddConnection2W».
РИСУНОК 18.ПЕРЕЧИСЛЕНИЕ СЕТЕВЫХ РЕСУРСОВ ДИСКА ДЛЯ КРИПТАЦИИ ФАЙЛОВ ВНУТРИ ИХ
Вредоносная программа использует два алгоритма шифрования файлов: ChaCha, основанный на симметричном алгоритме Salsa20, и асимметричный алгоритм RSA для защиты.
При каждом запуске вредоносная программа создает публичный BLOB-объект из одного ключа RSA, который будет использоваться для шифрования части, содержащей информацию для расшифровки файлов, и одного частного BLOB-объекта с ключом RSA, который позволяет дешифровать информацию, зашифрованную с помощью общедоступного RSA. blob, созданный ранее.
РИСУНОК 19. ЭКСПОРТ БОБА ОБЩЕСТВЕННОГО КЛЮЧА RSA, СОЗДАННОГО ВО ВРЕМЯ РАБОТЫ
РИСУНОК 20. ЭКСПОРТ BLOB ЧАСТНОГО КЛЮЧА RSA, СОЗДАННЫЙ ВО ВРЕМЯ РАБОТЫ
Как и другие программы-вымогатели, эта вредоносная программа имеет встроенный публичный BLOB-объект RSA, который будет импортирован для защиты частного BLOB-объекта RSA жертвы. Только разработчики вредоносных программ имеют частный двоичный объект RSA для расшифровки своего общедоступного двоичного объекта RSA.
РИСУНОК 21. ИМПОРТ ОБЩЕСТВЕННОГО BLOB RSA ДЛЯ РАЗРАБОТЧИКОВ ВРЕДОНОСНОГО ПО
Этот ключ защищен шифрованием с использованием ключа из 32 бита и iv из 8 байтов с использованием функции «CryptGenRandom», чтобы избежать дампов памяти, но позже его необходимо будет расшифровать перед использованием.
После этого вредоносная программа запускает процедуру шифрования файлов, поиск в единицах, прежде чем импортировать открытый ключ BLOB RSA, сгенерированный во время выполнения. После этого он создает записку о выкупе, подготовленную для этой зараженной машины, в корневой папке, а затем начинает искать папки и файлы для шифрования.
РИСУНОК 22. Создание записки о выкупе в корневой папке и поиск папок и файлов
Пример записки с требованием выкупа с некоторыми анонимными данными показан ниже:
РИСУНОК 23.ПРИМЕР ЗАПИСИ
О ВЫКУПЕ ИЗ ЛАБИРИНТАПроцедура шифрования файлов проста, вредоносная программа выполняет следующие действия:
- Проверьте наличие файла с помощью функции «SetFileAttributesW» с атрибутом «FILE_ATTRIBUTE_ARCHIVE».
- Зарезервировать память для файла с вызовом «Virtual Alloc» для ключа и iv.
- Откройте файл с разрешениями на чтение и запись с помощью функции «CreateFileW» с флагом «OPEN_EXISTING».
- Получите размер файла с помощью функции «GetFileSizeEx» (это важно для управления большими файлами, «GetFileSize» не подходит для больших файлов).
- Создайте отображение файла с помощью функций «CreateFileMappingW» и «MapViewOfFile».
- Сгенерируйте случайный ключ размером 32 байта с помощью функции «CryptGenRandom».
- Сгенерируйте случайный iv из 8 байтов с помощью функции «CryptGenRandom».
- Зарезервируйте 264 байта памяти с помощью функции «VirtualAlloc».
- Сгенерировать новое случайное расширение для файла жертвы. Каждый файл имеет разное расширение, но не теряет исходное расширение; новый добавляется к старому.Например, «1.zip» становится «1.zip.gthf».
- Зашифруйте файл с помощью алгоритма ChaCha и ключа и iv с помощью открытого ключа RSA, сгенерированного во время выполнения.
- Запишите этот новый блок с ключом и iv для расшифровки в конце файла.
- Переименуйте файл с помощью функции «MoveFileExW». Таким образом, невозможно использовать инструменты судебной экспертизы для восстановления файлов, поскольку они используют один и тот же сектор на необработанном диске. Вредоносная программа не удаляет файл с помощью функции «DeleteFileW», а затем создает новый с зашифрованными данными.Вместо этого все изменения применяются в сопоставлении напрямую, в памяти, без использования указателя файла на диске для чтения и записи, что значительно ускоряет процесс.
- Изображение файла не отображается, а дескрипторы закрываются.
- Процесс повторяется с новыми файлами.
Список папок, которых избегает вредоносная программа:
- Главный каталог Windows.
- Игры
- Браузер Tor
- ProgramData
- кэш2 \ записи
- Низкий \ Содержимое.IE5
- Данные пользователя \ По умолчанию \ Кэш
- Все пользователи
- Локальные настройки
- AppData \ Local
- Программные файлы
Вредоносная программа игнорирует эти расширения файлов:
Вредоносная программа также имеет список имен файлов, которые не будут зашифрованы:
- инф
- ini
- ini
- dat
- дБ
- бак
- журнал данных
- дБ
- бункер
- DECRYPT-FILES.txt
Однако он зашифровывает файл «ntuser.ini », чтобы предотвратить его шифрование другими программами-вымогателями. Он создает записку о выкупе в каждой доступной папке.
Когда вредоносная программа заканчивает шифрование всех файлов, она меняет обои рабочего стола на это изображение:
РИСУНОК 24. ВРЕДОНОСНОЕ ПО МЕНЯЕТ ОБОИ НА РАБОЧЕМ СТОЛЕ ПОСЛЕ ШИФРОВАНИЯ ФАЙЛОВ
Вредоносная программа пытается установить соединение с IP-адресами, которые были зашифрованы в двоичном формате, чтобы отправить информацию о зараженной машине, как показано ниже:
hxxp: // 91.218.114.4 / nwjknpeevx.action? Pw = g1y652l & kyn = 21y3vvhh & dvr = 5e & us = g25e3582a
hxxp: //91.218.114.11/forum/siaib.jspx? V = h & xyna = 0vip863 & eul = xsn3q0
hxxp: //91.218.114.26/view/ticket/pigut.jspx? O = 664quo0s & fp = ot52
hxxp: //91.218.114.25/xrr.jspx? Ygad = r35e2cx & e = 6as6ta
hxxp: //91.218.114.4/j.php
hxxp: //91.218.114.11/payout/view/fa.aspx? Y = y & qbx = 4 & kws = n2 & iuy = 8k7
hxxp: //91.218.114.25/lxh.asp? Mtxm = l7 & r = 836wy5
hxxp: // 91.218.114.26 / вход / билет / eq.action? X = yk6rr & e = 50b & q = 327dr5 & ofk = 065cdp
hxxp: //91.218.114.31/signin/rnmnnekca.jsp? Kdn = 6snl5 & e = 7a50cx4hyp
hxxp: //91.218.114.31/forum/a.aspx? Byx = 56 & bc = 62t0h & u = 75w6n6 & sot = 2v0l761or6
hxxp: //91.218.114.32/withdrawal/checkout/l.do? Nuny = qj6 & sdv = 45g2boyf5q & dnr = rh8lk31ed
hxxp: //91.218.114.77/task/bxfbpx.jspx? Nq = cge63
hxxp: //91.218.114.38/account/payout/ujwkjhoui.shtml
hxxp: // 91.218.114.37 / imrhhjitop.phtml? Wto = 344dsc84 & sp = x & oml = c173s71u & iy = m3u2
hxxp: //91.218.114.38/auth/login
hxxp: //91.218.114.79/logout/hfwdmugdi.php? Upaj = mj7g
hxxp: //91.218.114.38/sepa/juel.php? Ars = 51qse4p3y & xjaq = r5o4t4dp
hxxp: //91.218.114.32/fwno.cgi? Yd = 410 & o = y7x5kx371 & p = m3361672
hxxp: //91.218.114.37/sepa/signout/mjsnm.aspx? R = 7o47wri & rtew = uu8764ssy & bri = 51gxx6k5 & opms = 72gy0a
hxxp: //91.218.114.77 / payout / analytics / lrkaaosp.do? Y = 62h & aq = 3jq8k6 & v = 0svt
hxxp: //91.218.114.79/create/dpcwk.php? U = 28qy0dpmt & qwbh = k & f = g1ub5ei & ek = 3ee
Важно учитывать, что вредоносная программа подделывает строку POST, чтобы установить соединение со случайным выбором из списка возможных строк, таких как «forum», «php», «view» и т. Д., Чтобы затруднить обнаружение. с IPS или другими фильтрами в сети.
Определены IP-адреса из Российской Федерации, но это не доказывает, что вредоносная программа пришла из этой страны; это могло быть преднамеренное введение в заблуждение, но с учетом языковых проверок стран СНГ это определенно представляется возможным.
Использование IP-адресов вместо доменных имен позволяет избежать разрешения DNS, которое может быть изменено или перенаправлено на возвратную петлю, например, с помощью файла «host» в Windows. Это усложняет отслеживание IP-адресов и позволяет избежать блокировки соединения.
Вредоносная программа использует этот агент для установления соединения, но он может меняться между образцами:
РИСУНОК 25. АГЕНТ, ИСПОЛЬЗУЕМЫЙ ДЛЯ ПОДКЛЮЧЕНИЯ К IP-АДРЕСАМ C2C
Из дампа памяти мы можем извлечь IP-адреса, используемые этими соединениями, а также любопытную строку, в которой говорится о Лоуренсе Абрамсе, администраторе веб-сайта «bleepingcomputer», с которым напрямую связались разработчики.Неизвестно, почему они включили этот адрес электронной почты, потому что он не имеет отношения к записке о выкупе и больше нигде не используется. Возможно, это средство издевательства над администратором сайта, который часто сообщает о программах-вымогателях?
РИСУНОК 26. IP-АДРЕСА C2C, ИЗВЛЕЧЕННЫЕ ИЗ ПАМЯТИ
Соединения с IP-адресами C2C в pcap с использованием Wireshark можно увидеть отлично:
РИСУНОК 27. ПОДКЛЮЧЕНИЕ В PCAP С IP-АДРЕСАМИ C2C
Maze хранит в памяти несколько интересных строк, которые, возможно, заслуживают дальнейшего анализа в будущем:
РИСУНОК 28.ЛЮБОПЫТНАЯ СТРОКА ДЛЯ БУДУЩЕГО ИССЛЕДОВАНИЯ
Веб-страница для совершения платежа, запрошенного в записке о выкупе, дает цену и проверяет, все ли правильно.
РИСУНОК 29. ВЕБ-СТРАНИЦА MAZE PAYMENT ПОСЛЕ РАСШИФРОВАНИЯ ЗАПИСИ
Maze имеет функцию чата для связи с операторами и получения информации о том, как получить криптовалюту, необходимую для совершения платежа.
Конечно, как и в случае со многими другими типами программ-вымогателей, предлагается бесплатно расшифровать три образа, и эта услуга была подтверждена как работающая:
РИСУНОК 30.РАБОТАЕТ БЕСПЛАТНАЯ РАСШИФРОВКА, ТАКИМ ОБРАЗЕЦ ВРЕДОНОСНОГО ПО ПРАВИЛЬНО
ПЕРЕКЛЮЧАТЕЛИВредоносная программа имеет несколько переключателей, которые можно использовать в командной строке для запуска. Эти переключатели могут либо отключить некоторые элементы, либо включить ведение журнала.
Переключатели:
- –nomutex -> Этот переключатель предотвращает проверку мьютекса, чтобы он мог запускать более одного экземпляра на одном компьютере. Его также можно использовать, чтобы избежать вакцинации, которая создается до того, как вредоносная программа создаст имя мьютекса на машине.
- –noshares -> С этим переключателем вредоносная программа не будет шифровать общие сетевые ресурсы, а только локальную машину.
- –path x -> Где x — полный путь. В этом случае вредоносная программа зашифрует все файлы во всех папках, начиная с этого пути, если только они не внесены в черный список с именами, расширениями или именами папок. Это полезно для разработчиков вредоносных программ для атаки по особому пути вместо того, чтобы терять время на поиск полной машины, и это делает атаку более целенаправленной.
- –logging -> Если этот переключатель включен, вредоносная программа будет регистрировать все свои шаги.Полезно для разработчиков вредоносных программ в среде отладки или на этапе атаки, чтобы шаг за шагом узнать, что все в порядке. Вот небольшой пример этой информации:
РИСУНОК 31. ПРИМЕР ИНФОРМАЦИИ, КОТОРОЙ МОЖЕТ ПРЕДОСТАВИТЬ ВРЕДОНОСНОЕ ПО С ПЕРЕКЛЮЧАТЕЛЕМ ЖУРНАЛА
ДРУГИЕ ОБРАЗЦЫ
В январе 2020 года появилась новая версия вредоносного ПО со специальным текстом, посвященным некоторым исследователям в области безопасности. Похоже, что разработчики вредоносных программ выбрали этих людей для провокации и высмеивают их.
Образец был обнаружен malwrhunterteam [9] 28 января 2020 года. Образец имеет некоторые отличия от предыдущего, проанализированного в этом отчете. Эти различия будут рассмотрены позже с помощью другого образца, который был обнаружен Лукой Надь [10] 30 января 2020 года.
Самым важным здесь является то, что разработчики, похоже, тщательно отобрали исследователей и ждали их ответа в качестве психологического трюка, и это сработало, потому что все они ответили, троллируя разработчиков вредоносных программ над версией их вредоносного ПО, обнаруженной на двадцать восьмое.
Вот один из ответов разработчика вредоносных программ на этот троллинг, содержащий несколько интересных фактов:
РИСУНОК 32. ОТВЕТ РАЗРАБОТЧИКА ВРЕДОНОСНОГО ПО
- Неизвестно, стоит ли за вредоносным ПО кто-то один или нет. Любопытно, что они дважды сказали «я» вместо «мы» в своем ответе. Так что, возможно, это было написано одним человеком для троллинга, или, возможно, разработчиком вредоносного ПО действительно является только один человек (или они хотят, чтобы исследователи думали, что это так).
- Еще один важный факт в заметке — это рассказ об инструментах, используемых одним из исследователей для регулярного анализа вредоносных программ. Почему они упоминают регулярный анализ вредоносных программ? Это потому, что они сами исправляют вредоносные программы для развлечения, или это может быть их повседневная работа? Может быть, разработчик — исследователь (из-за того, как они разговаривают с другими и провоцируют их)? Во-вторых, анализ вредоносных программ упоминается более одного раза, и, в-третьих, они сказали, что они создали сценарий IDAPython для удаления всего обфусцированного кода, который есть у вредоносного ПО (программа-вымогатель, возможно, получила название « Лабиринт » из-за того, что его анализ похож на ходьбу). через лабиринт).Итак, это может быть либо исследователь, который очень хорошо знает IDAPro, либо продвинутый разработчик (а запутанный код в Maze выполнен очень хорошо), либо, возможно, это разработчик, у которого в обычной жизни есть другая работа, помимо создания вредоносных программ? Конечно, это всего лишь возможности, а не факты.
- Разработчик вредоносного ПО достиг своей цели с помощью этого взаимодействия, поскольку его целевая аудитория увидела ответ и рассказала о своем вредоносном ПО, как отмечено в последней строке своего ответа «… но вы должны знать, что мы любим вас, исследователи, без вас наша работа также будет быть чертовски скучным, черт возьми ».
Любопытно, что здесь они сказали «мы» вместо «я», как раньше, но, может быть, они говорили о разработке всех вредоносных программ?
Отличия этих образцов:
- Обычно поставляется в виде DLL вместо EXE-файла. Он не работает в операционных системах Windows старше Vista, так как это усложняет анализ. Используя вредоносную программу в качестве DLL, они могут легче внедрить этот модуль в целевой процесс, чем если бы они использовали EXE-образец вредоносной программы.
- Вместо удаления «теневых объемов» разработчики вместо этого используют WMIC со специальной уловкой пути, как упоминалось ранее, используя классы WMIC для управления теневыми объемами. Пример такого использования можно увидеть на следующем изображении.
РИСУНОК 33. ИСПОЛЬЗОВАНИЕ КЛАССОВ WMIC, ЕСЛИ НЕОБХОДИМО ПОЛУЧИТЬ ОБЪЕМ ТЕНЕЙ
Каждый образец вредоносной программы использует разные строки в качестве PDB для отправки сообщений или для того, чтобы сделать образец уникальным, например:
- C: \ somerandomsh ** \ sh ** \ obama.pdb
- C: \ kill \self \ <имя> \ chinese \ idio * .pdb
(В этих примерах некоторые вещи были удалены или изменены для удаления конфиденциальной информации из отчета).
Новые образцы, обнаруженные в январе 2020 года, подключаются к C2 (или пытаются установить их):
РИСУНОК 34. ПОДКЛЮЧЕНИЯ К C2 IP НОВЫХ ОБРАЗЦОВ
Как мы видим, это те же IP-адреса, что и в предыдущих версиях вредоносной программы.
Даты составления образцов — с 24 января 2020 года (первая версия со строками, которые спровоцировали исследователей) по 28 января 2020 года (версия с ответами исследователей), то есть они были сделаны в один и тот же день. ответы на предыдущую версию были опубликованы в Twitter.
Еще один интересный факт из более позднего примера заключается в том, что, помимо того, что он говорит о том, что код языка, использованный для программирования, был корейским, IP-адреса, к которым он подключается, по-прежнему принадлежат Российской Федерации, как видно на следующих двух изображениях.
РИСУНОК 35. ЯЗЫКОВЫЙ КОД «ИСПОЛЬЗУЕТСЯ» В ОБРАЗЕЦЕ ПАКЕРА, А НЕ ВРЕДОНОСНОЕ ОБЕСПЕЧЕНИЕ
РИСУНОК 36. ВСЕ ДОМЕНЫ C2, ПРИНАДЛЕЖАЩИЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
Невозможно узнать правду, но это может быть уловка, чтобы попытаться ввести исследователей в заблуждение, заставив думать, что вредоносное ПО исходит из одной страны, хотя на самом деле оно происходит из другой.Известно, что разработчики вредоносных программ часто проверяют язык на машинах потенциальных жертв, чтобы не попасть в страны СНГ, поэтому мы можем предположить, что проверка на «корейский» язык была уловкой, предназначенной для введения в заблуждение, но невозможно знать это наверняка. Конечно, «корейский» язык можно поменять вручную, или это может быть корейский упаковщик, но с уверенностью сказать нельзя.
ЗАКЛЮЧЕНИЕ
Maze — это программа-вымогатель, созданная опытными разработчиками. Он использует множество уловок, чтобы сделать анализ очень сложным, отключив дизассемблеры и используя плагины псевдокода.
Это создает большую проблему для частных лиц и предприятий, которые не платят, поскольку разработчики угрожают обнародовать информацию, если они не получат оплату, и они действительно держат свое слово. Все больше и больше программ-вымогателей демонстрируют одно и то же поведение, и мы ожидаем увидеть больше таких программ в этом году и, возможно, в будущем.
Разработчики вредоносных программ активны в социальных сетях, таких как Twitter, и знакомы с работой исследователей вредоносных программ.Они также умеют отлично их спровоцировать и любят играть с ними в кошки-мышки.
Мы рекомендуем делать периодические резервные копии файлов и держать их изолированными от сети и иметь всегда обновляемый антивирус. Также следует применить последний программный патч. Следует избегать подключений к удаленному рабочему столу, которые не нужны.
Избегайте подозрительных писем и не открывайте вложения от незнакомых людей. То же самое касается ссылок в электронных письмах, и, даже если они поступают из известного источника, уточните у отправителя, есть ли у вас какие-либо сомнения.Кроме того, отключите макросы в программах Office и никогда не включайте их, за исключением случаев, когда это необходимо.
ПОКРЫТИЕ
McAfee защищает от этой угрозы во всех своих продуктах, включая персональный антивирус, конечную точку и шлюз.
Названия, которые он может иметь:
ПРАВИЛО ЯРА
правило maze_unpacked {
мета:
description = «Правило обнаружения распакованных образцов лабиринта»
автор = «Марк Риверо | Команда McAfee ATR »
строк:
$ opcode_sequence = {5589e583ec208b450c8b4d08c745fc00}
$ opcode_sequence_2 = {5589e553575683e4f883ec28c7042400}
$ opcode_sequence_3 = {5589e55dc3662e0f1f84000000000090}
$ opcode_sequence_4 = {5589e553575683e4f081ec600200008b}
$ opcode_sequence_5 = {5589e553575683e4f081ecc00000000f}
$ opcode_sequence_6 = {5589e583ec208b45108b4d0c8b550883}
$ opcode_sequence_7 = {5589e5575683ec388b45108b4d0c8b55}
$ opcode_sequence_8 = {5589e5575683e4f883ec088b45088b48}
$ opcode_sequence_9 = {558b6c241468997a41000f84bdc50000}
$ opcode_sequence_10 = {5589e553575683e4f883ec588b5d088b}
$ opcode_sequence_11 = {5589e553575683e4f083ec408a42048b}
$ opcode_sequence_12 = {5589e583ec188b4508837d08008945fc}
$ opcode_sequence_13 = {5589e553575683e4f8b8d05b0000687f}
$ opcode_sequence_14 = {5589e5508b450831c98945fc89c883c4}
$ opcode_sequence_15 = {5589e553575683e4f883ec708b5d0889}
$ opcode_sequence_16 = {5589e583ec308b45088b4d08894df883}
$ opcode_sequence_17 = {5589e553575683e4f881ec18030000f2}
$ opcode_sequence_18 = {5589e583ec188b45088b4d08894df48b}
$ opcode_sequence_19 = {5589e583ec2056be74c14400566a0068}
$ opcode_sequence_20 = {5589e553575683e4f081ec0008b}
$ opcode_sequence_21 = {5589e583e4f083ec208b4d108b450c0f}
$ opcode_sequence_22 = {5589e55383e4f883ec108b4d0c8b4508}
$ opcode_sequence_23 = {558b8e150409133f03fd08f81b0c4f22}
$ opcode_sequence_24 = {5589e553575683e4f883ec7031f68379}
$ opcode_sequence_25 = {5589e553575683e4f881ec3001000089}
$ opcode_sequence_26 = {5589e553575683e4f881ece00000000f}
$ opcode_sequence_27 = {558b589608361d1943a57d0ba6492beb}
$ opcode_sequence_28 = {5589e553575683e4f883ec1089ce6a00}
$ opcode_sequence_29 = {5589e5575683e4f883ec688b75088b7d}
$ opcode_sequence_30 = {5589e553575683e4f883ec386a006a00}
$ opcode_sequence_31 = {558b7c240868dca8440057683d484300}
$ opcode_sequence_32 = {5589e55683e4f881ec2801000089ce8d}
$ opcode_sequence_33 = {5589e583ec188b450831c98b5508c704}
$ opcode_sequence_34 = {5589e583ec308b450c8b4d088b55088b}
$ opcode_sequence_35 = {5589e583ec348b450831c983c1188b55}
$ opcode_sequence_36 = {5589e553575683e4f881ec78040000f2}
$ opcode_sequence_37 = {5589e583ec108b4508837d08008945f8}
$ opcode_sequence_38 = {5589e583ec348b4508837d08008945dc}
$ opcode_sequence_39 = {5589e55683ec548b45088b4d08894df0}
$ opcode_sequence_40 = {558bec5de9a48efeffe9ef8efeffcccc}
$ opcode_sequence_41 = {5589e553575683ec108b45108b4d0c8b}
$ opcode_sequence_42 = {5589e5575683ec348b4508c745f40100}
$ opcode_sequence_43 = {558bec8325a0c345000083ec1c5333db}
$ opcode_sequence_44 = {5589e553575683e4f083ec208b750c0f}
$ opcode_sequence_45 = {5589e583ec348b450c8b4d088b55088b}
$ opcode_sequence_46 = {558b6fd8d843ef516154e2526781aecd}
состояние:
(uint16 (0) == 0x5a4d) и 38 из них
}
IOC
Сеть
Домен mazedecrypt.верх
IP 91.218.114.11
IP 91.218.114.25
IP 91.218.114.26
IP 91.218.114.31
IP 91.218.114.32
IP 91.218.114.37
IP 91.218.114.38
IP 91.218.114.4
IP 91.218.114.77
IP 91.218.114.79
ПОКРЫТИЕ MITER ATT & CK
- Общий порт
- StandardApplicationLayerProtocol
- БезопасностьSoftwareDiscovery
- SystemTimeDiscovery
- CommandLineInterface
- Зашифрованные данные
- DataEncryptedForImpact
- Реестр запросов
- Зацеп
[1] https://twitter.com/jeromesegura/status/1133767240686288896
[2] https://www.bleepingcomputer.com/news/security/maze-ransomware-demands-6-million-ransom-from-southwire/
[3] https: // www.bleepingcomputer.com/news/security/nemty-ransomware-to-start-leaking-non-paying-victors-data/
[4] https://twitter.com/McAfee_Labs/status/1206651980086685696
[5] https://www.bleepingcomputer.com/news/security/new-threat-actor-impersonates-govt-agencies-to-deliver-malware/
[6] https://securityintelligence.com/news/spelevo-ek-exploits-flash-player-vulnerability-to-deliver-maze-ransomware/
[7] https://github.com/revsic/AntiDebugging
[8] https: // ss64.ru / locale.html
[9] https://twitter.com/malwrhunterteam/status/1222253947332841472
[10] https://twitter.com/luca_nagy_/status/1222819371644522500
Отчет о программах-вымогателях: появление Avaddon и новых технологий, нацеленный на промышленный сектор — Новости безопасности
Дополнительные сведения Монте Де Хесус, Мохаммед Малубай и Алисса Кристель Рамос
Обновлено 23 июля 2020 г. семейства вымогателей.
За последние пару месяцев программы-вымогатели оставались серьезной угрозой, поскольку на каждом шагу появлялись новые семейства, методы и цели.Недавно мы стали свидетелями появления нового семейства программ-вымогателей Avaddon. Мы также изучили методы, используемые некоторыми вариантами программ-вымогателей, и отрасли, затронутые этими атаками. Кроме того, мы включили наши последние данные о семействах программ-вымогателей с наибольшим количеством обнаружений, новых семействах программ-вымогателей и наиболее уязвимых отраслях и сегментах.
Программа-вымогатель AvaddonНовая программа-вымогатель под названием Avaddon (обнаруживается Trend Micro как Ransom.Win32.AVADDON.YJAF-A) наблюдается в целом. Троян (определяемый Trend Micro как Trojan.JS.AVADDON.YJAF-A) загружает программу-вымогатель с вредоносных сайтов и запускает их в системе. Об этом сообщается в серии твиттер-сообщений TMMalAnalyst.
Программа-вымогатель распространяется через электронные письма с вложением IMG {6 random number} .jpg.js.zip, которое содержит файл JavaScript с именем IMG {6 random number} .jpg.js.
Рисунок 1. Пример электронного письма для кампании Avaddon
Как видно на предыдущем рисунке, тело письма содержит один смайлик.Электронные письма для кампании Avaddon также следуют по стопам прошлых кампаний по вредоносному ПО, в которых используются определенные темы, чтобы пробудить любопытство пользователей, тем самым побуждая их открыть сообщение и загрузить вложение. Большинство этих писем посвящены фотографиям, что может быть особенно привлекательным для пользователей в то время, когда гаджеты со встроенными камерами теперь стали широко доступны:
- Посмотрите на это фото!
- Фото для тебя
- Ты хорошо выглядишь здесь
- Мне нравится это фото
- Мне нравится это фото
- Это ваше фото?
- Это ты?
- Мое любимое фото
- Вам нравится это фото?
После загрузки и запуска вложения оно использует команду PowerShell и инструмент командной строки BITSAdmin для загрузки и запуска полезной нагрузки программы-вымогателя.После этого пострадавшие пользователи увидят, что программа-вымогатель зашифровала файлы и добавила к ним расширение .avdn. Пользователи увидят, что обои на рабочем столе их системы были автоматически изменены на изображение, в котором говорится, что «все ваши файлы были зашифрованы» и содержится ссылка на примечание о выкупе: «Инструкция 270015-readme.html» (после {Зашифрованный каталог} \ { случайные числа} -readme.html формат):
Рис. 2. Обои пользователя, измененные атакой Avaddon
В записке о выкупе содержатся инструкции о том, как пострадавший пользователь может восстановить зашифрованные файлы.
Рис. 3. Записка с требованием выкупа Avaddon
Эта программа-вымогатель шифрует файлы, находящиеся в следующих папках:
- Программные файлы \ Microsoft \ Exchange Server
- Программные файлы (x86) \ Microsoft \ Exchange Server
- Программные файлы \ Microsoft SQL Server
- Программные файлы (x86) \ Microsoft SQL Server
Добавляет следующие процессы, которые удаляют резервные копии системы, что затрудняет восстановление:
- wmic.exe SHADOWCOPY / nointeractive
- wbadmin УДАЛИТЬ РЕЗЕРВНОЕ КОПИРОВАНИЕ СИСТЕМЫ
- wbadmin УДАЛИТЬ SYSTEMSTATEBACKUP -deleteOldest
- bcdedit.exe / set {default} recoveryenabled №
- bcdedit.exe / set {default} bootstatuspolicy ignoreallfailures
- vssadmin.exe Удалить тени / Все / Тихо
Он завершает службы и процессы, многие из которых связаны со сканированием, хранением и извлечением файлов, а также с планированием задач.Ниже приведены несколько примеров:
Прекращенные услуги:
- ccEvtMgr
- ccSetMgr
- Калсервер
- dbeng8
- dbsrv12
- DefWatch
- Intuit.QuickBooks.FCS
- msmdsrv
- QBCFMonitorService
- QBIDPService
Прерванные процессы:
- 360doctor.exe
- 360se.exe
- мост.exe
- BCFMonitorService.exe
- Culture.exe
- Defwatch.exe
- fdhost.exe
- fdlauncher.exe
- GDscan.exe
- httpd.exe
Он завершает работу, если идентификатор локали Windows равен следующему:
- 419 = русский
- 422 = украинский
Он завершает работу, если на аппарате установлен следующий язык раскладки клавиатуры:
- 419 = русский
- 485 = Якут (Россия)
- 444 = татарский
- 422 = украинский
Стоит отметить, что методика обхода систем из определенных стран аналогичным образом наблюдалась в кампаниях вымогателей MedusaLocker.
Полный список процессов и служб, а также дополнительные сведения о программе-вымогателе можно найти в нашем отчете.
Обнаружена новая техникаВ последние месяцы также были обновлены методы, используемые некоторыми вариантами программ-вымогателей. Например, вымогатель Netwalker теперь может запускаться без файлов с помощью внедрения рефлексивной библиотеки динамической компоновки (DLL) (также известной как рефлексивная загрузка DLL). Этот метод внедряет DLL из памяти, а не с диска.Хотя сам по себе метод не является новым (ранее он использовался для развертывания вымогателя ColdLock), его использование в Netwalker является новым.
Еще одним заметным достижением является развертывание виртуальных машин Ragnar Locker, позволяющих избежать обнаружения антивирусным программным обеспечением. Согласно Sophos, этот вектор атаки никогда раньше не использовался ни с одним типом вымогателей. В прошлом Ragnar Locker использовал поставщиков управляемых услуг или атаки на подключения по протоколу удаленного рабочего стола Windows (RDP).
Производство, логистика и энергетика в соответствии с целевыми показателями В последние месяцыразновидностей программ-вымогателей использовались для нацеливания на несколько компаний в производственном, логистическом и энергетическом секторах.Вариант программы-вымогателя Ekans (обнаруженный Trend Micro как Ransom.Win32.EKANS.D) использовался в целевых атаках на компании-производители. По наблюдениям Драгоса, в производственных процессах, завершенных в прошлых атаках Ekans, проявляется особый уровень преднамеренности, что делает их угрозой, за которой должны следить организации с системами управления производством (ICS).
Было замечено, что программа-вымогательNefilim, которая следует за недавней тенденцией появления типов программ-вымогателей, которые не только шифруют файлы, но и крадут данные, атакует логистические компании.Расследование этих атак позволило нам больше узнать о поведении недавно обнаруженной программы-вымогателя, особенно в том, что касается ее возможностей кражи данных. Мы выяснили, что эта кража данных начинается за несколько недель или даже месяцев до развертывания программы-вымогателя и что в атаках используются несколько инструментов (как вредоносных, так и не вредоносных) для развертывания процессов и перемещения по сети.
В связанных новостях операторы, стоящие за Sodinokibi, опубликовали на веб-странице Tor 1280 файлов, которые, как они утверждают, являются паспортными данными и другими документами сотрудников поставщика электрических услуг.За несколько недель до этого компания атаковала компанию-вымогатель, прервав ее работу.
С другой стороны, другая программа-вымогатель, которую мы назвали ColdLock (обнаруженная Trend Micro как Ransom.MSIL.COLDLOCK.YPAE-A), была нацелена на регион, а не только на конкретную отрасль. В частности, он атаковал тайваньские организации с целью шифрования баз данных и почтовых серверов.
Данные о программах-вымогателях за майВ мае WannaCry вошла в число лидеров семейства вымогателей с 15496 обнаружениями.Удержание WannaCry наибольшего количества обнаружений может быть связано с его компонентом-червем и настойчивостью его операторов в попытках регулярно распространять вредоносное ПО. Мы прогнозируем, что WannaCry будет продолжать обнаруживать такое большое количество обнаружений до тех пор, пока не появится новая массовая программа-вымогатель или пока не будут найдены и удалены источники для WannaCry.
Заследуют Locky с 1532 обнаружениями и Cerber с 392 обнаружениями. Действительно, с января этого года эти семейства программ-вымогателей стабильно входили в тройку лидеров.Они также вошли в тройку лидеров по общему количеству обнаружений программ-вымогателей в прошлом году.
Рис. 4. Семейства программ-вымогателей с наибольшим количеством обнаружений (май 2020 г.)
В том же месяце наибольшее количество обнаружений было зафиксировано в правительстве (1870), обрабатывающей промышленности (1599) и здравоохранении (1217).
Рис. 5. Ведущие отрасли по обнаружению программ-вымогателей (май 2020 г.)
Для сегментов наибольшее количество обнаружений было обнаружено у предприятий — более 18 000.Между тем, в потребительском сегменте было обнаружено более 4000 обнаружений, по сравнению с более чем 1000 обнаружений в малом и среднем бизнесе (SMB).
Рисунок 6. Верхние сегменты обнаружения программ-вымогателей (май 2020 г.)
Что касается семейств программ-вымогателей, то в мае было обнаружено пять новых, в том числе уже упомянутый вымогатель ColdLock. Одно из этих новых семейств — BlueCheeser (обнаруживается Trend Micro как Ransom.MSIL.BLUECHEESER.A), семейство программ-вымогателей, которые добавляют зашифрованные файлы с расширением.himr и предписывает затронутым пользователям заплатить 400 долларов США за расшифровку файлов.
Другой — CoronaLock (обнаруживается Trend Micro как Ransom.Win32.CORONALOCK.A), также известный как CovidWorldCry. Этот вымогатель, распространяемый через спам на тему коронавируса, переименовывает зашифрованные файлы с расширением .corona.lock. Другое семейство программ-вымогателей, названное PonyFinal (обнаруженное Trend Micro как Ransom.Java.PONYFINAL.A), представляет собой программу-вымогатель на основе Java, управляемую человеком, которая нацелена на системы Microsoft. Наконец, GonnaCry (определяется Trend Micro как Ransom.Linux.GONNACRY.A) — это программа-вымогатель, нацеленная на системы Linux. По сравнению с апрельскими обнаружениями количество обнаруженных новых семейств программ-вымогателей уменьшилось.
Рисунок 7. Количество новых семейств программ-вымогателей (с января по май 2020 г.)
Надежная защита от программ-вымогателейПрерванные операции, потеря данных и публикация конфиденциальных данных компании — вот некоторые из способов, которыми атака программы-вымогателя может поставить компанию под угрозу.Однако компании все еще могут найти способы защитить свои организации от этих атак.
Вот некоторые из лучших практик для пользователей по защите систем от программ-вымогателей:
- Создайте резервную копию файлов, используя правило 3-2-1. Это правило включает в себя регулярное создание трех резервных копий в двух разных форматах при хранении одной копии за пределами предприятия.
- Периодически исправляйте и обновляйте приложения и программное обеспечение. Это гарантирует устранение уязвимостей. Для уязвимостей нулевого дня разверните виртуальное исправление.
- Включить анализ песочницы. Благодаря этому вредоносные файлы могут запускаться в изолированной среде. Таким образом, эти файлы можно отслеживать, не подвергая систему опасности.
- Включите расширенные возможности обнаружения для новых семейств программ-вымогателей, таких как технологии машинного обучения или мониторинга поведения, в ваших решениях.
Вот несколько решений безопасности, которые рекомендуются от программ-вымогателей:
Индикаторы взлома Avaddon Ransomware
URL
- hxxp: // 217.8.117.63 / jpr.exe
- hxxp: //217.8.117.63/sava.exe
- hxxp: //myphotoload.com/photo.php
СКРЫТЬ
Нравится? Добавьте эту инфографику на свой сайт:
1. Щелкните поле ниже. 2. Нажмите Ctrl + A, чтобы выбрать все. 3. Нажмите Ctrl + C, чтобы скопировать. 4. Вставьте код на свою страницу (Ctrl + V).
Изображение будет иметь тот же размер, что и выше.
Опубликовано в Киберпреступность и цифровые угрозыUNC2447 SOMBRAT и FIVEHANDS Ransomware: сложная финансовая угроза
Mandiant наблюдала агрессивную финансово мотивированную группу UNC2447, которая эксплуатировала одну уязвимость нулевого дня SonicWall VPN до того, как был доступен патч, и развертывала сложное вредоносное ПО, ранее отмечавшееся другими поставщиками как SOMBRAT.Mandiant связывает использование SOMBRAT с развертыванием программ-вымогателей, о чем ранее не сообщалось публично.
UNC2447 монетизирует вторжения, сначала вымогая у своих жертв с помощью вымогателя FIVEHANDS, а затем агрессивно оказывает давление посредством угроз внимания СМИ и предлагая данные о жертвах для продажи на хакерских форумах. UNC2447 был замечен нацеленным на организации в Европе и Северной Америке и постоянно демонстрирует расширенные возможности для уклонения от обнаружения и минимизации криминалистической экспертизы после вторжений.
Компания Mandiant обнаружила доказательства того, что аффилированные с UNC2447 участники ранее использовали вымогатель RAGNARLOCKER. Основываясь на технических и временных наблюдениях за развертываниями HELLOKITTY и FIVEHANDS, Mandiant подозревает, что HELLOKITTY мог использоваться общей партнерской программой с мая 2020 года по декабрь 2020 года и FIVEHANDS примерно с января 2021 года.
Фон
В ноябре 2020 года Mandiant создал UNC2447, группу без категорий, по наблюдениям использующую новый дроппер WARPRISM PowerShell для установки BEACON на двух клиентах Mandiant Managed Defense.Mandiant Managed Defense быстро нейтрализовала эти вторжения и не зафиксировала попыток развертывания программ-вымогателей.
В январе и феврале 2021 года Mandiant Consulting наблюдала новую переписанную версию DEATHRANSOM — получившую название FIVEHANDS — вместе с SOMBRAT у нескольких жертв, у которых вымогали деньги. Во время одного из вторжений программ-вымогателей были обнаружены те же образцы WARPRISM и BEACON, ранее сгруппированные под UNC2447. Mandiant удалось криминалистически связать использование WARPRISM, BEACON, SOMBRAT и FIVEHANDS с одним и тем же субъектом.
Mandiant подозревает, что активность HELLOKITTY в конце 2020 года может быть связана с общей партнерской программой и что с января 2021 года использование вымогателей перешло на FIVEHANDS.
- В апреле 2021 года Mandiant наблюдала частный чат FIVEHANDS TOR с помощью значка HELLOKITTY (рис. 1).
Рисунок 1. Значок Hello Kitty FIVEHANDS
Когда Mandiant обнаруживает партнерские программы-вымогатели, неклассифицированные кластеры назначаются на основе используемой инфраструктуры, а в случае UNC2447 были основаны на инфраструктуре SOMBRAT и Cobalt Strike BEACON, использованной в 5 вторжениях в период с ноября 2020 года по февраль 2021 года.Как правило, Mandiant проявляет осторожность даже с новыми вредоносными программами, такими как SOMBRAT и WARPRISM, и каждый кластер использует строго в соответствии со всеми наблюдаемыми действиями. Для получения дополнительной информации о неклассифицированных угрозах обратитесь к нашему сообщению «Опровержение атрибуции: как Mandiant отслеживает неклассифицированных участников угроз».
Уязвимость устройства серии SonicWall SMA 100
CVE-2021-20016 — это критическая уязвимость, связанная с внедрением SQL-кода, которая использует непропатченные продукты SonicWall Secure Mobile Access серии SMA 100 для удаленного доступа.Удаленный злоумышленник, не прошедший проверку подлинности, может отправить специально созданный запрос, чтобы воспользоваться уязвимостью. Успешная эксплуатация предоставит злоумышленнику возможность получить доступ к учетным данным для входа (имя пользователя, пароль), а также к информации о сеансе, которая затем может быть использована для входа в уязвимое непропатченное устройство серии SMA 100. Эта уязвимость затрагивала только серию SMA 100 и была исправлена SonicWall в феврале 2021 года. Для получения дополнительной информации об этой уязвимости см. Рекомендации SonicWall PSIRT SNWLID-2021-0001.
WARPRISM
WARPRISM — это дроппер PowerShell, который, по наблюдениям Mandiant, поставляет SUNCRYPT, BEACON и MIMIKATZ. WARPRISM используется для уклонения от обнаружения конечной точки и загружает полезные данные непосредственно в память. WARPRISM может использоваться несколькими группами.
FOXGRABBER
FOXGRABBER — это утилита командной строки, используемая для сбора файлов учетных данных FireFox с удаленных систем. Он содержит путь PDB: C: \ Users \ kolobko \ Source \ Repos \ grabff \ obj \ Debug \ grabff.pdb. FOXGRABBER также был замечен во вторжении программ-вымогателей DARKSIDE.
BEACON Гибкие профили
На начальных этапах вторжения UNC2447 использует имплант Cobalt Strike BEACON HTTPSSTAGER для постоянного взаимодействия с серверами управления и контроля (C2) по протоколу HTTPS. Было обнаружено, что используются гибкие профили chches_APT10 и Havex.
UNC2447 Ящик для инструментов
На стадии разведки и эксфильтрации вторжений UNC2447 был обнаружен с помощью следующих инструментов: ADFIND, BLOODHOUND, MIMIKATZ, PCHUNTER, RCLONE, ROUTERSCAN, S3BROWSER, ZAP и 7ZIP.UNC2447 может вмешиваться в настройки безопасности Windows, правила брандмауэра и антивирусную защиту.
Обзор SOMBRAT
SOMBRAT впервые был отмечен Blackberry Cylance в ноябре 2020 года как «Кампания CostaRicto: Cyber-Espionage Outsourced» как потенциальная преступная группа, занимающаяся шпионажем по найму. В настоящее время Mandiant обнаружил SOMBRAT наряду с вторжением программ-вымогателей FIVEHANDS.
Бэкдор SOMBRAT упакован как исполняемый файл 64-битной Windows. Он взаимодействует с настраиваемым сервером управления и контроля (C2) через несколько протоколов, включая DNS, TCP с шифрованием TLS и, возможно, WebSockets.Хотя бэкдор поддерживает десятки команд, большинство из них позволяет оператору манипулировать зашифрованным файлом хранилища и изменять конфигурацию имплантата. Основная цель бэкдора — загрузить и запустить плагины, предоставленные через сервер C2. В отличие от версии SOMBRAT, опубликованной в ноябре 2020 года, Mandiant наблюдал дополнительную обфускацию и защиту, чтобы избежать обнаружения, этот вариант SOMBRAT был усилен, чтобы препятствовать анализу. Метаданные программы, обычно включаемые компилятором, были удалены, а строки были встроены и закодированы с помощью подпрограмм на основе XOR.
Пусковая установка SOMBRAT
Этот вариант бэкдора SOMBRAT должен быть развернут вместе с четырьмя дополнительными ресурсами, которые служат пусковыми установками. Обычно они устанавливаются по жестко заданному пути каталога `C: \ ProgramData \ Microsoft`.
- путь: `C: \ programdata \ Microsoft \ WwanSvc.bat` — программа запуска для` WwanSvc.txt`
- путь: `C: \ programdata \ Microsoft \ WwanSvc.txt` — декодер и программа запуска для` WwanSvc.c`
- путь: `C: \ programdata \ Microsoft \ WwanSvc.c` — декодер и программа запуска для` WwanSvc.b`
- путь: `C: \ programdata \ Microsoft \ WwanSvc.a` — ключ XOR
- путь: `C: \ programdata \ Microsoft \ WwanSvc.b` — закодированный бэкдор SOMBRAT
- путь: `% TEMP% \ <возможно уникальное случайное имя>` — зашифрованный файл хранилища
- путь: `% TEMP% \ <возможно уникальное случайное имя _ <целое число>` — зашифрованный файл хранилища
- путь: `C: \ ProgramData \ <возможно уникальное случайное имя` - зашифрованный файл конфигурации
Были замечены другие варианты имен файлов, такие как ntuser и wapsvc.
SOMBRAT Технические детали
Бэкдор SOMBRAT написан на современном C ++ и реализован как набор «подключаемых модулей», которые взаимодействуют друг с другом. С этим вариантом распространяется пять плагинов: core, network, storage, taskman и debug (плагин config, описанный Blackberry, отсутствует). Основные плагины взаимодействуют с сервером C2 через сообщения, отправленные через общий сетевой уровень; каждый плагин поддерживает свой собственный набор сообщений, а протокол бэкдора может быть расширен динамически загружаемыми плагинами.
Плагин `core` координирует отслеживание состояния, например подключение к сети, а также динамическую загрузку и выгрузку плагина. Плагин `network` настраивает сетевой уровень, используемый для связи с сервером C2, например, позволяя оператору переключаться между протоколами DNS и TCP. Плагин storage предоставляет логические операции, такие как чтение и запись, для зашифрованного файла, используемого для хранения плагинов, ресурсов и произвольных данных. Плагин `taskman` позволяет оператору составлять список и уничтожать процессы в скомпрометированной системе.Наконец, плагин `debuglog` поддерживает одну команду для записи отладочных сообщений.
Учитывая, что основные подключаемые модули не позволяют оператору напрямую выполнять произвольные команды или реконфигурировать систему, основная функция бэкдора SOMBRAT заключается в загрузке подключаемых модулей, предоставляемых через сервер C2. Эти плагины могут быть шелл-кодом или динамически загружаемыми модулями DLL. Сервер C2 может дать команду бэкдору загрузить плагины напрямую или сохранить их в зашифрованном файле хранилища, где они впоследствии могут быть перезагружены, например, после обновления бэкдора.
Рис. 2. Отметка автора вредоносного ПО «Никто не совершенен, кроме меня».
SOMBRAT избегает криминалистического анализа, исправляя память процесса, используемую для записи аргументов командной строки. Он заменяет исходную командную строку базовым именем исполняемого файла программы, удаляя все аргументы. Это означает, что исследователи, которые проверяют листинг процесса с помощью криминалистической экспертизы памяти, увидят безобидную на вид командную строку `powershell.exe`, а не ссылки на необычное имя файла, такое как` WwanSvc.c`.
SOMBRAT Network Communications
Бэкдор SOMBRAT может взаимодействовать со своим сервером C2, используя как DNS, так и протокол потока с шифрованием TLS с поддержкой прокси. По умолчанию бэкдор использует протокол DNS; однако это может быть изменено сервером C2. Mandiant наблюдал за доменами feticost [.] Com и celomito [.] Com, используемыми для связи DNS C2.
Когда бэкдор обменивается данными через свой протокол DNS, он создает и разрешает полные доменные имена, интерпретируя результаты DNS для извлечения сообщений C2.Авторитетный DNS-сервер встраивает данные в поле IP-адреса результатов записи DNS A и в поле Name Administrator результатов записи DNS TEXT. Делая много запросов к уникальным поддоменам домена C2, бэкдор может медленно передавать информацию по несколько байтов за раз.
Сходства с программами-вымогателями
Начиная с октября 2020 года, Mandiant наблюдала образцы настроенной версии DEATHRANSOM. В этой недавно измененной версии была удалена функция проверки языка (на рисунке 3 показана проверка языка в DEATHRANSOM).
Рисунок 3: Проверка языка из блога Fortinet
- Программа-вымогатель HELLOKITTY, используемая против польского разработчика видеоигр CD Projekt Red, как сообщается, создана на основе DEATHRANSOM.
- HELLOKITTY назван в честь мьютекса с именем «HELLOKITTYMutex», который используется при запуске исполняемого файла вредоносной программы (см. Рисунок 4).
Рисунок 4: Мьютекс HELLOKITTY, показанный в Process Explorer
В январе 2021 года компания Mandiant заметила, что против жертвы была развернута новая программа-вымогатель, и присвоила ей имя FIVEHANDS.
- Анализ FIVEHANDS выявил большое сходство с DEATHRANSOM, имеющее несколько общих черт, функций и сходства кодирования. В FIVEHANDS отсутствует языковая проверка, аналогичная HELLOKITTY .
- И DEATHRANSOM, и FIVEHANDS бросают записку о выкупе во всех неисключенных каталогах
Техническое сравнение FIVEHANDS, HELLOKITTY и DEATHRANSOM
DEATHRANSOM написан на C, а два других семейства написаны на C ++. DEATHRANSOM использует отдельную серию циклов do / while для перечисления сетевых ресурсов, логических дисков и каталогов.Он также использует QueueUserWorkItem для реализации пула потоков для своих потоков шифрования файлов.
HELLOKITTY написан на C ++, но повторно реализует значительную часть функциональности DEATHRANSOM с использованием аналогичных операций цикла и объединения потоков через QueueUserWorkItem. Структура кода для перечисления сетевых ресурсов, логических дисков и шифрования файлов очень похожа. Кроме того, HELLOKITTY и DEATHRANSOM имеют очень похожие функции для проверки состояния завершения своих потоков шифрования перед выходом.
FIVEHANDS написан на C ++, и, хотя функциональность высокого уровня схожа, вызовы функций и структура кода для реализации большей части функциональности написаны по-другому. Кроме того, вместо выполнения потоков с использованием QueueUserWorkItem, FIVEHANDS использует IoCompletionPorts для более эффективного управления своими потоками шифрования. FIVEHANDS также использует больше функций из стандартной библиотеки шаблонов C ++ (STL), чем HELLOKITTY.
Удаление теневых копий тома
DEATHRANSOM, HELLOKITTY и FIVEHANDS используют один и тот же код для удаления теневых копий тома через WMI, выполняя запрос select * из Win32_ShadowCopy и затем удаляя каждый экземпляр, возвращенный его идентификатором.
Операции шифрования
В каждом из этих трех семейств вредоносных программ используется схожая схема шифрования. Асимметричный открытый ключ либо жестко запрограммирован, либо сгенерирован. Для каждого зашифрованного файла создается уникальный симметричный ключ.
- После того, как каждый файл будет зашифрован, асимметричный ключ зашифрует симметричный ключ и добавит его к зашифрованному файлу. Кроме того, в конец зашифрованного файла добавляется уникальное четырехбайтовое магическое значение. Вредоносная программа проверяет эти магические байты, чтобы убедиться, что она снова не зашифрует ранее зашифрованный файл.
- DEATHRANSOM и HELLOKITTY реализуют операции шифрования файлов, используя очень похожую структуру кода и последовательность операций.
- FIVEHANDS реализует шифрование файлов с разной структурой кода и использует разные встроенные библиотеки шифрования.
- Помимо симметричного ключа, HELLOKITTY и FIVEHANDS также шифруют метаданные файла с помощью открытого ключа и добавляют их к зашифрованному файлу.
- DEATHRANSOM генерирует пару ключей RSA, в то время как HELLOKITTY и FIVEHANDS используют встроенный открытый ключ RSA или NTRU.
DEATHRANSOM Шифрование
- DEATHRANSOM создает пару открытого и закрытого ключей RSA-2048. Используя процедуру Диффи – Хеллмана (ECDH), реализованную с помощью Curve25519, он вычисляет общий секрет, используя два входных значения: 1) 32 случайных байта из вызова RtlGenRandom и 2) жестко закодированное 32-байтовое значение (открытый ключ злоумышленника). Он также создает открытый ключ Curve25519. Общий секрет — это хеш-код SHA256, который используется в качестве ключа к Salsa20 для шифрования открытого и закрытого ключей RSA.
- Открытый ключ RSA используется для шифрования отдельных симметричных ключей, используемых для шифрования каждого файла. Версия зашифрованных ключей RSA в кодировке Base64 и открытый ключ жертвы Curve25519 включены в записку о выкупе, предоставляя злоумышленникам информацию, необходимую для расшифровки файлов жертвы.
- Для симметричного ключа DEATHRANSOM вызывает RtlGenRandom для генерации 32 случайных байтов. Это 32-байтовый ключ, используемый для шифрования AES каждого файла. После шифрования файла ключ AES шифруется открытым ключом RSA и добавляется к файлу.
- DEATHRANSOM, наконец, добавляет четыре магических байта AB CD EF AB в конец зашифрованного файла и использует их в качестве проверки, чтобы убедиться, что он не зашифровывает уже зашифрованный файл.
- Анализируемый образец DEATHRANSOM, использованный для сравнения, не изменяет расширение файла.
Шифрование HELLOKITTY
- HELLOKITTY содержит встроенный открытый ключ RSA-2048. Этот открытый ключ хеширован SHA256 и используется в качестве идентификатора жертвы в записке с требованием выкупа.Этот открытый ключ RSA также используется для шифрования симметричного ключа каждого файла.
- Для симметричного ключа HelloKitty генерирует 32-байтовое начальное значение на основе метки времени ЦП. Генерируется ключ Salsa20, который шифрует второе 32-байтовое начальное значение. Зашифрованный результат — XOR с первым семенем, в результате чего 32-байтовый ключ используется для AES-шифрования каждого файла.
- После того, как каждый файл зашифрован, исходный размер файла, магическое значение DE C0, AD BA и ключ AES зашифровываются с помощью открытого ключа RSA и добавляются к файлу.HELLOKITTY и FIVEHANDS добавляют эти дополнительные метаданные к зашифрованному файлу, а DEATHRANSOM — нет.
- Наконец, он добавляет четыре магических байта DA DC CC AB в конец зашифрованного файла.
- В зависимости от версии HELLOKITTY может изменять или не изменять расширение файла.
- В других образцах HELLOKITTY вместо RSA использовался встроенный открытый ключ NTRU.
FIVEHANDS Шифрование
- FIVEHANDS использует встроенный открытый ключ NTRU.Этот ключ NTRU является хешированным SHA512, и первые 32 байта используются в качестве идентификатора жертвы в записке с требованием выкупа. Этот публичный ключ NTRU также используется для шифрования симметричного ключа каждого файла.
- Для симметричного ключа FIVEHANDS использует встроенную процедуру генерации для создания 16 случайных байтов, используемых для ключа AES для шифрования каждого файла.
- После того, как каждый файл зашифрован, исходный размер файла, магическое значение DE C0, AD BA и ключ AES зашифровываются с помощью открытого ключа NTRU и добавляются к файлу.
- Четыре магических байта DB DC CC AB добавляются в конец зашифрованного файла.
- FIVEHANDS включает дополнительный код, которого нет в DEATHRANSOM и HELLOKITTY, для использования диспетчера перезапуска Windows для закрытия файла, который используется в данный момент, чтобы его можно было разблокировать и успешно зашифровать.
- Расширение зашифрованного файла изменено на расширение .crypt Поток и последовательность шифрования
- FIVEHANDS сильно отличается от двух других, отчасти потому, что он включает асинхронные запросы ввода-вывода и использует разные встроенные библиотеки шифрования.
FIVEHANDS Зашифрованный дроппер
Одно из существенных изменений между DEATHRANSOM и FIVEHANDS — это использование дроппера, работающего только с памятью, который при выполнении ожидает, что в командной строке будет указано значение -key, за которым следует значение ключа, необходимое для расшифровки его полезных данных. Полезная нагрузка сохраняется и шифруется с помощью AES-128 с использованием IV «85471kayecaxaubv». Расшифрованная полезная нагрузка FIVEHANDS сразу же выполняется после расшифровки. На сегодняшний день Mandiant наблюдал только зашифрованные дропперы с общим значением 8517cf209c905e8012416
- f36a97.
- DEATHRANSOM устанавливает внешнее HTTPS-соединение для загрузки файла. Ни HELLOKITTY, ни FIVEHANDS не инициируют сетевые подключения.
- HELLOKITTY содержит код для установки обоев жертвы на изображение, связанное с выкупом. В остальных образцах такой возможности нет
- Известно, что разные версии DEATHRANSOM и HELLOKITTY изменяют расширение файла
- Известно, что различные версии HELLOKITTY проверяют завершение определенных процессов.
- 87c78d62fd35bb25e34abb8f4caace4a
- 6382d48fae675084d30ccb69b4664cbb (31dcd09eb9fa2050aadc0e6ca05957bf без резервации)
- cf1b9284d239928cce1839ea8919a7af (ключ XOR wwansvc.a)
- 4aa3eab3f657498f52757dc46b8d1f11 (wwansvc.c)
- 1f6495ea7606a15daa79be93070159a8 (wwansvc.bat)
- 31dcd09eb9fa2050aadc0e6ca05957bf (wwansvc.b)
- edf567bd19d09b0bab4a8d068af15572 (wwansvc.б)
- a5b26931a1519e9ceda04b4c997bb01f (wwansvc.txt)
- f0751bef4804fadfe2b993bf25791c49 (4aa3eab3f657498f52757dc46b8d1f11 без резкости)
- 87c78d62fd35bb25e34abb8f4caace4a (edf567bd19d09b0bab4a8d068af15572 без привязки)
- Celomito [.] Com (unc2447)
- Feticost [.] Com (unc2447)
- Cosarm [.] Com
- Portalcos [.] Com
- 39ea2394a6e6c39c5d7722dc996daf05
- f568229e696c0e82abb35ec73d162d5e
- 6c8495f48d4b4aafce0fc49eb5b
- 22d35005e926fe29379cb07b810a6075
- 57824214710bc0cdb22463571a72afd0
- 87c0b190e3b4ab9214e10a2d1c182153
- 1b0b9e4cddcbcb02affe9c8124855e58
- 46ecc24ef6d20f3eaf71ff37610d57d1
- 1a79b6d169aac719c9323bc3ee4a8361
- a64d79eba40229ae9aaebbd73938b985
- 136bd70f7aa98f52861879d7dca03cf2
- 06ce6cd8bde756265f95fcf4eecadbe9
- af568e8a6060812f040f0cb0fd6f5a7b
- d96adf82f061b1a6c80699364a1e3208
- c50ab1df254c185506ab892dc5c8e24b
- c925822c6d5175c30ba96388b07e9e16 (unc2447)
- c171bcd34151cbcd48edbce13796e0ed
- d87fcd8d2bf450b0056a151e9a116f72
- f739977004981fbe4a54bc68be18ea79
- e18b27f75c95b4d50bfcbcd00a5bd6c5
- df6e6b3e53cc713276a03cce8361ae0f
- 1cd03c0d00f7bfa7ca73f7d73677d8f8
- 8071f66d64395911a7aa0d2057b9b00d
- c12a96e9c50db5f8b0b3b5f9f3f134f0
- e39184eacba2b05aaa529547abf41d2b
- 09a05a2212bd2c0fe0e2881401fbff17
- 8226d7615532f32eca8c04ac0d41a9fd
- a01a2ba3ae9f50a5aa8a5e34928
- 29e53b32d5b4aae6d9a3b3c81648653c
- a809068b052bc209d0ab13f6c5c8b4e7
- 64.227,24 [.] 12 Профиль Havex Январь 2021 г.
- 157.230.184 [.] 142 chches_ Профиль APT10 Ноябрь 2020 г. — январь 2021 г.
- 74c688a22822b2ab8f18eafad2271cac
- 7d6e57cbc112ebd3d3c95d3c73451a38
- 4d3d3919dda002511e03310c49b7b47f
- FE_Loader_Win32_Generic_162
- FE_Ransomware_Win32_FIVEHANDS_1
- Вредоносное ПО.Двоичный.exe
- Ransomware.Win.Generic.MVX
- FE_Backdoor_Win64_SOMBRAT_1
- Backdoor.Win.SOMBRAT
- Malware.Binary.exe
- Backdoor.Win.SOMBRAT.MVX
- FEC_Trojan_PS1_Generic_7
- FEC_Trojan_PS1_Generic_8
- FEC_Trojan_BAT_Generic_5
- Ransomware.Win.Generic.MVX
- Вредоносное ПО.Двоичный.exe
- Ransomware.Win.HELLOKITTY.MVX
- FE_Ransomware_Win_HELLOKITTY_1
- FE_Ransomware_Win32_HELLOKITTY_1
- FE_Loader_Win32_Generic_92
- Ransomware.Win.Generic.MVX
- Malware.Binary.exe
- FE_Loader_Win32_BLUESPINE_1
- Бэкдор.BEACON
- Malware.Binary.exe
- FE_Loader_PS1_WARPRISM_1
- FEC_Loader_PS1_WARPRISM_1
- Бэкдор.МАЯК
- Trojan.Generic
- Trojan.Win.SYSTEMBC
- Backdoor.Meterpreter
- Загрузчик.PS1.WARPRISM.MVX
- Malware.Binary.exe
- Malware.Binary.ps1
- FE_Tool_MSIL_FOXGRABBER_1
- FE_Trojan_MSIL_Generic_109
- SOMBRAT (ЗАДНИЙ)
- ПОДОЗРИТЕЛЬНЫЕ ДАННЫЕ POWERSHELL READ BASE64 (МЕТОДОЛОГИЯ)
- FIVEHANDS RANSOMWARE (СЕМЬЯ)
- DEATHRANSOM RANSOMWARE (СЕМЬЯ)
- HELLOKITTY RANSOMWARE (СЕМЬЯ)
- МАЯК (СЕМЕЙНЫЙ)
- СОМБРАТ
- Общий.мг. 87c78d62fd35bb25
- Generic.mg.6382d48fae675084
- Trojan.GenericKD.45750384
- Trojan.GenericKD.36367848
- Generic.PwShell.RefA.CB5E962A
- FIVEHANDS
- Generic.mg.39ea2394a6e6c39c
- Generic.mg.f568229e696c0e82
- Generic.mg.6c8495f48d4
- Generic.mg.22d35005e926fe29
- Generic.mg.57824214710bc0cd
- Generic.мг.87c0b190e3b4ab92
- Generic.mg.1b0b9e4cddcbcb02
- Generic.mg.46ecc24ef6d20f3e
- Generic.mg.1a79b6d169aac719
- Generic.mg.a64d79eba40229ae
- Ген: Variant.Zusy.375932
- Ген: Variant.Zusy.366866
- Trojan.GenericKD.46059492
- Trojan.GenericKD.46059131
- Trojan.GenericKD.45996121
- Trojan.GenericKD.45702783
- WARPRISM
- Общий.mg.a01a2ba3ae9f50a5
- Trojan.PowerShell.Agent.IJ
- Trojan.Agent.EXDR
- Trojan.PowerShell.Ransom.E
- Trojan.Agent.EUKPTrojan.GenericKD.45856129
- Heur.BZC.PZQ.Boxter.829.B5AEB7A6
- Heur.BZC.PZQ.Boxter.829.B84D01A7
- Heur.BZC.PZQ.Boxter.829.AE76D25C
- Trojan.PowerShell.Ransom.F
- Получено: Heur.BZC.MNT.Boxter.826.0A2B3A87
- Heur.BZC.PZQ.Boxter.829.A15701BD
- СМЕРТЬ
- Generic.mg.c50ab1df254c1855
- Trojan.Ransomware.GenericKD.35760206
- ПРИВЕТ
- Generic.mg.136bd70f7aa98f52
- Generic.mg.06ce6cd8bde75626
- Generic.mg.af568e8a6060812f
- Generic.mg.d96adf82f061b1a6
- Generic.Malware.PfVPk! 12.299C21F3
- Gen: Variant.Ransom.HelloKitty.1
- Generic.Malware.PfVPk! 12.606CCA24
- Generic.Malware.PfVPk! 12.1454636C
- МАЯК
- Generic.mg.74c688a22822b2ab
- Generic.mg.7d6e57cbc112ebd3
- Trojan.Agent.DDSN
- T1047 Инструментарий управления Windows
- Т1053.005 Запланированная задача / задание: Запланированная задача
- T1059.001 Интерпретатор команд и сценариев: PowerShell
- T1106 Исполнение через API
- T1045 Пакет программного обеспечения
- T1055 Технологический инжектор
- T1140 Деобфускация / декодирование файлов или информации
- T1012 Реестр запросов
- T1046 Сканирование сетевых служб
- T1057 Обнаружение процесса
- T1082 Обнаружение системной информации
- T1124 Обнаружение системного времени
- T1135 Обнаружение сетевого ресурса
- T1560.003 Архивировать собранные данные: архивировать с помощью специального метода
- T1485 Уничтожение данных
- T1486 Данные, зашифрованные для удара
- T1490 Запрет восстановления системы
- T1071.
аргументы CLI
FIVEHANDS может получать аргумент CLI для пути, это ограничивает действия программы-вымогателя по шифрованию файлов указанным каталогом. DEATHRANSOM и HELLOKITTY не принимают аргументы CLI.
Проверки Locale и Mutex
DEATHRANSOM выполняет проверку идентификатора языка и раскладки клавиатуры. Если любой из них соответствует русскому, казахскому, белорусскому, украинскому или татарскому языку, он выходит. Ни HELLOKITTY, ни FIVEHANDS не проверяют языковой идентификатор или клавиатуру.
HELLOKITTY выполняет проверку мьютекса, в то время как два других не выполняют проверку мьютекса.
Исключения файлов
DEATHRANSOM и HELLOKITTY исключают одни и те же каталоги и файлы:
programdata, $ recycle.bin, программные файлы, окна, все пользователи, appdata, read_me.txt, autoexec.bat, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log или thumbs.db.
Исключения для FIVEHANDS более обширны и содержат дополнительные файлы и каталоги, которые следует игнорировать.
Дополнительные различия
Элемент | FIVEHANDS | HELLOKITTY | СМЕРТЬ |
Язык программирования | C ++ | C ++ | С |
Симметричное шифрование | AES 128 | AES 256 | AES 256 |
Асимметричное шифрование | Встроенный ключ NTRU | Встроенный ключ RSA или NTRU | Curve25519 Создание ключей ECDH и RSA |
Исключения одного и того же каталога и имени файла | № | Есть | Есть |
Принимает аргументы CLI | Есть | № | № |
Сетевые подключения | № | № | Есть |
Проверка локали | № | № | Есть |
Проверка мьютекса | № | Есть | № |
байтов, добавленных к зашифрованным файлам | ДБ постоянного тока CC AB | DA DC CC AB | AB CD EF AB |
Таблица 1: Сравнение функций программ-вымогателей
Заключение
Mandiant наблюдала вымогателей SOMBRAT и FIVEHANDS от одной и той же группы с января 2021 года.Хотя сходство между HELLOKITTY и FIVEHANDS заметно, программы-вымогатели могут использоваться разными группами через подпольные партнерские программы. Mandiant назначит кластер без категорий на основе нескольких факторов, включая инфраструктуру, используемую во время вторжений, и поэтому не все вторжения программ-вымогателей SOMBRAT или FIVEHANDS могли быть осуществлены UNC2447. WARPRISM и FOXGRABBER использовались в программах-вымогателях SUNCRYPT и DARKSIDE, демонстрируя дополнительную сложность и совместное использование между различными партнерскими программами вымогателей.
Показатели
SOMBRAT UNC 2447
Пусковая установка SOMBRAT
SOMBRAT доменов
FIVEHANDS
FIVEHANDS Зашифрованный дроппер
HELLOKITTY
DEATHRANSOM
WARPRISM
МАЯК UNC 2447
FOXGRABBER
Обнаружения FireEye
Сетевая безопасность FireEye FireEye Email Security Обнаружение FireEye по запросу Анализ вредоносного ПО FireEye Защита файлов FireEye от вредоносных программ
| FIVEHANDS SOMBRAT HELLOKITTY DEATHRANSOM МАЯК WARPRISM FOXGRABBER |
FireEye EndPoint Security | реального времени (IOC) Защита от вредоносных программ (AV / MG) |
MITER ATT & CK
Тактика | Описание |
Начальный доступ | |
Исполнение | |
Уклонение от защиты | |
Открытие | |
Коллекция | |
Удар | |
Командование и управление |