Mamona

Mamona Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать в чат сайта вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41843
BitDefender -> Gen:Trojan.Heur3.LPT.lyW@aittNXfab
ESET-NOD32 -> A Variant Of Win32/Filecoder.OSW
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Tencent -> Malware.Win32.Gencirc.10c352d7
TrendMicro -> Ransom.Win32.MAMONA.THCBOBE
---

© Генеалогия: родство выясняется >> Mamona

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .HAes

Записка с требованием выкупа называется: README.HAes.txt

Содержание записки о выкупе:

~~Mamona, R.I.P!~~

Welcome!

Visit our blog --> hxxx://owt3kwkxod2pvxlv3uljzskfhebhrhoedrh5gqrxyyd6rrco4frzj5ad.onion

Chat —> bdhjur3agrogoxvwobbzpptkxhyewnjrhzqj4ug2dyfhf3dopyvvurid.onion/victim-chat/s630fx3eow8u

Password —>

As you may have noticed by now, all of your files were encrypted & stolen.

[What happened?]

-> We have stolen a significant amount of your important files from your network and stored them on our servers.

-> Additionally, all files are encrypted, making them inaccessible without our decryption tool.

[What can you do?]

--> You have two options:

--> 1. Pay us for the decryption tool, and:

--> - You can decrypt all your files.

--> - Stolen data will be deleted from our servers.|

--> - You will receive a report detailing how we accessed your network and security recommendations.

--> - We will stop targeting your company.

--> 2. Refuse to pay and:

--> - Your stolen data will be published publicly.

--> - Your files will remain locked.

--> - Your reputation will be damaged, and you may face legal and financial consequences.

--> - We may continue targeting your company.

[Warnings]

--> Do not alter your files in any way. If you do, the decryption tool will not work, and you will lose access permanently.

--> Do not contact law enforcement. If you do, your data will be exposed immediately.

--> Do not hire a recovery company. Decrypting these files without our tool is impossible. Each file is encrypted with a unique key, and you need our tool to decrypt them.

Заменяет обои Рабочего стола изображением с чёрным фоном и  информационной надписью. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.HAes.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

Blog: owt3kwkxod2pvxlv3uljzskfhebhrhoedrh5gqrxyyd6rrco4frzj5ad.onion

Chat: bdhjur3agrogoxvwobbzpptkxhyewnjrhzqj4ug2dyfhf3dopyvvurid.onion

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0f6d6ef9b82ece9dbbdc711ac00b5e6a 

SHA-1: 15ca8d66aa1404edaa176ccd815c57effea7ed2f 

SHA-256: c5f49c0f566a114b529138f8bd222865c9fa9fa95f96ec1ded50700764a1d4e7 

Vhash: 015066655d1d05651148z641z204hz15z37z 

Imphash: bea0fe4f47a3540e17a85006a21d644c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackLock

BlackLock Ransomware

BlackLock Linux Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы вернуть файлы. Если пострадавшие откажутся платить, то украденные данные будут слиты.  Оригинальное название: в записке не указано. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41186
BitDefender -> Trojan.Generic.36893921
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Filecoder!MSR
Rising -> ***
Tencent -> Win64.Trojan-Ransom.Generic.Qzfl
TrendMicro -> TROJ_GEN.R03BC0DK524
---

© Генеалогия: LostTrust >> El Dorado > BlackLock > BlackLock Linux

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя была найден во второй половине февраля 2025 г. Активность группы хакеров-вымогателей замечена с 2024 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

BlackLock Ransomware переименовывает каждый зашифрованный файл случайной строкой символов и добавляет к файлам случайные расширения. 

Записка с требованием выкупа называется: HOW_RETURN_YOUR_DATA.TXT

Содержание записки о выкупе:

Hello!

Your files have been stolen from your network and encrypted with a strong algorithm. We work for money and are not associated with politics. All you need to do is contact us and pay.

--- Our communication process:

1. You contact us.

1. We send you a list of files that were stolen.

2. We decrypt 1 file to confirm that our decryptor works.

3. We agree on the amount, which must be paid using BTC.

4. We delete your files, we give you a decryptor.

5. We give you a detailed report on how we compromised your company, and recommendations on how to avoid such situations in the future.

--- Client area (use this site to contact us):

Link for Tor Browser: hxxx://panela3eefdzfzxzxcsh***tzvjyd.onion/ddb34da5-dce4-4b46-8f7d-4674ab38be9d

>>> to begin the recovery process.

* In order to access the site, you will need Tor Browser,

you can download it from this link: hxxps://www.torproject.org/

--- Recommendations:

DO NOT RESET OR SHUTDOWN - files may be damaged.

DO NOT RENAME OR MOVE the encrypted and readme files.

DO NOT DELETE readme files.

--- Important:

If you refuse to pay or do not get in touch with us, we start publishing your files.

Еhe decryptor will be destroyed and the files will be published on our blog.

Blog: hxxx://dataleakypypu7uwblm5kttv726l3iripago6p336xjnbstkjwrlnlid.onion

Sincerely!

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Распространяется с 2024 года на русскоязычном форуме RAMP как RaaS. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_RETURN_YOUR_DATA.TXT - название файла с требованием выкупа;
enc_windows_amd64.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://26ubgm3vvrjawkdyfhvl2d2nhq77nu3zsagbih4yy2zgau5uv5ivfgyd.onion/dd6a54ac101e46032344dd2cef5e32

Tor-URL: hxxx://dataleakypypu7uwblm5kttv726l3iripago6p336xjnbstkjwrlnlid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Информация о пострадавших на сайте вымогателей:

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d1cd0d1ecf05b1c49c732e7070214676 

SHA-1: 966752f12e81ffa1322da91f861fb0ee0ee771e7 

SHA-256: 0622aed252556af50b834ae16392555e51d67b3a4c67a6836b98534a0d14d07d 

Vhash: 046066655d5d15541az28!z 

Imphash: f0ea7b7844bbc5bfa9bb32efdcea957c

---

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

MetaEncryptor Ransomware - с августа 2022

LostTrust Ransomware -  с сентября 2023

El Dorado Ransomware - с мая 2024
BlackLock Ransomware - с февраля 2025

BlackLock Ransomware для Linux - с марта 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 19 марта 2025: 

Сообщение >>

Версия для Linux.

Написан на языке GO. 

На файле написано: enc_linux_amd64.elf. 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 17a2f0bd0af19cecc108c5937e3054d0 

SHA-1: f439f4b1c1a7179bf5d2634d84342d413f360885 

SHA-256: 1da86aa04214111ec8b4a2f46e6450f41233da1110f0b32890d522285a2ae38b 

Vhash: 2ae4e8508310db9b5a868735969a533c

➤ Обнаружения:

DrWeb -> Linux.Encoder.568

BitDefender -> Trojan.Linux.GenericKD.43646

ESET-NOD32 -> Linux/Filecoder.EO

Microsoft -> Ransom:Linux/SAgnt!MTB

Rising -> Ransom.Agent/Linux!8.138F2 (CLOUD)

Tencent -> Linux.Trojan.Avi.Ymhl

TrendMicro -> Ransom.Linux.BLACKLOCK.THCOFBE

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up

 Thanks: 
 Shanholo, Gameel Ali, petik, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

NailaoLocker

NailaoLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью  алгоритма AES-256-CTR, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано, NailaoLocker дано исследователями. На файле написано: нет данных. Согласно данным исследователей из Orange, написан на C++, относительно прост и плохо спроектирован.

---
Обнаружения (файл не предоставлен):
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 

Symantec -> SONAR.RansomNailo!g1
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> NailaoLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в атаках на европейские организации здравоохранения в период с июня по октябрь 2024 года. Возможно и позже, т. к. вредоносная кампания нацелена на более широкую группу организаций по всему миру в различных секторах. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .locked

Записка с требованием выкупа называется: 
unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html

Содержание записки о выкупе:
см. на изображении. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Атаки использовали уязвимость Check Point Security Gateway CVE-2024-24919 для получения доступа к целевым сетям и развертывания вредоносных программ ShadowPad и PlugX — двух семейств, тесно связанных с китайскими государственными группами угроз.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Особенности NailaoLocker

➤ NailaoLocker не завершает процессы безопасности или запущенные службы, отсутствуют механизмы противодействия отладке и обхода "песочницы", а также не сканирует сетевые ресурсы.

Вредонос NailaoLocker внедряется в целевые системы посредством загрузки DLL (sensapi.dll) с использованием легитимного и подписанного исполняемого файла (usysdiag.exe). Загрузчик вредоносного ПО (NailaoLoader) проверяет среду, выполняя проверки адресов памяти, а затем расшифровывает основную полезную нагрузку (usysdiag.exe.dat) и загружает ее в память.

Затем злоумышленники провели сетевую разведку и горизонтальное перемещение в основном через RDP, пытаясь получить дополнительные привилегии. Было замечено, что злоумышленники вручную запускали легитимный двоичный файл logger.exe для загрузки вредоносной DLL logexts.dll. При запуске DLL копирует смежную зашифрованную полезную нагрузку (например, 0EEBB9B4.tmp) в раздел реестра Windows (при этом имя этого раздела связано с серийным номером тома системного диска).

Затем вредоносная нагрузка 0EEBB9B4.tmp удаляется злоумышленниками и в конечном итоге извлекается DLL из раздела реестра и внедряется в другой процесс. Наконец, создается служба или задача запуска для запуска logger.exe и поддержания устойчивости системы. 

После анализа исследователи смогли связать 0EEBB9B4.tmp с новой версией печально известного вредоносного ПО ShadowPad (при этом DLL выступает в качестве его загрузчика).

➤ NailaoLocker сначала проверяет, загружен ли sensapi.dll, затем удаляет его из памяти и с диска. Затем создает мьютекс Global\lockv7.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html - название файла с требованием выкупа;
usysdiag.exe - легитимный файл, подписанный Beijing Huorong Network Technology Co., Ltd;

sensapi.dll - встроенный загрузчик;

usysdiag.exe.dat - обфусцированный файл NailaoLocker Ransomware.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\lockv7

Сетевые подключения и связи:
Email: johncollinsy@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Orange Cyberdefense
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FXLocker

FXLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.6X BTC, чтобы вернуть файлы. Оригинальное название: FXLocker. На файле написано: sample.exe. Написан на языке программирования Python. 

---
Обнаружения:
DrWeb -> Python.Encoder.235
BitDefender -> Trojan.Agent.GOCH
ESET-NOD32 -> Python/Filecoder.ATJ
Kaspersky -> HEUR:Trojan-Ransom.Python.Agent.gen
Malwarebytes -> Agent.Spyware.Stealer.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***

Symantec -> Infostealer
Tencent -> Win32.Trojan-Ransom.Agent.Xmhl

TrendMicro -> TROJ_GEN.R002H09BJ25
---

© Генеалогия: родство выясняется >> FXLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

[NOTICE]

Your system has been encrypted by FXLocker.

Please follow the payment instructions to recover your files.

[INSTRUCTIONS]

1. Payment amount: 0.69135 BTC

2. Bitcoin Address: 1FxABAd2

3. Payment Deadline: 2025-02-10

Contact Support with your Reference ID to obtain the decryption keys.

[INFORMATION]

Reference ID: F5XCCBUPRKGJ0***

[WARNINGS]

- Do not rename encrypted files; this can prevent decryption.

- Failing to complete payment within the deadline may lead to permanent data loss.

- Failing to complete payment within the deadline may lead to permanent data loss.

[CONTACT SUPPORT]

haxcn@proton.me, wikicn@proton.me

[NOTICE]

You have until 2025-02-10 to complete the payment. Failure to comply will result in the permanent loss of your files.

***

Перевод записки на русский язык:

[УВЕДОМЛЕНИЕ]

Ваша система зашифрована FXLocker.

Следуйте инструкциям по оплате, чтобы восстановить файлы.

[ИНСТРУКЦИИ]

1. Сумма платежа: 0.69135 BTC

2. Адрес Bitcoin: 1FxABAd2

3. Крайний срок оплаты: 2025-02-10

Свяжитесь со службой поддержки, указав свой Reference ID, чтобы получить ключи расшифровки.

[ИНФОРМАЦИЯ]

Идентификатор ссылки: F5XCCBUPRKGJ0***

[ПРЕДУПРЕЖДЕНИЯ]

- Не переименовывайте зашифрованные файлы; это может помешать расшифровке.

- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.

- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.

[СВЯЖИТЕСЬ СО СЛУЖБОЙ ПОДДЕРЖКИ]

haxcn@proton.me, wikicn@proton.me

[УВЕДОМЛЕНИЕ]

У вас есть время до 2025-02-10, чтобы завершить платеж. Несоблюдение приведет к безвозвратной потере ваших файлов.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
sample.exe - название вредоносного файла или случайное. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: haxcn@proton.me, wikich@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG 

MD5: d8889f10a8a0dda44817a2bfbd0ca237 

SHA-1: 8b7672496f45432a48b8d307e08855ca9e40da7b 

SHA-256: 1c716742fa1712562e2d6275a68a8d2e73bd910bff417072259bb164f2628863 

Vhash: 027066655d1555755048z6bnzefz 

Imphash: a06f302f71edd380da3d5bf4a6d94ebd

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Moscovium

Moscovium Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 + RSA-2048, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Moscovium Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41617
BitDefender -> Trojan.GenericKD.75733035
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BII
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.LockFile!8.12D75 (CLOUD)
Tencent -> Msil.Trojan-Ransom.Encoder.Zchl
TrendMicro -> TROJ_GEN.R023H09B725
---

© Генеалогия: BlackHeart NextGen: BlackDream, BlackLegion и другие  >> Moscovium

Сайт "ID Ransomware" Moscovium пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .m0sC0v1um

Записка с требованием выкупа называется: !!!_DECRYPT_INSTRUCTIONS_!!!.txt

Содержание записки о выкупе:

== YOUR FILES ARE ENCRYPTED ==

Send 0.1 BTC to: bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g

Email proof to: m0sc0vlum@tutanota.com

== DO NOT ATTEMPT DECRYPTION YOURSELF ==|

Дополнительно к каждому зашифрованному файлу создается текстовый файл, к имени которого добавляется окончание _KEY.txt

Содержание этого файла: 

MOSCOVIUM RANSOMWARE

Send 0.1 BTC to bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g to recover files

Key: UBhyqXCuU0hLEy8LCrbUsoBEbF9d9cpxtEL7vCIq+eE=

IV: 0J4hJwyAylQyPeZXC6b7Tg==

Рабочий стол блокируется, поверх всего встает экран с надписью: 

YOUR FILES HAVE BEEN ENCRYPTED BY MOSCOVIUM RANSOMWARE

CHECK DESKTOP FOR RECOVERY INSTRUCTIONS

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!_DECRYPT_INSTRUCTIONS_!!!.txt - название файла с требованием выкупа;

31ff48d218e462b4c1f3de03.exe - случайное название вредоносного файла; 
main.exe, hxtya.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\vrijbel\hxtya.exe

C:\Users\User\AppData\Local\Temp\31ff48d218e462b4c1f3de03.exe

Информация из кода программы-вымогателя: 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0sc0v1um@tutanota.com
BTC: bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9c30c4744d7d505f5f9a24b6b4c9bebb 

SHA-1: a71f4144b6f0a5edffc933e6dd08782cd60e0dc3 

SHA-256: 31ff48d218e462b4c1f3de03778c60b99bd1ef0d03a974070abb056138a1754b 

Vhash: 2630365515171z5a0010 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.