Проект  заморожен! 

Многие сайты анализа вредоносных программ у меня не открываются или я не могу войти. Работал только VirusTotal и Google. В разных случаях действует внешняя или внутренняя блокировка. Иностранные сайты/компании не хотят работать с Россией. Роскомнадзор не дает открываться зарубежным сайтам. 
Более того! Роскомнадзор теперь блокирует VirusTotal и Google, и изображения в Blogspot, и я не могу работать с этим сайтом в полном объеме. 
Это абсурд, идиотство! Политическое безумие! 
Вместо того, чтобы решить проблему непонимания, обе стороны делают вид, что работают, тратя государственные деньги на подготовку к переговорам, которые не решают проблему.

***

Project freeze! 

Many malware analysis sites won't open for me, or I can't log in. Only VirusTotal works. 
In different cases, external or internal blocking is in effect. 
Foreign sites/companies don't want to work with Russia. 
Roskomnadzor does not allow foreign websites to open.
What's more, Roskomnadzor now blocks VirusTotal and Google, and images in Blogspot, and I can't work with this site to its full extent.
This is absurd, idiocy! Political insanity! 
Instead of resolving the problem of misunderstanding, both sides pretend to work, spending public money to prepare for negotiations that do not solve the problem.

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Reynolds

Reynolds Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Используется техника BYOVD (Bring Your Own Verificant Driver) для обхода средств защиты.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44391
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win64/Filecoder.Slug.A Trojan
Kaspersky -> Trojan-Ransom.Win32.Gen.cfmt
Microsoft -> Trojan:Win32/Etset!rfn
Rising -> Ransom.LockFile!8.12D75 (LESS:bWQ1OvC9sq3WKwGWpQ4l5F43DMU)
Tencent -> Win32.Trojan-Ransom.Gen.Ckjl
TrendMicro -> Ransom.Win64.REYNOLDS.THBAABF
---

© Генеалогия: родство выясняется >> Reynolds 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .locked

Записка с требованием выкупа называется: ___RestoreYourFiles___.txt

Содержание записки о выкупе:

All your important files have been encrypted!

Contact us for price and get decryption software.

You have 3 days to contact us for negotiation.

If you do not contact us within three days, we will attack you again and leak your files.

1) Contact our qtox.

session download address: https://qtox.github.io

Our poison ID:

6F7831EBB5EEB933275BD6F4B4AA888918E9B7E40454A477CADDE7EE02461153D3B77AE50798

* Note that this server is available via Tor browser only

Follow the instructions to open the link:

1. Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

3. Now you have Tor browser. In the Tor Browser open :

http://bs2tlg32pfj***xumisfeory32qd.onion

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
___RestoreYourFiles___.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f0bdb2add62b0196a50e25e45e370cc5 

SHA-1: 6dae1c4879d951af60f26c56b8701a2c1a8cd550 

SHA-256: 6bd8a0291b268d32422139387864f15924e1db05dbef8cc75a6677f8263fa11d 

Vhash: 01503e0f7d1019z4!z 

Imphash: e0e1f2570066873a57b410327671b6da

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sicari

Sicari Ransomware

Aliases: Sicarii, Sicarius

Sicari Ransomware Group

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Распространитель: Sicari Ransomware Group
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.Ransom.PKV
ESET-NOD32 -> Win64/Filecoder.AEV Trojan
Kaspersky -> HEUR:Exploit.Win32.BypassUAC.b
Malwarebytes -> Ransom.Sicarius
Microsoft -> Ransom:Win32/Avaddon.P!MSR
Rising -> Ransom.Agent!1.129F5 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.14a642b3
TrendMicro -> Ransom.Win64.SICARI.SMPI
---

© Генеалогия: родство выясняется >> Sicari

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце декабря 2025 г. Ориентирован на англоязычных пользователей, может распространяться в отдельно взятой стране или даже по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: README_SICARII_LOCKED.txt

Содержание записки о выкупе:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_SICARII_LOCKED.txt - название файла с требованием выкупа;

sicarii_wallpaper.bmp - изображение, заменяющее обои Рабочего стола;
Project3.exe, file.exe - названия вредоносных файлов.  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\sicarii_wallpaper.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

sicariifoucvhyqg54smi3esg5sfcyw5z65t6yigqu4loyuoz62bb2id.onion

sicarilxx2br6esqnhad4w26bcgb5j2snbbnhyo4b6t7kby2oy4x3jad.onion

sicari7m63wlggfxajiuonfsk72fgencne5ztzakyuhfxzq5rnbkjead.onion

sicariktdbhjtrk6f2pwdh6wlequw7pcjva25skkzz4m3zz3opyox3qd.onion

sicari7zpu3mtxqggde7mu3ywppntdqg22arcukvlaihjbfcb2rnktid.onion

sicarinb4ktqcdpubjifzw3vixvzgtwacjmc5ks56kev52gxitegigad.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b8874058df485767451961e86cf52dce 

SHA-1: 04e18e6a11801456fffade6df99689c54d97d0a6 

SHA-256: 4104542714022cb6ef34e9ee5affca07b9a38dbee49748f8630c5f50a26db8b2 

Vhash: 0260a6551d15551d151d0193z22z8ehz33z31z91zb7z 

Imphash: b78e76e49402748ad77cc672c513626c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 PaduckLee, Bitshadow
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackShrantac

BlackShrantac Ransomware

BlackShrantac Hacking Team

(группа хакеров-вымогатель) (первоисточник на русском)
Translation into English

Эта группа хакеров-вымогателей не шифрует данные бизнес-пользователей, но после кражи данных требует выкуп, чтобы файлы не попали в общий доступ. Оригинальное название: BlackShrantac. 
---
Обнаружения (не образов):
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> BlackShrantac

Сайт "ID Ransomware" идентифицирует BlackShrantac с 15 ноября 2025 г. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была в сентябре-октябре и продолжилась в ноябре 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Судя по сайту вымогателей, среди пострадавших были компании в США, Мексике, Индии, Турции, Египте, ОАЕ, Болгарии, Сенегале, Малайзии и др. странах. 

Эта группа хакеров-вымогателей сосредоточена исключительно на краже больших объемов данных в целях вымогательства, не используя традиционные методы шифрования файлов. 

Фирменная тактика группы — сбор и размещение больших объёмов данных с последующей масштабной эксфильтрацией. Таким образом, основным признаком взлома является не вредоносный двоичный файл, а обнаружение аномальных исходящих передач больших объёмов данных.

Для выполнения атак группа использует интерпретаторы командной строки, такие как PowerShell, командная оболочка Windows и Bash (T1059.001, T1059.003, T1059.004). Атаки BlackShrantac включают фишинг с вредоносными вложениями (MITRE T1566.001) и компрометацию цепочки поставок (T1195.002) для первоначального доступа. Устойчивости добиваются с помощью таких методов, как создание запланированных задач или изменение ключей запуска реестра и папок автозагрузки (T1547.001, T1053.005). 

Оперативные возможности хакерской группы продемонстрированы в атаках на Klingenberg Industries в Индии, где было украдено 2 ТБ данных, и на Altas Food and Drinks в Турции, где было украдено 600 ГБ. Эти атаки демонстрируют ориентацию на цели с большим объемом данных, независимо от отрасли или местоположения. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Tox: EFE1A6E5C8AF91FB1EA3A170823F5E69A85F866CF33A4370EC467474916941042E29C2EA4930

Tor-URL: hxxx://b2ykcy2gcug4gnccm6hnrb5xapnresmyjjqgvhafaypppwgo4feixwyd.onion 

hxxx://jvkpexgkuaw5toiph7fbgucycvnafaqmfvakymfh5pdxepvahw3xryqd.onion 

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Сделайте Добро!

TRANSLATION INTO ENGLISH

TRANSLATION INTO FRENCH

TRANSLATION INTO SPANISH

Спасибо, что зашли к нам сегодня!

Станьте Добрым Волшебником, помогите детям! 

С 2016 года мы помогаем людям делать добрые дела вместе с проверенными фондами. Вы можете выбрать кому помочь сейчас. 

Просто знайте, что завтра проснётся ребёнок, которому вы помогли сегодня! Каждый пожертвованный рубль действительно решает судьбы детей. Поэтому, пожалуйста, не думайте, что ваши 50, 100, 500 рублей (долларов или евро) не спасут жизнь. 

Сделать Доброе Дело можно здесь и сейчас

Нажмите на ссылку и на открывшемся сайте выберите кому Вы хотите помочь. Любая денежная сумма пойдет на доброе дело, поможет людям или животным. Если люди еще могут как-то помочь друг другу, то животные, наши милые меньшие братья-сестры, сами себе не помогут. Наши предки говорили: «Вернее собаки зверя нет! Милее кошки зверя нет!»... И были тысячи раз правы.

Махатма Ганди говорил: «Величие и моральный прогресс нации можно измерить тем, как эта нация относится к животным». Ученые, мыслители, врачи разных эпох отмечали прямую взаимосвязь бесправия животных с бесправием людей: тому, кто спокойно убивает животное, не составит труда убить и человека. 

Всякий раз, когда Вы получаете зарплату или деньги за сделанную работу, пожертвуйте хоть 100 рублей (долларов или евро) на Доброе дело! И Добро вернётся к Вам сторицей! 

© Amigo-A (Andrew Ivanov) и Добро Mail.ru (Россия) 

Monkey

Monkey Ransomware

Variant: Benzona 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Monkey ransomware. Написан на языке программирования Rust. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.43529
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.Monkey.A
Kaspersky -> Trojan.Win32.DelShad.osy
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/MonkeyCrypt.PB!MTB
Rising -> Ransom.LockFile!8.12D75 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c3ff97
TrendMicro -> Ransom.Win64.MONKEYRAN.THJBABE
---

© Генеалогия: родство выясняется >> Monkey

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине октября 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .monkey


Записка с требованием выкупа называется: How_to_recover_your_files.txt

Вымогатель меняет изображение Рабочего стола на свое изображение:

Содержание записки о выкупе:

Hello,

If you're reading this, your company's network is encrypted and most backups are destroyed. We have also exfiltrated a significant amount of your internal data.

ATTENTION! Strictly prohibited:

- Deleting or renaming encrypted files;

- Attempting recovery with third-party tools;

- Modifying file extensions.

Any such actions may make recovery impossible.

What you need to know:

1. Contact us at monkeyransomware@onionmail.org within 24 hours.

2. Payment after 24 hours will be increased.

3. We offer you a test decryption and proof of data exfiltration.

4. If no agreement is reached, your data will be sold and published.

We're open to communication, but there will be no negotiations after deadline.

Your only chance to get your data back and avoid data leak is to follow our instructions exactly.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

How_to_recover_your_files.txt - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: monkeyransomware@onionmail.org
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e28c75f68f337b23c2306efe83756b50 

SHA-1: d3e54c4edd8cf6c06f73343efa9de5688e4386a7 

SHA-256: 57aebadf554e03a405a30d8ddad8caa8cfe9fa86eb32f672066dcf63691481ca 

Vhash: 0660a66d1555655c051d0072z1e3z91a1z19za5z14z1f7z 

Imphash: 1b8ccf92a5f1c9b8f0b778c468e762a1

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Вариант от 25 ноября 2025: 

Сообщение >>

Доп. название: Benzona Ransomware
Расширение: .benzona

Записка: RECOVERY_INFO.txt

Tor-URL:

benzona6x5ggng3hx52h4mak5sgx5vukrdlrrd3of54g2uppqog2joyd.onion

rwsu75mtgj5oiz3alkfpnxnopcbiqed6wllyoffpuruuu6my6imjzuqd.onion

IOC: VT, TG

MD5: f251f5dc0ecb97b97eafb5797f254fb1 

SHA-1: 5e9fc9ac583013335273620d1fb68c57768d060c 

SHA-256: 1c895eeb1d6ab9e5268759558c765b93f4c183557cb2c457857b91532ac61982 

Vhash: 0760a66d1565655c051d0082z1e3z91c1z19za5z15z57z 

Imphash: a45c5f8908259f26d8daea703d190a29

➤ Обнаружения:

DrWeb -> Trojan.Encoder.44078

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> Win64/Filecoder.Monkey.A Trojan

Kaspersky -> Trojan.Win32.DelShad.paa

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win32/Avaddon.P!MSR

Rising -> Ransom.Monkey!8.1D586 (TFE:5:g7OFv7HEbOB)

Tencent -> Malware.Win32.Gencirc.11e2cfa1

TrendMicro -> Ransom.Win64.ZENOBAN.THKBGBE

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Lamia

Lamia Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп 500€ in XMR (Monero), чтобы получить ключ дешифрования и расшифровать файлы файлы. Оригинальное название: Lamia, Lamia Locker. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.43456
BitDefender -> Trojan.GenericKD.77278239
ESET-NOD32 -> Win64/Filecoder.ACJ
Kaspersky -> Trojan-Ransom.Win32.Gen.btjj
Malwarebytes -> Ransom.LamiaLocker
Microsoft -> Trojan:Win32/Znyonm!rfn
Rising -> Ransom.Lamia!1.1335F (CLASSIC)
Tencent -> Malware.Win32.Gencirc.149df57c
TrendMicro -> TROJ_GEN.R002C0DIH25
---

© Генеалогия: родство выясняется >> Lamia 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .enc.LamiaLoader

Записка с требованием выкупа называется: LamiaLoader.txt

Содержание записки о выкупе:

Hello, looks like you got a little snake problem.

Pay us 500€ in XMR Monero and the snakes go away, for ever.

Dont pay and ail files, every single byte becomes unusable, the entire system will be permanently

corrupted and ail data will be sold on our auction platform.

Be nice and pay us, dont talk to anyone and keep quiet, we will handle the rest :)

Our XMR Wallet:

48pgNAez4CLUB4y4iAqbv-/742BP7Tuv8EM2xdBGsBxDDoQdk5bzVcA7NQrk5w4i3pUETrr5gr7xZ5f 5EqoSDj98BYBhPkvU6

You have 72 hours to pay, after we will permanently delete the decryption key.

To get your decryption key you need to contact us via Session:

05a91f81ed92ad37cde73401230a5460d4b3c778277f7d33f27804b8f251e27b3a

You can download Session at: https://getsession.org/

Please follow the instructions on the page to install and setup Session

Include your HWID and proof of payment.

To get your HWID you can use our HWID extractor: hxxxs://workupload.com/file/4zC8SLR9qbp

To get our file decryptor you can foliow this link: hxxxs://workupload.com/file/SwhwRL3KcE6

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LamiaLoader.txt - название файла с требованием выкупа;
LamiaLoader.exe - название вредоносного файла;

Lamia_Decryptor.exe - оригинальный дешифровщик на сайте VirusTotal >>

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -

XMR:

48pgNAez4CLUB4y4iAqbv-/742BP7Tuv8EM2xdBGsBxDDoQdk5bzVcA7NQrk5w4i3pUETrr5gr7xZ5f 5EqoSDj98BYBhPkvU6

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 58fd2126651233bf5e64415bc9f9fcfa 

SHA-1: 0d74507ea74a35f21ea65f749bac5ea19ffbd931 

SHA-256: c987932f28c239a591214c0b5504890af61b146dd43ce9bcdaba1789c6223b0c 

Vhash: 0760a66d1555655c051d0042z1e3z91d1z11z4053zacz1f7z 

Imphash: b778099200a9dab63c574e2768bb919a

---

IOC: VT, HA, IA, TG, AR, VMR, JSB (Loader)

MD5: 8d989ed59450840bf69d360795383cb5 

SHA-1: ea9aaf6e385f77af6e43c1badc946d37035e136c 

SHA-256: 431194da56ac840593ffc09ed03fcca3c328100b0e0ba43b19674f0a416874e9 

Vhash: 0460a66d1555655c051d0042z1e3z91d1z11z4053za5z14z1f7z 

Imphash: a0f2ef2c3a5602b1fffcb33fdd130118

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.