Killada

Killada Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha20-GNACH, а затем требует выкуп в 0.1111 BTC, чтобы вернуть файлы. Оригинальное название: Killada Ransomware. На файле написано: killada.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44675
BitDefender -> Trojan.GenericKD.79799674
ESET-NOD32 -> Win64/Filecoder.ALU Trojan
Kaspersky -> Trojan-Ransom.Win32.Encoder.agut
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Stealer.Greedy!8.133BA (CLOUD)
Tencent -> Win32.Trojan-Ransom.Encoder.Nqil
TrendMicro -> TROJ_FRS.VSNTCV26
---

© Генеалогия: родство выясняется >> Killada 

Сайт "ID Ransomware" Killada пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце марта 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: KILLADA_README.txt

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KILLADA_README.txt - название файла с требованием выкупа;
killada.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: killadaayyuzdshwskrnsvh5owzuwa4yj7gs2vbhkcjpfslrplfgwwqd[.]onion

killadaxczzw3wnuaxkygib67lk2qkgnki4gyjqoo76vh53egitoyaqd[.]onion

killadax36r6bbb3md67ekcfv5yasdlnoaklyag66ot4tefa32ywgnyd[.]onion

killadahaynpqrkppe2m2tgindbruaeiefzr7pm3cp47tzohhhnogwad[.]onion

killada7qgdpvzpezjxaa64b47bz47hzbn6oql5aa4lppzzwymnukqqd[.]onion

killada5556ahpb4cwmatv5qpzku2qmdlwawshtykpq37cvfva7zjhid[.]onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f444568cedf788ef157356fea05bcc49

SHA-1: d449bd9a79062729e9a60064ed32ca8669d4a525

SHA-256: 75c4d15bddcd401088d1a9f0a3364382482ea0689427526a5d0919b375a9779c

Vhash: 055066655d155d055095zb00793z5hz6fz

Imphash: 53b37c3b9f37d7f06071a7dd9d5e5333

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Vect, Vect 2.0

Vect Ransomware

Vect 2.0 Ransomware

(шифровальщик-вымогатель, RaaS) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма ChaCha20, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Vect Ransomware. Написан на C++. Реализованы версии для Windows, Linux и ESXi. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.44641
BitDefender -> Trojan.GenericKD.79790997
ESET-NOD32 -> Win64/Filecoder.AJK Trojan
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Crypt.Trojan.MSIL.DDS
Microsoft -> Ransom:Win32/Avaddon.P!MSR
Rising -> Malware.Undefined!8.C (TFE:5:srMXcmKa5V)
Tencent -> Malware.Win32.Gencirc.10c44f90
TrendMicro -> Ransom.Win64.TRANCEV.THDBHBF
---

© Генеалогия: родство выясняется >> Vect, Vect 2.0

Сайт "ID Ransomware" идентифицирует Vect с 28 апреля 2026.

Информация для идентификации

Активность этого крипто-вымогателя началась в конце 2025 — начале 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Сектор атакованных компаний: финансы, образование, логистика, здравоохранение, производство и др. Страны атакованных компаний: ЮАР, Индия, Бразилия, США, Намибия, Эквадор и др. 

К зашифрованным файлам добавляется расширение: .vect

Записка с требованием выкупа называется: !!!_READ_ME_!!!.txt

Содержание записки о выкупе:

!!! README !!!

Dear Management, all of your files have been encrypted with ChaCha20 which is an unbreakable encryption algorithm.

Sadly, this is not the only bad news for you. We have also exfiltrated your sensitive data, consisting mostly of databases, backups and other personal information

from your company and will be published on our website if you do not cooperate with us.

The only way to recover your files is to get the decryption tool from us.

To obtain the decryption tool, you need to:

1. Open Tor Browser and visit: -

2. Follow the instructions on the chat page

3. Receive a sample decryption of up to 4 small files

4. We will provide payment instructions

5. After payment, you will receive decryption tool

WARNING:

- Do not modify encrypted files

- Do not use third party software to restore files

- Do not reinstall system

If you violate these rules, your files will be permanently damaged.

Files encrypted: -

Total size: 121417406 bytes

Unique ID: ***

Backup contact (Qtox): 1A51DCBB33***

Записка вымогателей также написана на изображении, заменяющем обои Рабочего стола: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Vect Ransomware как RaaS впервые появился на русскоязычном кибер-форуме в декабре 2025 года. В начале 2026 года группа вымогателей сообщила о первых двух жертвах и привлекла к себе внимание заявлением на BreachForums о партнерстве с TeamPCP, стоящей за несколькими атаками в марте 2026 года. Операторы Vect ищут "партнеров" через BreachForums, раздают ключи доступа в личных сообщениях. Согласно отчету Data Security Council of India (DSCI), с новичков они берут $250 в Monero, но с кандидатов из стран СНГ плату не взимают.

➤ Исключения: 

Vect завершает работу без шифрования файлов, если обнаруживает, что работает в любой из стран СНГ и даже Украине, что редко встречается в атаках после 2022 года. В Check Point считают, что это может указывать на старую кодовую базу или на генерацию части кода с помощью ИИ, обученного на устаревших данных.

➤ Особенности версий: 

Версия для Windows шифрует локальные, съемные и сетевые диски, проверяет наличие 44 ИБ-инструментов и отладчиков, закрепляется в системе через Safe Mode и содержит шаблоны скриптов для латерального перемещения. ESXi-вариант перед шифрованием запускает геофенсинг и антиотладочные проверки, а также пытается распространяться через  SSH. Linux-версия, в свою очередь, использует ту же кодовую базу, что и ESXi, однако обладает урезанным набором функций.

➤ Критическая ошибка: 

Check Point сообщают, что в версии Vect 2.0 для Windows, Linux и ESXi содержится критический баг. Вредонос разбивает каждый крупный файл (> 128 Кб, т.е. 131 072 байта) на четыре части и шифрует их независимо, генерируя для каждого блока свой "nonce" (размером в 12-байт), записывая все значения в один и тот же буфер памяти, в результате чего каждый новый "nonce" перезаписывает предыдущий, а первые три теряются: не сохраняются в файле и не отправляются операторам. Таким образом Vect 2.0 не только шифрует, но уничтожает примерно 75% содержимого файла. Уплата выкупа бесполезна, дешифратор не поможет, данные безнадёжно повреждены.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!_READ_ME_!!!.txt - название файла с требованием выкупа;
dp6fd66.exe -  название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: aa72609186042f1d7d01ce070306a9f2

SHA-1: e27f4feffc1ba6bf4e35aec4a5270fccb636e5cf

SHA-256: e512d22d2bd989f35ebaccb63615434870dc0642b0f60e6d4bda0bb89adee27a

Vhash: 0160a76d1565555c0d1d10c5zc00715d037z19z55z37z

Imphash: d810a3536bf9eca80e4f8d1d08537d0b

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 CheckPoint, TheHackerNews, BleepingComputer, Xakep.ru
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Exitium

Exitium Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Exitium Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44626 / same
BitDefender -> Gen:Heur.Bodegun.23 / same
ESET-NOD32 -> Win64/Agent_AGen.EMB Trojan / same
Kaspersky -> Trojan-Ransom.Win32.Encoder.agqi / same
Malwarebytes -> Ransom.FileCryptor / same
Microsoft -> Trojan:Win32/Qwexlafiba!rfn / Ransom:Win32/Genasom
Rising -> Malware.Undefined!8.C (TFE:5:eGHwWIbSYQU) / Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Malware.Win32.Gencirc.14abd114 / Malware.Win32.Gencirc.14abf139
TrendMicro -> Ransom.Win64.EXITIUM.THCBEBF / same
---

© Генеалогия: родство выясняется >> Exitium

Сайт "ID Ransomware" Exitium пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце марта 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .exitium


Записка с требованием выкупа называется: YOU ARE UNDER ATTACK!.html

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
YOU ARE UNDER ATTACK!.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, TG 

MD5: 21e3ee033f416297165ed67f68382e3f

SHA-1: 4d65238e1b1013a769824320b3b7d26905590fc8

SHA-256: c369df262b5c786b950a0e412cd93a9da9a22e0048dcc8ff88197a3f3d2266e5

Vhash: 085066655d155555519z891z23z6055z13z25za7z

Imphash: 3fd8e3eb9785b233860b41f061374cc6

---

IOC: VT, TG 

MD5: 6a0a21bf4f3140148bdf905a20446820

SHA-1: 4ab3a3f85198cb8a18b0c5923abed054c2a85b1a

SHA-256: 522c9f8d614818b2c0489763144648fcfdf7202f1e9c413f59683fa23373b7ea

Vhash: 085066655d155555519z891z23z6055z13z25za7z

Imphash: 3fd8e3eb9785b233860b41f061374cc6

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Reynolds

Reynolds Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Используется техника BYOVD (Bring Your Own Verificant Driver) для обхода средств защиты.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44391
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win64/Filecoder.Slug.A Trojan
Kaspersky -> Trojan-Ransom.Win32.Gen.cfmt
Microsoft -> Trojan:Win32/Etset!rfn
Rising -> Ransom.LockFile!8.12D75 (LESS:bWQ1OvC9sq3WKwGWpQ4l5F43DMU)
Tencent -> Win32.Trojan-Ransom.Gen.Ckjl
TrendMicro -> Ransom.Win64.REYNOLDS.THBAABF
---

© Генеалогия: родство выясняется >> Reynolds 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .locked

Записка с требованием выкупа называется: ___RestoreYourFiles___.txt

Содержание записки о выкупе:

All your important files have been encrypted!

Contact us for price and get decryption software.

You have 3 days to contact us for negotiation.

If you do not contact us within three days, we will attack you again and leak your files.

1) Contact our qtox.

session download address: https://qtox.github.io

Our poison ID:

6F7831EBB5EEB933275BD6F4B4AA888918E9B7E40454A477CADDE7EE02461153D3B77AE50798

* Note that this server is available via Tor browser only

Follow the instructions to open the link:

1. Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

3. Now you have Tor browser. In the Tor Browser open :

http://bs2tlg32pfj***xumisfeory32qd.onion

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
___RestoreYourFiles___.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f0bdb2add62b0196a50e25e45e370cc5 

SHA-1: 6dae1c4879d951af60f26c56b8701a2c1a8cd550 

SHA-256: 6bd8a0291b268d32422139387864f15924e1db05dbef8cc75a6677f8263fa11d 

Vhash: 01503e0f7d1019z4!z 

Imphash: e0e1f2570066873a57b410327671b6da

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

0APT Locker

0APT Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 + RSA-2048, а затем требует выкуп за расшифровку файлов. Оригинальное название: 0APT Locker. Написан на языке программирования Rust. Распространители: 0apt Team.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44401
BitDefender -> Trojan.GenericKD.79066683
ESET-NOD32 -> Win64/Filecoder.AIZ Trojan
Kaspersky -> Trojan-Ransom.Win32.Crypmod.ayit
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/0APTLOCKER.DA!MTB
Rising -> Ransom.Agent!8.6B7 (TFE:5:9JIyv4rlqBH)
Tencent -> Malware.Win32.Gencirc.10c445be
TrendMicro -> Trojan.Win64.APTLOCKER.USBLBC26
---

© Генеалогия: родство выясняется >> 0APT Locker 

Сайт "ID Ransomware" 0APT Locker пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .0apt

Записка с требованием выкупа называется: README0apt.txt

Содержание записки о выкупе:

::: 0APT LOCKER :::

!!! ALL YOUR FILES ARE ENCRYPTED !!!

Hello,

If you are reading this message, it means your company's network has been breached 

and all your data has been encrypted by "0apt" group.

WHAT HAPPENED?

We have exploited vulnerabilities in your network infrastructure. All your servers, 

databases, and backups have been locked with military-grade encryption algorithms 

(AES-256 & RSA-2048). You cannot recover your files without our private key.

DATA LEAK WARNING:

Before encryption, we downloaded your confidential data . If you refuse to pay or do not contact us, this 

data will be published on our Tor blog for your competitors and regulators to see.

HOW TO GET YOUR FILES BACK?

We are not interested in destroying your business, we only want payment.

You must purchase a unique decryption tool from us.

>>> LEGAL & REPUTATION NOTICE (IMPORTANT):

We have analyzed your files If you do not pay:

1. We will send copies of this incriminating data directly to your GOVERNMENT 

   agencies and regulators to trigger an investigation against you.

2. We will email your clients, business partners, and everyone in your CONTACT 

   LIST to inform them that you lost their data.

INSTRUCTIONS:

1. Download and install Tor Browser: https://www.torproject.org/

2. Open Tor Browser and navigate to our chat portal:  hxxx://oaptxiyisljt2kv3we2we34kuudmqda7f2geffoylzpeo7ourhtz4dad.onion/login.php

3. Enter your Personal ID to start the negotiation

(If the website is down or inaccessible, please try again after some time.)

Your Personal ID:

5B1B-C7AA-26E4-0APT-KEY

DEADLINE:

You have 24 hours to contact us. After this, the price will double.

If we do not hear from you within 48 hours, your data will be leaked permanently.

ATTENTION:

- Do not rename encrypted files.

- Do not try to decrypt using third-party software (you may lose data forever).

- Do not call the police or FBI (we will leak data immediately).

-- 0apt Team --

Записка с кратким требованием выкупа написана на изображении,  заменяющем обои Рабочего стола: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README0apt.txt - название файла с требованием выкупа;

embedded_wallpaper.png - изображение с текстом,заменяющее обои Рабочего стола; 
o2cbn7APq8.exe, f1dne0f.exe - названия вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%TEMP%\embedded_wallpaper.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: oaptxiyisljt2kv3we2we34kuudmqda7f2geffoylzpeo7ourhtz4dad.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, TG, AR

MD5: 510a87871053e239479f28101f013d0f

SHA-1: d2ad884a1bd04a448a4abcd7d57a528e7f368ef2

SHA-256: d5c62661b484b43c704275ea1d3d70bfbebe5b0c80334e5c942e7113423f6678

Vhash: 0560966d1555655c051d00c8z7f1e060b1z607021z3013z14z1a7z

Imphash: 16c38af2e826b7a2128a820a3bb2be3d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow, JAMESWT, JustARandomGuy62, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.