VanGoth

VanGoth Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп £50 в BTC, чтобы вернуть файлы. Оригинальное название: VanGoth. На файле написано: VanGoth.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34421
ALYac -> 
Avira (no cloud) -> 
BitDefender -> 
ESET-NOD32 -> A Variant Of MSIL/Filecoder.GZ
Kaspersky -> UDS:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> 
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: HiddenTear >> VanGoth

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .VanGoth


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в середине октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:

Files have been encrypted by VanGoth

Please send  Some etherum worth £50 to ether address:0x1AF8944214143085AD09b459303f3EB29953d7eB

email jaber1699@protonmail.com for deC3ypter Program to deCypt Files Allso eate ***. *** Back the KKK and slavery.

Перевод записки на русский язык:

Файлы были зашифрованы VanGoth

Отправьте немного эфира на 50 фунтов стерлингов на адрес: 0x1AF8944214143085AD09b459303f3EB29953d7eB

напишите по электронной почте jaber1699@protonmail.com для программы deC3ypter по распаковке файлов. ***. *** возврат KKK и рабство.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt - название файла с требованием выкупа;
VanGoth.exe - название вредоносного файла;

gmreadme.txt - название файла, созданного файлом VanGoth.exe.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\VanGoth.exe

C:\Windows\SysWOW64\drivers\gmreadme.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jaber1699@protonmail.com
Ethereum: 0x1AF8944214143085AD09b459303f3EB29953d7eB

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BabyDuck

BabyDuck Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.055 BTC, чтобы вернуть файлы. Оригинальное название: BabyDuck. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
ALYac -> 
Avira (no cloud) -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> BabyDuck

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .babyduck


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README.babyduck

Содержание записки о выкупе:

 ____        _             _____              _

 |  _ \      | |           |  __ \           | |

 | |_) | __ _| |__  _   _  | |  | |_   _  ___| | __

 |  _ < / _` | '_ \| | | | | |  | | | | |/ __| |/ /       o<

 | |_) | (_| | |_) | |_| |_| |__| | |_| | (__|   <     >{=}

 |____/ \__,_|_.__/ \__, (_)_____/ \__,_|\___|_|\_\

                     __/ |                             _

                    |___/ |                           | |

   __ _ _   _  __ _  ___| | __   __ _ _   _  __ _  ___| | __

  / _` | | | |/ _` |/ __| |/ /  / _` | | | |/ _` |/ __| |/ /

 | (_| | |_| | (_| | (__|   <  | (_| | |_| | (_| | (__|   <

  \__, |\__,_|\__,_|\___|_|\_\  \__, |\__,_|\__,_|\___|_|\_\

     | |                           | |

     |_|                           |_|

Ducky has got your files encrypted!

This happened because you were not paying attention to your security.

Ducky will give you your files back if you pay him a bit of crypto.

Use TOR browser (https://www.torproject.org/download/) and follow this link

babydovegkmhbontykziyq7qivwzy33mu4ukqefe4mqpiiwd3wibnjqd.onion

Don't worry, if you behave and pay - you'll get your files back;)

YOUR KEY IS

[redacted 64 lowercase hex]:[redacted 32 lowercase hex]

Перевод записки на русский язык:

Даки зашифровал ваши файлы!

Это произошло из-за того, что вы не обращали внимания на свою безопасность.

Даки вернет вам ваши файлы, если вы заплатите ему немного криптовалюты.

Воспользуйтесь браузером TOR (https://www.torproject.org/download/) и перейдите по этой ссылке.

babydovegkmhbontykziyq7qivwzy33mu4ukqefe4mqpiiwd3wibnjqd.onion

Не волнуйтесь, если будете хорошо себя вести и заплатите - вы получите свои файлы обратно;)

ВАШ КЛЮЧ

***

Скриншоты с сайта вымогателей:

Технические детали

Неизвестно как это распространяется. Вполне может начать распространяться одним из известных способов, например, путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.babyduck - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: babydovegkmhbontykziyq7qivwzy33mu4ukqefe4mqpiiwd3wibnjqd.onion

Tox chat: 884DB530A*** 
BTC: 1Jhy2u81RbUQnu23wykuLvK3KhYCmmdAWA

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as BabyDuck)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, PolarToffee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SayLess

SayLess Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: SayLess Ransomware, SayLess-Ransomware. На файле написано: SayLessRnm Window.exe и SayLessRnm Window. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.34411
BitDefender -> Trojan.GenericKD.37749517
ESET-NOD32 -> A Variant Of MSIL/Agent.CCK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> ML.Attribute.HighConfidence
---

© Генеалогия: ??? >> SayLess 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .saylessrsnm


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Образец этого крипто-вымогателя был найден в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: SAYLESS-RANSOMWARE.saylessrsnm.txt

Содержание записки о выкупе:

Your computer has been infected by SayLess-Ransomware.

All your data and files have been encrypted with a MILITARY-GRADE LEVEL ENCRYPTION. To unlock them,

 send 500$ to the BTC adress below to get decryption key and restore your data...

Or else your files are lost!

DO NOT TURN OFF YOUR PC, IF YOU SO ALL YOUR FILES WILL BE CORRUPTED FOREVER.

Encryption Log:

====================================

C:\Users\Admin\Desktop\AssertOptimize.rtf

C:\Users\Admin\Desktop\CheckpointUnblock.mhtml

C:\Users\Admin\Desktop\ConfirmApprove.crw

C:\Users\Admin\Desktop\ConvertToPublish.xlsx

C:\Users\Admin\Desktop\DebugSkip.png

C:\Users\Admin\Desktop\desktop.ini

C:\Users\Admin\Desktop\DisableExpand.midi

C:\Users\Admin\Desktop\DismountPing.htm

C:\Users\Admin\Desktop\ExportSave.midi

C:\Users\Admin\Desktop\FindMount.DVR-MS

C:\Users\Admin\Desktop\GrantImport.doc

C:\Users\Admin\Desktop\InstallCopy.bat

C:\Users\Admin\Desktop\InstallFind.scf

C:\Users\Admin\Desktop\MeasureSplit.ps1

C:\Users\Admin\Desktop\MoveHide.mp4

C:\Users\Admin\Desktop\OutEnter.mp4

C:\Users\Admin\Desktop\RedoTrace.edrwx

C:\Users\Admin\Desktop\RenameDisconnect.odp

C:\Users\Admin\Desktop\SkipAdd.png

C:\Users\Admin\Desktop\SplitProtect.pot

C:\Users\Admin\Desktop\StepPublish.MTS

C:\Users\Admin\Desktop\UndoAdd.eprtx

C:\Users\Admin\Desktop\UnregisterSwitch.rmi

C:\Users\Admin\Desktop\UnregisterUndo.pps

C:\Users\Admin\Pictures\AddGet.dwg

C:\Users\Admin\Pictures\BlockDisable.dxf

C:\Users\Admin\Pictures\CheckpointSelect.dxf

C:\Users\Admin\Pictures\CompressStart.eps

C:\Users\Admin\Pictures\ConnectEnable.dib

C:\Users\Admin\Pictures\ConvertExit.svg

C:\Users\Admin\Pictures\ConvertToOpen.dib

C:\Users\Admin\Pictures\desktop.ini

C:\Users\Admin\Pictures\DisconnectBlock.eps

C:\Users\Admin\Pictures\DismountNew.wmf

C:\Users\Admin\Pictures\EnterUninstall.tif

C:\Users\Admin\Pictures\ExportPop.eps

C:\Users\Admin\Pictures\HidePing.emf

C:\Users\Admin\Pictures\HideReset.ico

C:\Users\Admin\Pictures\MeasureDebug.tif

C:\Users\Admin\Pictures\OpenTrace.tif

C:\Users\Admin\Pictures\ProtectConfirm.png

C:\Users\Admin\Pictures\ProtectSync.bmp

C:\Users\Admin\Pictures\PublishCompare.dwg

C:\Users\Admin\Pictures\PushCheckpoint.ico

C:\Users\Admin\Pictures\RegisterReset.bmp

C:\Users\Admin\Pictures\ResolveEdit.emf

C:\Users\Admin\Pictures\SendHide.pcx

C:\Users\Admin\Pictures\StepConvertFrom.png

C:\Users\Admin\Pictures\SuspendClose.emz

C:\Users\Admin\Pictures\UnblockInvoke.tif

C:\Users\Admin\Pictures\UpdateConvertTo.jpg

C:\Users\Admin\Pictures\Wallpaper.jpg

C:\Users\Admin\Documents\Are.docx

C:\Users\Admin\Documents\BlockApprove.vsd

C:\Users\Admin\Documents\CompleteFind.wps

C:\Users\Admin\Documents\ConfirmExit.mpp

C:\Users\Admin\Documents\ConvertToDisconnect.wps

C:\Users\Admin\Documents\desktop.ini

C:\Users\Admin\Documents\DismountInitialize.ppt

C:\Users\Admin\Documents\ExitRegister.vsw

C:\Users\Admin\Documents\ExitSend.odt

C:\Users\Admin\Documents\ExitSuspend.xlt

C:\Users\Admin\Documents\Files.docx

C:\Users\Admin\Documents\GrantSend.vsw

C:\Users\Admin\Documents\LimitRegister.doc

C:\Users\Admin\Documents\MeasureSuspend.rtf

C:\Users\Admin\Documents\Opened.docx

C:\Users\Admin\Documents\Recently.docx

C:\Users\Admin\Documents\RegisterSplit.ppt

C:\Users\Admin\Documents\RevokeOptimize.pot

C:\Users\Admin\Documents\SendFormat.potm

C:\Users\Admin\Documents\SuspendDeny.ppsx

C:\Users\Admin\Documents\These.docx

C:\Users\Admin\Documents\UnlockWrite.ods

C:\Users\Admin\Documents\UnregisterExit.vsdx

C:\Users\Admin\Documents\UseResolve.pptx

C:\Users\Admin\Documents\WritePing.docx

Перевод записки на русский язык:

Ваш компьютер заражен SayLess-Ransomware.

Все ваши данные и файлы зашифрованы ШИФРОВАНИЕ ВОЕННОГО УРОВНЯ. Чтобы разблокировать их, отправьте 500$ на BTC-адрес  ниже, чтобы получить ключ дешифрования и восстановить ваши данные ...

В противном случае ваши файлы потеряны!

НЕ ВЫКЛЮЧАЙТЕ ПК, ИНАЧЕ ВСЕ ВАШИ ФАЙЛЫ БУДУТ ПОВРЕЖДЕНЫ НАВСЕГДА.

Журнал шифрования:

***

Записка с требованием выкупа также написана на экране блокировки с таймером и BTC-адресом: 

Технические детали

Ничего не известно о распространении, вероятно этот образец является тестовым или неотлаженным вариантом. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SAYLESS-RANSOMWARE.saylessrsnm.txt - название файла с требованием выкупа; 
SayLessRnm Window.exe - название вредоносного файла; 

SayLessRnm Window.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\Desktop\SAYLESS-RANSOMWARE.saylessrsnm.txt

C:\Users\Admin\AppData\Local\Temp\SayLessRnm Window.exe

C:\Users\Sermicro\source\repos\SayLessRnm Window\SayLessRnm Window\obj\Debug\SayLessRnm Window.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
BTC: 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: 52c527df9e7554e940c3c45b4e9b3e30

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HotCoffee

HotCoffee Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 кофе, чтобы вернуть файлы. Оригинальное название: HotCoffeeRansomware. На файле написано: HotCoffeeRansomware.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34366
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.bzuzi
BitDefender -> Trojan.Generic.30254142
ESET-NOD32 -> A Variant Of Win64/Filecoder.DY
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/FileCoder.CK!MTB
Tencent -> Win64.Trojan.Generic.Svgu
TrendMicro -> CallTROJ_GEN.R002H0DIR21
---

© Генеалогия: ??? >> HotCoffee

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hotcoffee


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Образец этого крипто-вымогателя был найден в конце сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOT_COFFEE_README.hta

В заголовке экрана есть слова "surprise friend": 

Содержание записки о выкупе:

GIVE ME HOT COFFEE

You have been bamboozled by the hot coffee ransomware.

Your files have been encrypted using military grade encryption and only we have the decryption key.

If you want to get your files back you need to pay a ransom of 1 large long black with an extra espresso shot.

Email EMAIL@protonmail.com for further instructions. You have 7 days to pay or else.

Перевод записки на русский язык:

ДАЙТЕ МНЕ ГОРЯЧИЙ КОФЕ

Вы одурачены программой-вымогателем для горячего кофе.

Ваши файлы были зашифрованы с использованием шифрования военного уровня, и только у нас есть ключ дешифрования.

Если вы хотите вернуть свои файлы, вам нужно заплатить выкуп в размере 1 большой длинный черный с дополнительной порцией эспрессо.

Напишите на EMAIL@protonmail.com для получения дальнейших инструкций. У вас есть 7 дней на оплату или иначе.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOT_COFFEE_README.hta - название файла с требованием выкупа; 
HotCoffeeRansomware.exe - случайное название вредоносного файла; 

HotCoffeeRansomware.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\betha\source\repos\bethcoop\HCR\x64\Release\HotCoffeeRansomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: c054c0f03277f7f0bdad9350fa3d5c2d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Udacha

Udacha Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $490 (0.013 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Vulkan Runtime.

---
Обнаружения:
DrWeb -> Trojan.Encoder.34391
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.RansomHeur.tovnb
BitDefender -> Trojan.GenericKD.37610923
ESET-NOD32 -> Win64/Filecoder.DF
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Tnega!ml
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Delshad.Pgxf
TrendMicro -> TROJ_FRS.VSNW15I21
---

© Генеалогия: ✂ MedusaLocker >> Udacha 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .udacha


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была во второй половине - в конце сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: ReadMe_Instruction.mht

Содержание записки о выкупе:

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

>> PAY FAST 490$=0.013 btc <<

Price tomorrow will increase by 2 times if you do not pay today

BTC-address: bc1q8peeq9gx9nl28xnqfc5h6ec22rd3cm8h46nnjm

To be sure we have the decryptor and it works you can send an email: udacha123yes@mail2tor.com and decrypt one file for free.

But this file should be of not valuable!

Do you really want to restore your files?

udacha123yes@mail2tor.com

TELEGRAM @udacha123yes

Attention!

* Do not rename encrypted files.

* Do not try to decrypt your data using third party software, it may cause permanent data loss.

* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.

Вы не сможете расшифровать его сами! Единственный метод восстановления файлов - это покупка уникального закрытого ключа.

Только мы можем дать вам этот ключ и только мы можем восстановить ваши файлы.

>> ПЛАТИ БЫСТРО 490$ = 0,013 btc <<

Цена завтра вырастет в 2 раза, если не заплатите сегодня

BTC-адрес: bc1q8peeq9gx9nl28xnqfc5h6ec22rd3cm8h46nnjm

Чтобы убедиться, что у нас есть дешифратор и он работает, вы можете отправить email: udacha123yes@mail2tor.com и бесплатно расшифровать один файл.

Но этот файл не должен быть ценным!

Вы точно хотите восстановить свои файлы?

udacha123yes@mail2tor.com

TELEGRAM @ udacha123yes

Внимание!

* Не переименовывайте зашифрованные файлы.

* Не пытайтесь расшифровать ваши данные с помощью сторонних  программ, это может привести к безвозвратной потере данных.

* Расшифровка ваших файлов с помощью третьих лиц может вызвать удорожание (они добавляют свою плату к нашей) или вы можете стать жертвой мошенничества.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe_Instruction.mht - название файла с требованием выкупа;
B06.exe - название вредоносного файла/

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: udacha123yes@mail2tor.com
Telegram: @udacha123yes

BTC: bc1q8peeq9gx9nl28xnqfc5h6ec22rd3cm8h46nnjm

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: 49fb0e5a3415155c24d6839250cd7fed

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.