Если вы не видите здесь изображений, то используйте VPN.

понедельник, 23 января 2023 г.

BTC-azadi

BTC-azadi Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
BTC-azadi

Этимология названия: 
Вымогатели не сообщили названия своей программы. В таком случае мы может использовать слова из расширения и логина почты: BTC + azadi.
В переводе с персидского (фарси) и некоторых других родственных ему языков, azadi (آزادی) означает "свобода" (на англ. freedom). Хорошее слово, но оно используется в вымогательских целях, потому: BTC-azadi. На момент написания статьи мы не знаем, какое значение вымогатели вложили в это слово, когда создавали логин для почты, возможно это просто ник или чтя-то фамилия. 


Сайт "ID Ransomware" это пока не идентифицирует. 
Вернее, идентифицирует неправильно, опираясь на расширение .BTC, которые использовалось в разных вымогательских атаках. 


Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .BTC

Фактически используется составное расширение по шаблону: .EMAIL=[azadi33@smime.ninja]ID=[<random{16}>].BTC

В секции 
random{16} используется набор из 16 цифр и букв в верхнем регистре, например таких: 23868595F549B276


Записка с требованием выкупа называется: How To Restore Files.txt


Содержание записки о выкупе:
ATTENTION!
At the moment, your system is not protected.
We can fix itand restore files.
To get started, send a file to decrypt trial.
You can trust us after opening the test file.
To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
Your Decryption ID: 23868595F54*****

Перевод записки на русский язык:
ВНИМАНИЕ!
На данный момент ваша система не защищена.
Мы можем это исправить и восстановить файлы.
Сначала пошлите файл на пробную расшифровку.
Вы можете доверять нам после открытия тест-файла.
Для восстановления системы пишите на оба адреса: azadi33@smime.ninja и azadi33@keemail.me
Ваш ID расшифровки: 23868595F549B397


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Restore Files.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: azadi33@smime.ninja, azadi33@keemail.me
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***

Thanks: Sandor Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 22 января 2023 г.

Сделайте Добро!



Спасибо, что зашли к нам сегодня!

Станьте Добрым Волшебником, помогите детям! 

С 2016 года мы помогаем людям делать добрые дела вместе с проверенными фондами. Вы можете выбрать кому помочь сейчас. 

Просто знайте, что завтра проснётся ребёнок, которому вы помогли сегодня! Каждый пожертвованный рубль действительно решает судьбы детей. Поэтому, пожалуйста, не думайте, что ваши 50, 100, 500 рублей не спасут жизнь. 



Нажмите на ссылку и на открывшемся сайте выберите кому Вы хотите помочь. Любая сумма пойдет на доброе дело, поможет людям или животным. Если люди еще могут как-то помочь друг другу, то животные, наши милые меньшие братья-сестры, сами себе не помогут. Наши предки говорили: «Вернее собаки зверя нет! Милее кошки зверя нет!»... И были тысячи раз правы.

Махатма Ганди говорил: «Величие и моральный прогресс нации можно измерить тем, как эта нация относится к животным». Ученые, мыслители, врачи разных эпох отмечали прямую взаимосвязь бесправия животных с бесправием людей: тому, кто спокойно убивает животное, не составит труда убить и человека. 

Всякий раз, когда Вы получаете зарплату или деньги за сделанную работу, пожертвуйте хоть 100 рублей на Доброе дело! И Добро вернётся к Вам сторицей! 






© Amigo-A (Andrew Ivanov) и Добро Mail.ru (Россия) 

понедельник, 16 января 2023 г.

Proxima

Proxima Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы заплатить выкуп и получить программу расшифровки и подробную инструкцию по использованию и расшифровке файлов. Оригинальное название: Proxima Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
Proxima 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале-середине января 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Proxima


Записка с требованием выкупа называется: Proxima_Readme.txt

Proxima Ransomware note, записка

Содержание записки о выкупе:

[~] Proxima Ransomware
>>> What's happened?
ALL YOUR FILES ARE STOLEN AND ENCRYPTED.
To recovery your data and not to allow data leakage, it is possible only through purchase of a private key from us.
>>> What guarantees?
Before paying you can send us a small-sized file (a non-important file), and we will decrypt it for free as guarantee.
>> How will the decryption process proceed after payment?
After payment, we will send you our decryption program + detailed instructions for use. With this program, you will be able to decrypt all your files.
If some files has encrypted but not renamed; these files will be restored after the decryption procedure is completed.
>>> CONTACT US:
Please write an email to: mikel@onionmail.com and mikel@cyberfear.com
Write this ID in the title of your message: XXXXXXXXXXXXXXXX
>>> ATTENTION!
Do not rename or modify encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price(they add their fee to our).
We use hybrid encryption, no one can restore your files except us.
remember to hurry up, as your email address may not be available for very long.
All your stolen data will be loaded into cybercriminal forums/blogs if you do not pay ransom.

Перевод записки на русский язык:
[~] Proxima Ransomware
>>> Что случилось?
ВСЕ ВАШИ ФАЙЛЫ Украдены и зашифрованы.
Восстановить ваши данные и не допустить утечки данных можно только купив у нас закрытый ключ.
>>> Какие гарантии?
Перед оплатой вы можете отправить нам файл небольшого размера (неважный файл), и мы бесплатно его расшифруем в качестве гарантии.
>> Каким будет процесс расшифровки после оплаты?
После оплаты мы вышлем вам нашу программу расшифровки + подробную инструкцию по использованию. С помощью этой программы вы сможете расшифровать все свои файлы.
Если некоторые файлы зашифрованы, но не переименованы; эти файлы будут восстановлены после завершения процедуры расшифровки.
>>> НАПИШИТЕ НАМ:
Напишите письмо на адрес: mikel@onionmail.com и mikel@cyberfear.com
Напишите этот ID в заголовке вашего сообщения: XXXXXXXXXXXXXXXX
>>> ВНИМАНИЕ!
Не переименовывайте и не изменяйте зашифрованные файлы.
Не пытайтесь расшифровывать с помощью сторонних программ, это может привести к необратимой потере данных.
Расшифровка ваших файлов с помощью третьих лиц может увеличить цену (они добавляют свою комиссию к нашей).
Мы используем гибридное шифрование, никто кроме нас не сможет восстановить ваши файлы.
не забудьте поторопиться, так как ваш email-адрес может быть недоступен очень долго.
Все ваши украденные данные будут загружены на форумы/блоги киберпреступников, если вы не заплатите выкуп.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Использует утилиту ngrok.exe, которая позволяет открыть доступ к внутренним ресурсам компьютера, на котором она запущена, из внешней сети, путем создания публичного адреса, все запросы на который будут переброшены на локальный адрес и заданный порт. 



Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Proxima_Readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mikel@onionmail.com, mikel@cyberfear.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***

Thanks: Sandor Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 1 декабря 2022 г.

CryWiper

CryWiper Ransomware

BrowserUpdate Ransomware

(фейк-шифровальщик, вымогатель, стиратель, деструктор) 
Translation into English


CryWiper Ransomware

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. На самом деле файлы умышленно повреждаются без возможности восстановления. Оригинальное название: в записке не указано. На файле написано: browserupdate.exe. Написан на языке C++ и собран с помощью набора инструментов MinGW-w64 и компилятора GCC. Для Windows x64. Первоисточник информации: Лаборатория Касперского. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> Trojan-Ransom.Win64.CryWiper.a
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ✂ Xorist + другие >> 
CryWiper


Сайт "ID Ransomware" CryWiper пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце ноября - начале декабря 2022 г. Атаки ориентированы на российские мэрии и суды. Вероятно распространяется из Украины политически мотивированными хакерами и преступниками. 

К фейк-зашифрованным (фактически испорченным) файлам добавляется расширение: .CRY

Для уничтожения пользовательских файлов CryWiper генерирует последовательность данных при помощи известного генератора псевдослучайных чисел "Вихрь Мерсенна" и записывает эти данные вместо оригинального содержимого файла.

То есть сами файлы не шифруются, а стираются. Расширение добавляется для того, чтобы излишне доверчивые и наивные пострадавшие заплатили выкуп, но не получили назад свои файлы. Уплата выкупа бесполезна! 

Записка с требованием выкупа называется: README.txt

CryWiper Ransomware, note записка

Содержание записки о выкупе:

All your important files were encrypted on this computer.
You can verify this by click on see files an try open them.
Encrtyption was produced using unique KEY generated for this computer.
To decrypted files, you need to otbtain private key.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
Payment have to be made in maxim 24 hours
To retrieve the private key, you need to pay 0.5 BITCOINS
Bitcoins have to be sent to this address: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd
After you've sent the payment send us an email to : fast_decrypt_and_protect@tutanota.com with subject : ERROR-ID-63100778(0.5BITC0INS)
If you are not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы на этом компьютере.
Вы можете убедиться, нажав просмотр файлов и попытаться их открыть.
Шифрование выполнено с уникальным КЛЮЧОМ, сгенерированным для этого компьютера.
Для расшифровки файлов вам надо получить закрытый ключ.
Единственная копия закрытого ключа, которая позволит расшифровать файлы, есть на секретном сервере в Интернете;
Сервер уничтожит ключ в течение 24 часов после завершения шифрования.
Оплата должна быть произведена в течение максимум 24 часов
Чтобы получить закрытый ключ, вам надо заплатить 0,5 BITCOINS
Биткоины должны быть отправлены на этот адрес: bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd
После отправки платежа отправьте нам электронное письмо по адресу: fast_decrypt_and_protect@tutanota.com с темой: ERROR-ID-63100778(0.5BITC0INS)
Если вы не знакомы с биткоинами, вы можете купить их здесь:
САЙТ: www.localbitcoin.com
После подтверждения платежа мы отправляем закрытый ключ, чтобы вы могли расшифровать свою систему.


Для справки: 
Email-адрес fast_decrypt_and_protect@tutanota.com известен их предыдущих вымогательских кампаниях 2017-2018 года по распространению Xorist Ransomware и замечен в некоторых других малоизвестных проектах. Строка ERROR-ID-63100778 также похожа на те, что использовались в Xorist Ransomware. 

Можно сравнить текст с одной из предыдущих записок, см. скриншот ниже. 





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Вредоносные функции: 
- с помощью планировщика заданий создает задачу запуска вайпера каждые 5 минут;
- передает имя компьютера в командный центр и ждет команду на начало новой атаки;
- останавливает процессы серверов баз данных MySQL, MS SQL, MS Exchange, MS Active Directory;
- удаляет теневые копии файлов, но только на диске "C:";
- запрещает подключение к системе по протоколу RDP.



Список типов файлов, подвергающихся шифрованию:
Это базы данных, архивы и документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр.

Пропускаемые типы файлов: 
.exe, .dll, .lnk, .sys, .msi, .CRY

Пропускаемые директории: 
C:\Windows, Boot, tmp, winnt, temp, thumb, System Volume Information, Trend Micro

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
browserupdate.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\System32\browserupdate.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fast_decrypt_and_protect@tutanota.com
BTC: 
bclqdr90p815jwen4ymewl7276z45rpzfhm70x0rfd
Сервер URL: hxxx://82.221.141.8/IYJHNkmy3XNZ
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 14808919a8c40ccada6fb056b7fd7373


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: Лаборатория Касперского Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 29 ноября 2022 г.

BlackHunt

BlackHunt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать вымогателям, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: BlackHunt. На файле написано: BlackHunt.exe или случайное название.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37002
BitDefender -> Trojan.GenericKD.64497764, Gen:Variant.Ser.Fragtor.1387
ESET-NOD32 -> A Variant Of Win32/Filecoder.OKE
Kaspersky -> UDS:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.BlackHunt
Microsoft -> Ransom:Win32/Conti.ZC
QuickHeal -> Ransom.Conti
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Win32.Trojan.Filecoder.Hkjl, Win32.Trojan.Filecoder.Pcnw
TrendMicro -> Ransom_Conti.R002C0DLR22, Ransom.Win32.BLACKHUNT.THLBHBB

---

© Генеалогия: CONTI-2 (stolen code) + другой код >> 
BlackHunt


Сайт "ID Ransomware" BlackHunt пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце ноября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были во Вьетнаме. Потом крипто-вымогатель стал распространяться и в других странах. 

К зашифрованным файлам добавляется расширение: .Black

Фактические используется составное расширение по шаблону: .[<random{16}>].[<email>].Black

Примеры таких расширений: 
.[rKcCw3Up38KUtBH5].[tset@gmail.com].Black
.[rCw3KcU4Kp5HtUB6].[amike1096@gmail.com].Black

Записка с требованием выкупа написана на голубом экране : 


Содержание записки о выкупе:

WARNING WARNING WARNING.
Your Network Infected With BlackHunt Ransomware Team. ALL Your important
Files Encrypted and Stolen , Do You Want Your Files? read [ReadMe] Files carefully
and contact us by [tset@gmail.com] AND [tset2@gmail.com]

Перевод записки на русский язык:
ВНИМАНИЕ ВНИМАНИЕ ВНИМАНИЕ.
Ваша сеть заражена командой BlackHunt Ransomware. ВСЕ Ваши важные
Файлы зашифрованы и украдены, Вам нужны ваши файлы? Прочтите файлы [ReadMe] и пишите на [tset@gmail.com] И [tset2@gmail.com]


Вероятно такой тип записки бы ранним, тестовым вариантом. Кроме того, логин почты 'tset' очень похож на слово 'test'. В декабре 2022 мы видели уже другой тип записки с требованием выкупа в виде файлов #BlackHunt_ReadMe.hta и #BlackHunt_ReadMe.txt, в которых используется другой email-адрес. 

Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Выполняет сдедующие деструктивные действия: 

Добавляется в Автозагрузку, изменяя ключи реестра. 
Добавляет задачу в Планировщик задач. 
Создает файлы внутри системного каталога. 
Удаляет план резервного копирования Windows и теневые копии тома.
Отключает восстановление системы. 
Отключает диспетчер задач Windows (taskmgr).
Отключает Защитник Windows.
Пытается загрузить отсутствующие библиотеки DLL.
Включить загрузку в безопасном режиме. 
Запрашивает список всех запущенных процессов. 
Может попытаться обнаружить виртуальную машину, чтобы помешать анализу.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackHunt.exe - возможное название вредоносного файла;
<random>.exe - случайное название вредоносного файла;
#BlackHunt_ReadMe.hta - название файла с требованием выкупа;
#BlackHunt_Update.txt - название файла с требованием выкупа;
#BlackHunt_Private.key, #BlackHunt_Public.key - файлы с ключима;
#BlackHunt_Update.hta - еще один файл HTA;
#BlackHunt_Logs.txt - журнал действий. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\#BlackHunt_ReadMe.hta
C:\ProgramData\#BlackHunt_Update.hta
C:\ProgramData\#BlackHunt_ReadMe.txt
C:\ProgramData\#BlackHunt_Private.key
C:\ProgramData\#BlackHunt_Public.key
C:\ProgramData\#BlackHunt_Logs.txt
C:\ProgramData\#BlackHunt_ID.txt
C:\ProgramData\#BlackHunt_BG.jpg
C:\ProgramData\#BlackHunt_Icon.ico

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\Software\Classes\Black
HKEY_LOCAL_MACHINE\Software\Classes\Black
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "{2C5F9FCC-F266-43F6-BFD7-838DAE269E11}" /t REG_SZ /d "C:\ProgramData\#BlackHunt_ReadMe.hta" /f
"HKEY_LOCAL_MACHINE\Software\Classes\.Black\DefaultIcon" /ve /t REG_SZ /d "C:\ProgramData\#BlackHunt_Icon.ico"
"HKEY_LOCAL_MACHINE\Software\Classes\Black\DefaultIcon" /ve /t REG_SZ /d "C:\ProgramData\#BlackHunt_Icon.ico"  /f
"HKEY_LOCAL_MACHINE\Software\Classes\Black" /f
И другие, см. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tset@gmail.com, tset2@gmail.com
amike1096@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 16deea31a988e7af71001c2eda8ad614
SHA-1: 8d992884b713b56d1edbf40306b2e11dc54f9887
SHA-256: 977083fc01e2982258eac0a13e56cd697d9f6941f5a365e9d02d544fc3e15000
Vhash: 075066655d55151560c8z8a1z2dz3011z55za7z
Imphash: f6ebbc99dee0ebb360681d57876ef849
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: d7a24de75b761cb98f580dafda4ba885
SHA-1: 86dc51cfc817937f9525b8aa2fa71e918288a44d
SHA-256: f725792a5ef0512f3c5356d79fb3be5afcbaffaa4af41498342f7d09d703761f
Vhash: 075066655d55151560c8z8a1z2dz3011z55za7z
Imphash: f6ebbc99dee0ebb360681d57876ef849


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 25 декабря: 
Название версии: BlackHunt v1.0
Расширение: .Black
Полное расширение: .[rCw3KcU4Kp5HtUB6].[amike1096@gmail.com].Black
Записка: #BlackHunt_ReadMe.hta
Email: 
amike1096@gmail.com, onion746@onionmail.com, justin@cyberfear.com, magicback@onionmail.org и другие
Tor URL: hxxx://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion
IOC: VT + VT












=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***

Thanks: RakeshKrish12 Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *