Dreamon

Dreamon Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Dreamon (в записке не указано). На файле написано: Dreamon.exe, Dreamon[Hwk].exe. Написан на языке .NET (C#). 

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---

© Генеалогия: предыдущая разработка >> Dreamon

Изображение — логотип статьи

Какое расширение добавляется к зашифрованным файлам неизвестно. 

Это может быть .dreamon или настраиваемое. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Представление этого крипто-вымогателя было замечено в конце сентября 2020 г. Ориентирован на русскоязысных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***.html
Это HTML-файл с настраиваемым названием. 

Технические детали

Распространяется на форумах киберандеграунда, доступен к продаже. Продается за $640. 

Обратите внимание на то, что на скриншотах показан как бы один и тот человек, но на одном форуме (с белым фоном) он зарегистрирован как пользователь, а на другом ( с чёрным фоном) он пишет сообщения уже как модератор. Текст написан на русском и английском языках, значит русский язык он знает. 

 

После покупки или получения копии аффилированными партнерами Dreamon RaaS может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Сообщается, что Dreamon использует технологию CLR Hosting, удаляет системные точки восстановления, сканирует и шифрует все найденные диски, флешки, сетевые диски, удаляет все файлы из Корзины, самоудаляется по окончанию работы, не оставляя никаких следов. Обходит системные файлы и директории (не шифрует, чтобы не вызвать системных сбоев в работе ПК). Имеет ограничение на запуск второго экземпляра приложения, если уже работает первый, ограничение на запуск в странах СНГ (РФ), не шифрует повторно уже шифрованный файл. Имеет защиту от запуска на виртуальных машинах, в песочницах. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
Dreamon.exe, Dreamon[Hwk].exe - названия исполняемого файла; 

<ransom_note>.html - название файла с требованием выкупа. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://ipconfig.ws/threads/Продам-dreamon-ransomware-crypt-decrypt-А-так-же-Исходники-source.294/

Email: 
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая. 
Подробные сведения собираются регулярно. Присылайте образцы. 

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. 

 Read to links: 
 Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 RakeshKrish12
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

*
© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EyeCry, OxiJoiner

EyeCry Ransomware 

OxiJoiner Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: EYECRY. На файле написано: EyeCry.exe или Oxi_Joiner.exe.

---
Обнаружения:
DrWeb -> Trojan.MulDrop8.22787
BitDefender -> Trojan.MSIL.Injector.MF
ALYac -> Trojan.Ransom.Petya
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 -> Win32/TrojanDropper.Small.NMM

Kaspersky -> Backdoor.Win32.Poison.ggrf
Malwarebytes -> Backdoor.Dropper
Rising -> Dropper.Win32.Small.bnv (CLASSIC)
Symantec -> Trojan Horse

Tencent -> Malware.Win32.Gencirc.10b3e7f9
TrendMicro -> Ransom.Win32.EYECRYLOCKER.A

© Генеалогия: ✂️ Green Petya > EyeCry

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текст записки о выкупе написан зелёными буквами на чёрном фоне, как былов Green Petya Ransomware. 

Майкл Джиллеспи попытлся ввести ключ, который подходил для Green Petya, но он не был принят. Из чего следует, что здесь используется другой ключ. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Перезагружает ПК, чтобы получить низкоуровневые права доступа на запись в раздел диска, используя команду: 

shutdown.exe -r -f -t 0

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
EyeCry.exe - название вредоносного файла

Oxi_Joiner.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\james\AppData\Local\Temp\EyeCry.exe

C:\Users\james\Desktop\RzqrKrXj7q.exe

C:\Users\FD1HVy\Desktop\Oxi_Joiner.exe

C:\Users\FD1HVy\AppData\Local\Temp\EyeCry.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as EyeCry)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Babax, Executor

Babax Ransomware

Babaxed Ransomware

Executor (ExecutorV3) Ransomware

(фейк-шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в $50 в BTC. Входит в комплект Babax stealer (инфостилер), который известен в нескольких вариантах, сделанных один за другим. Такая неустойчивость говорит о том, что разработка еще не завершена. На файлах разных вариантов может быть написано: Gamebuddy, CardGame.exe, Tencent, Execv3.exe, loader4perx.exe, что-то еще. Использует в описании файлов названия легитимных компаний, программ и приложений, чтобы запутать пользователей. 

---
Обнаружения:
DrWeb -> Trojan.Siggen10.30724
BitDefender -> Trojan.GenericKD.43912085
ESET-NOD32 -> A Variant Of MSIL/GenKryptik.ETCZ

Kaspersky -> HEUR:Backdoor.MSIL.Androm.gen
Malwarebytes -> Spyware.Agent
Rising -> Trojan.Ymacco!8.11BE1 (TFE:***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0PIT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Babax > Executor > Osno

Изображение — логотип статьи

К фейк-зашифрованным файлам добавляется расширение: .babaxed
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября 2020 г. - начало октября. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 

RECOVERY INSTRUCTIONS 0.txt

RECOVERY INSTRUCTIONS 1.txt  

RECOVERY INSTRUCTIONS 2.txt 

RECOVERY INSTRUCTIONS 3.txt 

RECOVERY INSTRUCTIONS 4.txt 

RECOVERY INSTRUCTIONS 5.txt 

и может быть в большем количестве

В некоторых вариантах может совсем не использоваться или не отбрасывается из-за ошибок. 

Содержание записки о выкупе:

All your Files have been crypted. Send 50$ wort of Bitcoins to this Address: 1Nehd3pSRF6ijmeumjpPmq7Nwn3hFJEsj

As soon as you sent the Money, sent an email to: haunexuwofwuf@protonmail.com as soon as we see the email we will send you the decrypter.

Перевод записки на русский язык:

Все ваши файлы зашифрованы. Отправьте $50 в биткойнах на этот адрес: 1Nehd3pSRF6ijmeumjpPmq7Nwn3hFJEsj

Как только вы послали деньги, отправьте email на адрес: haunexuwofwuf@protonmail.com, как только мы увидим письмо, мы отправим вам дешифратор.

Информатором жертвы или источником информации может быть экран блокировки или то, что его заменяет. 

Загружаемое изображение AAhy3Mb.png с надписью BABAX. 

Технические детали

Распространяется под видом исполняемых файлов программ и игр на соответствующих сайтах. Использует Discordapp.com для распространения. 

После доработки и модификации может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Fallout EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ График поведения исполняемого файла (файлов) от AnyRun.

Список файловых расширений, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

На самом деле файлы не шифруются, а так сказать babax'уются — первые первые 11 байтов заменяются словом "babaxRansom", кроме того расширение файла заменяется на расширение .babaxed, и всё название переводится в нижний регистр. 

Никакой расшифровки не потребуется, только нужно вручную заменять заголовки во всех файлах и надеяться на то, что в первых 11 байтах ничего важного не было.

Файлы, связанные с этим Ransomware:

RECOVERY INSTRUCTIONS 0.txt - название файла с требованием выкупа

RECOVERY INSTRUCTIONS 1.txt  

RECOVERY INSTRUCTIONS 2.txt 

RECOVERY INSTRUCTIONS 3.txt 

RECOVERY INSTRUCTIONS 4.txt 

RECOVERY INSTRUCTIONS 5.txt и даже больше

CardGame.exe - название вредоносного файла

Desktop.txt, Documents.txt, Pictures.txt, Videos.txt, Startup.txt, Downloads.txt, processes.txt и другие - создаёт файлы с разными списками

Gamebuddy, CardGame.exe - распространяемый файл

Execv3.exe, loader4perx.exe - другие варианты или копии

Spazer.pdb

ctfmom.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\USER\source\repos\Spazer\Release\Spazer.pdb

Записи реестра, связанные с этим Ransomware:
Прописывается в реестре в разных местах. 

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL изображения: https://i.imgur.com/AAhy3Mb.png

Email: haunexuwofwuf@protonmail.com
BTC: 1Nehd3pSRF6ijmeumjpPmq7Nwn3hFJEsj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Babaxed)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CuteKitty

CuteKitty Ransomware

Meow Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: CuteKitty.exe. Для Windows x64. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32702
BitDefender -> Trojan.GenericKD.43907306
Avira (no cloud) -> TR/FileCoder.ozgie
ESET-NOD32 -> A Variant Of Win64/Filecoder.AJ
Malwarebytes -> ***
Rising -> ***
Symantec -> Downloader
TrendMicro -> TROJ_GEN.R067H0CIT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ✂️ FonixCrypter >> CuteKitty (Meow)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает надпись из командной строки: 

Содержание записки о выкупе:

Meow

Send one bweetcoin to papi@cats.meow ^-^

Перевод записки на русский язык:

Мяу

Пошли мне 1 bweetcoin на papi@cats.meow ^-^

Технические детали

Не данных о том, для чего это было сделано, распространяется или нет. 

После доработки или модификации может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CuteKitty.exe 
fuck.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\user\Desktop\CuteKitty.exe

C:\Users\user\Desktop\fuck.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
DNS: xxxx://meoww.cat/

Email: papi@cats.meow 
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Bart
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Dusk

Dusk Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Dusk. На файле написано: Dusk.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32629
BitDefender -> DeepScan:Generic.Ransom.Small.0597F46B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dropper.MSIL.Gen
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.FileCryptor.MSIL
Rising -> ***
Symantec -> Ransom.HiddenTear!g1

Tencent -> Msil.Trojan.Encoder.Eann
TrendMicro -> TROJ_GEN.R002C0OIN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ✂️ KesLan >> Dusk

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Dusk

Визуализация зашифрованного файла: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#!READ-ME!#!.txt

 

Содержание записки о выкупе:

---

DUSK

---

Dusk v1.0

YOUR FILES ARE ENCRYPTED!

---

If you want to recover them follow these steps:

1. Send $50 to this address:

BTC: 1EiGoumiJiBNDszEzTzasmQhCVaEYDDEbuo

2. Send email to:

cyber.duskfly&protonmail.com

3. Enjoy!

Do not waste your time trying recover your files using third party services! Only we can do that

Перевод записки на русский язык:

---

DUSK

---

Dusk v1.0

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

---

Если вы хотите вернуть их, выполните эти шаги:

1. Отправьте $50 на этот адрес:

BTC: 1EiGoumiJiBNDszEzTzasmQhCVaEYDDEbuo

2. Пришлите email на:

cyber.duskfly&protonmail.com

3. Радуйтесь!

Не тратьте свое время на восстановление файлов с помощью чужих сервисов! Только мы можем это сделать

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!#!READ-ME!#!.txt - название файла с требованием выкупа
Dusk.exe - название вредоносного файла

Dusk.pdb - оригинальное  название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Engineer\source\repos\Dusk\Dusk\obj\Release\Dusk.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cyber.duskfly@protonmail.com
BTC: 1EiGoumJiBNJszEzTzasmQhCVaEYDDEbuo
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Ошибки:

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Dusk Ransomware - сентябрь 2020

Dusk 2 Ransomware - ноябряь 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 ноября 2020:

Пост в Твиттере >>

Расширение: .DUSK 

Записка: README.txt

Email: lasvegasincel@cocl.li, duskeer@protonmail.com

Результаты анализов: VT + IA

➤ Содержание записки: 

------------------------------------------  

DUSK

2

------------------------------------------

All your files have been encrypted using military grade encryption algorithms!

They cannot be decrypted without our securely generated key.

The only thing you can do now is buy your key and decryptor.

The price is 80 USD.

The only payment method we accept is BitCoin.

<<<<How to obtain Bitcoins?>>>>

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 

https://localbitcoins.com/buy_bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:

http://www.coindesk.com/information/how-can-i-buy-bitcoins/

<<<<How to contact you for the payment?>>>>

We use E-Mail to contact with our customers. 

When contacting us please send your personal ID that can be seen at the end of the message.

Our main e-mail is: 

lasvegasincel@cock.li

Our backup e-mail is:

duskeer@protonmail.com

NOTE:

Write to our backup e-mail only when you don't receive reply from our main e-mail in 48 hours.

<<<<Why do we do that?>>>>

We Are anonymous good people. We will transfer 75% of what we earn for good purposes.

<<<<If you're so evil>>>>

If you're evil and don't trust us you can send up to 2 files for free decryption. They can't weigh more than 2 MB (non-archived).

<<<<Attention!>>>>

Do not try to restore files without our help, this is useless and you may lose data permanetly

Do not rename encrypted files!

Do not use third party "decryptors"

Do not try to remove our heavenly software using evil AntiVirus or AntiMalware software

<<<<Personal ID>>>>

SgQUfK3wjAGJLsIfq4p0wvO2E3gig5q [всего 684 знаков]

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, GrujaRS
 Andrew Ivanov (author)
 Lukáš Zobal
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.