Mobef-JustFun

Mobef-JustFun Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: result.exe или ничего не написано.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33291
BitDefender -> Gen:NN.Zexa*
ESET-NOD32 -> A Variant Of Win32/Filecoder.NGG
Kaspersky -> Trojan-Ransom.Win32.Gen.yzw
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Malasypt.A
Rising -> Ransom.Malasypt!8.59DB (TFE:2*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Pciq
TrendMicro -> Ransom_Malasypt.R002C0DL420


© Генеалогия: предыдущие Mobef >> Mobef-Salam > Mobef-JustFun

Изображение — логотип статьи

К зашифрованным файлам никакое новое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец ноября 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: IMPORTANT.README

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола: 

Содержание записки о выкупе: 

ID:50866378

PC: ***

USER: ***

=======

YOU FILES ENCRYPTED.

IS JUST FUN!!!

C:\Windows\50866378.log

Перевод записки на русский язык: 

ID:50866378

PC: ***

USER: ***

=======

YOU FILES ENCRYPTED.

ЭТО ПРОСТО ШУТКА!!!

C:\Windows\50866378.log

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IMPORTANT.README - название файла с требованием выкупа

SECRET.KEYFILE  - специальный файл

50866378.log

result.exe - исполняемый файл вымогателя

result.pdb - файл проекта вымогателя

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Z:\build\result.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Mobef)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

LandSlide

LandSlide Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов и бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Вымогатели называют себя King Of Ransom LANDSLIDE Ran$omW4rE. Был обнаружен только один случай, нет EXE-образцов, но есть явное сходство с Flamingo и Lizard Ransomware. Вероятно это одно и тоже. 

---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->


© Генеалогия: TheDRM >> Flamingo, LandSlide

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .LANDSLIDE

Фактически используется составное расширение по шаблону: 

[<email_ransom>][id=XXXXXXXX]Document.pdf.LANDSLIDE

Реальный пример зашифрованного файла:

[nataliaburduniuc96@gmail.com][id=D2C85***]Document.pdf.LANDSLIDE

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 

#ReadThis.HTA

#ReadThis.TXT

Содержание записки о выкупе: 

Your SERVER/COMPUTER is encrypted by us !_

Hello Admin/Guest!

[ENCRYPTER] => All your data is encrypted by us ..

[ENCRYPTER] => Your Server Unique ID : [D2C85***]

[ENCRYPTER] => Do you want to decrypt your data?

[ENCRYPTER] => To trust us, first send us a 100-200 KB file,

we will decrypt it to build trust for you.

[AFTERTRUST] => What should you do after building trust?

Help

(

All your data is encrypted,

If your data is important and you want to decrypt it,

You must pay the bitcoin amount set by us,

Send a message to our emails first, after pricing, us and your trust,

Do a Google search to buy bitcoins,

For example: "Buy bitcoins in rubles".

After purchasing Bitcoin, you must 

transfer the Bitcoin to our wallet,

After payment, the decryption tool will be sent to you

along with how to execute it properly

)

ENCRYPTER@server ~ $ To contact us, first send a message to our first email.

[FiRsT Email:] nataliaburduniuc96@gmail.com

ENCRYPTER@server # If your email is not answered after 24 hours, our email may be blocked.

So send a message to our second email.

[SeCoNd email:] aliseoanal@gmail.com

King Of Ransom

LANDSLIDE Ran$omW4rE

Перевод записки на русский язык: 

Ваш СЕРВЕР / КОМПЬЮТЕР зашифрован нами! _

Привет Админ / Гость!

[ENCRYPTER] => Все ваши данные зашифрованы нами ..

[ENCRYPTER] => Уникальный идентификатор вашего сервера: [D2C85 ***]

[ENCRYPTER] => Хотите расшифровать свои данные?

[ENCRYPTER] => Чтобы нам доверять, сначала отправьте нам файл размером 100-200 КБ,

мы расшифруем его, чтобы завоевать доверие.

[AFTERTRUST] => Что делать после установления доверия?

Помогите

(

Все ваши данные зашифрованы,

Если ваши данные важны и вы хотите их расшифровать,

Вы должны заплатить установленную нами сумму биткойнов,

Сначала отправьте сообщение на нашу электронную почту, после определения цены, нас и вашего доверия,

Выполните поиск в Google, чтобы купить биткойны,

Например: «Покупайте биткойны за рубли».

После покупки биткойнов вы должны

перевести биткойн в наш кошелек,

После оплаты вам будет выслан инструмент для расшифровки.

вместе с тем, как правильно его выполнить

)

ENCRYPTER @ server ~ $ Чтобы связаться с нами, сначала отправьте сообщение на наш первый адрес электронной почты.

[FiRsT Email:] nataliaburduniuc96@gmail.com

ENCRYPTER @ server # Если на вашу электронную почту не ответят в течение 24 часов, наша электронная почта может быть заблокирована.

Так что отправьте сообщение на наш второй адрес электронной почты.

[SeCoNd email:] aliseoanal@gmail.com

Король выкупа

LANDSLIDE Ran$omW4rE

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#ReadThis.HTA - название файла с требованием выкупа
#ReadThis.TXT - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nataliaburduniuc96@gmail.com, aliseoanal@gmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Topic of forum
 ID Ransomware (ID as TheDRM, Flamingo)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FileEngineering

FileEngineering Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Файл оригинального дешифровщика написан на языке Python. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->


© Генеалогия: ??? >> FileEngineering

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted

Фактически используется составное расширение по шаблону: 

.id=[XXXXXXXX]  Email=[<email_ransom>].encrypted

Реальные примеры таких расширений

.id=[65499***]  Email=[FileEngineering@rape.lol].encrypted

.id=[BE38B***]  Email=[FileEngineering@mailfence.com].encrypted

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Среди первых, сообщивших о вымогательстве, пострадавшие из Франции и Украины. 

Записка с требованием выкупа называется: Get your files back!.txt

Записка от 20 ноября 2020 из Франции (2 email-адреса)

Записка от 23-24 ноября 2020 из Украины (3 email-адреса)

Содержание записки о выкупе: 

Hello

I am a security engineer.

I noticed that your system security is very weak and I hacked it.

And all your files are encrypted!

I can return your files for a fair amount of Bitcoin and also tell you your security vulnerabilities.

Send an email to this address : FileEngineering@mailfence.com

And write this ID in its subject : BE38B***

If I did not reply to you within 12 hours, send an email to : FileEngineering@tutanota.com

or this email : FileEngineering@elude.in

For more trust you can send a small file to me and I will show you Your files are decryptable

There is no way to decrypt your files, so pay attention to the following:

* Never change the name of your files, you may have problems with the decrypt

* Never try to decrypt files with another tool

* You may have a backup of your files but you will never notice your system bugs and I can hack your system again

Перевод записки на русский язык: 

Привет

Я инженер по безопасности.

Я заметил, что безопасность вашей системы очень слабый, и взломал ее.

И все ваши файлы зашифрованы!

Я могу вернуть ваши файлы за приличную сумму биткойнов, а также рассказать вам об уязвимостях вашей безопасности.

Отправьте email на этот адрес: FileEngineering@mailfence.com

И впишите этот ID в тему письма: BE38B ***

Если я не ответил вам в течение 12 часов, отправьте email на адрес: FileEngineering@tutanota.com

или на этом адрес: FileEngineering@elude.in

Для большего доверия вы можете отправить мне небольшой файл, и я покажу вам, что Ваши файлы можно расшифровать.

Нет способа расшифровать ваши файлы, поэтому платите внимание на следующее:

* Никогда не меняйте названия ваших файлов, вы получите проблемы с расшифровкой

* Никогда не пытайтесь расшифровать файлы другим инструментом

* У вас может быть резервная копия ваших файлов, но вы никогда не заметите системных ошибок, и я могу снова взломать вашу систему

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Get your files back!.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

5A24250C.exe - название файла оригинального дешифровщика

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: FileEngineering@rape.lol

FileEngineering@mailfence.com

FileEngineering@tutanota.com

FileEngineering@elude.in

BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ДЕШИФРОВЩИК === DECRYPTOR ===

Файл оригинального дешифровщика

 

Окно оригинального дешифровщика

Файл загружен на VirusTotal >>

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 ноября 2020: 

Расширение: .encrypted

Составное расширение: .id=[XXXXXXXX]  Email=[ICanFixYourFiles@tutanota.com].encrypted

Записка: Get your files back!.txt
Email: ICanFixYourFiles@tutanota.com, ICanDecryptYourFiles@cock.li

➤ Содержание записки: 

Hello

I am a security engineer.

I noticed that your system security is very weak and I hacked it.

And all your files are encrypted!

I can return your files for a fair amount of Bitcoin and also tell you your security vulnerabilities.

Send an email to this address : ICanFixYourFiles@tutanota.com

And write this ID in its subject : 5A242***

If I did not reply to you within 12 hours, send an email to : ICanDecryptYourFiles@cock.li

For more trust you can send a small file to me and I will show you Your files are decryptable

There is no way to decrypt your files, so pay attention to the following:

* Never change the name of your files, you may have problems with the decrypt

* Never try to decrypt files with another tool

* You may have a backup of your files but you will never notice your system bugs and I can hack your system again

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 Comrade335, quitman7
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Venom

Venom Ransomware

VenomRAT Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $999 BTC (в LTC или в ETH), чтобы вернуть файлы. Оригинальное название: Venom Software, VenomRAT. На файле написано: Lime_text.exe. Модуль шифрования файлов входит в состав VenomRAT и работает как ransomware. По предварительным данным, файлы можно расшифровать без уплаты выкупа. 

---
Обнаружения:

ALYac -> Backdoor.MSIL.Quasar.gen

Avira (no cloud) -> HEUR/AGEN.1123483

BitDefender -> Gen:Heur.MSIL.Krypt.6

DrWeb -> BackDoor.QuasarNET.1

ESET-NOD32 -> A Variant Of MSIL/Agent.AIA

Kaspersky -> HEUR:Trojan-Spy.MSIL.HiveMon.gen

Malwarebytes -> Backdoor.Venom

Rising -> Exploit.Uacbypass!1.C6DD (CLASSIC)

Symantec -> Trojan.Gen.MBT

Tencent -> Msil.Trojan-spy.Hivemon.Dvfu

TrendMicro -> TROJ_GEN.R054C0GJO20

---

ALYac -> Backdoor.MSIL.Quasar.gen

Avira (no cloud) -> TR/Kryptik.ffalg

BitDefender -> Trojan.GenericKD.44118579

DrWeb -> BackDoor.QuasarNET.1

ESET-NOD32 -> A Variant Of MSIL/Kryptik.YGJ

Kaspersky -> HEUR:Trojan-Spy.MSIL.Quasar.gen

Malwarebytes -> Trojan.MalPack.MSIL

Symantec -> Trojan.Gen.2

Tencent -> Msil.Trojan-spy.Quasar.Swkq

TrendMicro -> TrojanSpy.MSIL.QUASAR.ERSUSK620

© Генеалогия: VenomRAT >> Venom Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Venom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого VenomRAT с крипто-вымогателем в составе был обнаружен в середине ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-RECOVER-YOUR-FILES.txt

Содержание записки о выкупе: 

**INSTRUCTRIONS TO FOLLOW TO GET YOUR FILES BACK**

Go to blockchain.com create a bitcoin wallet if you do not possess one already...

Then proceed to your citys nearest Bitcoin ATM and deposit exactly $999 dollars usd *Heres a perk for you** you get to pick which cyrpto currency to send me wow im seriously in suspense qas to which one you pick:) here are your choices...

Bitcoin

Litecoin

Ethereum

once youve chosen follow the bitcoin atms directions to succesfully pay my bills

Once you've completed this daunting task send the crypto currency youve chosin to the following address corresponding to the crypto currency you purchased.

Перевод записки на русский язык: 

** ИНСТРУКЦИИ, ЧТОБЫ ВЕРНУТЬ ФАЙЛЫ **

Зайдите на blockchain.com и создайте биткойн-кошелек, если у вас его еще нет ...

Затем идите в ближайший к вашему городу биткойн-банкомат и внесите ровно $999 США *Вот вам бонус** вы можете выбрать, какую криптовалюту отправить мне, вау, я в ожидании, какую из них вы выберете :) вот ваш выбор. ..

Bitcoin

Litecoin

Ethereum

после того, как вы выбрали, следуйте инструкциям банкоматов с биткойнами, чтобы успешно оплатить мои счета

После того, как вы выполните эту непростую задачу, отправьте выбранную вами криптовалюту по следующему адресу, соответствующему приобретенной вами криптовалюте.

Технические детали

Распространяется через форумы киберандеграунда, в том числе на распродажах. 

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Мы не нашли образца, где шифровальщик или ransomware-модуль входит в комплект, но нашли скриншоты более ранних версий. Возможно, что позже кто-нибудь предоставит дополнительный скриншот. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-TO-RECOVER-YOUR-FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Скриншоты от ииследователя:

 

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 31 января 2022:

Сообщение >>

Расширение: .V3NOM

Файл: Venom.exe

Файлы проектов и другие: 

C:\Users\vampi\source\repos\Venom\Venom\obj\Debug\Venom.pdb

C:\Windows\Venom.pdb

C:\Windows\System.pdb

C:\Users\User\Desktop\Wallpaper.png

C:\Users\User\Documents\1.js

Файл для дешифровки: VenomD3crypt0r.exe

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.KillMBRNET.1

BitDefender -> Trojan.Ransom.GenericKD.38821711

ESET-NOD32 -> A Variant Of MSIL/KillMBR.AB

Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen

Rising -> Trojan.Generic/MSIL@AI.97 (RDM.MSIL:4nF*

Symantec -> ML.Attribute.HighConfide

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message
 ID Ransomware (ID as ***)
 Write-up (about VenomRAT), Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Andrew Ivanov (article author)
 MalwareLab
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.